Polityka i prawo

FSB stoi za hakiem dekady? Interesujące wnioski Kaspersky'ego

Fot. Kremlin.ru/Domena publiczna
Fot. Kremlin.ru/Domena publiczna

Grupa hakerów, która stoi za światową kampanią szpiegowską odkrytą w zeszłym miesiącu używała narzędzi, które przypominają te wykorzystywane przez rosyjskich hakerów – poinformował Kaspersky w swoim komunikacie.

Śledczy z rosyjskiej firmy Kaspersky zajmującej się cyberbezpieczeństwem stwierdzili, że backdoor, który został wykorzystany do przełamania zabezpieczeń ponad 18 tys. użytkowników oprogramowania SolarWinds przypomina złośliwe oprogramowanie używane przez grupę hakerską Turla (Snake, Krypton). Według władz Estonii jest to ugrupowanie pracujące dla FSB, które działa od 2008 roku i atakuje przede wszystkim cywilne cele rządowe oraz obiekty wojskowe. Wśród zaatakowanych obiektów znalazły  się misje dyplomatyczne w Europe Wschodniej, ministerstwa spraw zagranicznych Niemczech i Finlandii, instytucje w Korei Południowej (tuż przez spotkaniem Donalda Trumpa z Kim Dzong Unem) czy szwajcarskie ministerstwo obrony.

Informacje opublikowane przez Kaspersky to pierwsze publicznie dostępne dowody, mogące potwierdzić amerykańskie oskarżenia zarzucające Rosji udział w tzw. haku dekady, który doprowadził do przełamania zabezpieczeń wielu agencji federalnych. Kampania jest jedną z najbardziej, kiedykolwiek ujawnioną, tak ambitną operacją w cyberprzestrzeni.Przedstawiciele rosyjskiej władzy jak i  FSB odmówiły komentarza.

Costin Raiu, szef światowej jednostki badawczej i analitycznej w Kaspersky powiedział, że jest wiele podobieństw pomiędzy backdoorem SolarWinds i narzędziem hakerskim Kazuar używanym przez Turla. Podobieństwa obejmują między innymi część kodu, który jest używany do ukrywania swoich funkcji przed analitykami ds. bezpieczeństwa,  sposobu w jaki hakerzy identyfikują swoje ofiary oraz formuły używanej do obliczenia czasu, kiedy wirus znajduje się w uśpionym stanie, aby uniknąć wykrycia. Według Raiu tego typu podobieństwo nie może być przypadkowe. Jednocześnie jednak podkreślił, że nie jest to równoznaczne z przypisaniem odpowiedzialności grupie Turla za SolaWinds, ale raczej wskazuje na pewne powiązanie pomiędzy narzędziami używanymi do hakowania i wyjaśnienia dalszego związku.

Należy jednak podkreślić, że może to być również operacja tzw. fałszywej flagi. Tego typu przypadki są bardzo często spotykane w cyberprzestrzeni. W 2015 roku francuska telewizja Le Monde została sparaliżowana przez cyberatak, który początkowo przypisano hakerom z ISIS. Dogłębna analiza wykazała jednak, że jego autorem byli Rosjanie. Podobna sytuacja miała miejsce w 2018 roku w trakcie Zimowych Igrzysk Olimpijskich, kiedy rosyjscy hakerzy podszywali się pod grupę z Korei Północnej.  Dlatego nie można wykluczyć, że hakerzy odpowiedzialni za atak na SolarWinds inspirowali się działalnością grupy Turla lub to, że narzędzia były zakupione od tego samego producenta szpiegowskiego oprogramowania.

Zespoły ds. bezpieczeństwa ze Stanów Zjednoczonych i innych państw cały czas badają incydent tak, aby ocenić pełny zakres tzw. haku dekady. Eksperci podkreślają, że miesiące zajmie zrozumienie pełnej skali ataku. 

Komentarze

    Czytaj także