СМИ

© РИА Новости, Кирилл Каллиников | Перейти в фотобанкВ статье делается попытка "разоблачения" хакерской группы Dukes, которую автор считает состоящей на службе Кремля. Хакеры проникли в данные министерств иностранных дел двух восточноевропейских стран и одного государства Евросоюза, включая сеть посольства этой страны ЕС в Вашингтоне.

В случае с печально известным взломом серверов Национального комитета Демократической партии (DNC) в 2016 году группа российских хакеров, известная под названием «Фэнси Беар» (Fancy Bear), оказалась в центре внимания, когда слила электронную переписку и документы, которые похитила во время бесцеремонной кампании, проводившейся с целью повлиять на результаты президентских выборов в США. Но в сети DNC вторгалась и другая, гораздо более неприметная группа кремлевских хакеров. В последующие три года эта вторая группа «залегла на дно» и почти не показывалась — пока аналитики компании, работающей в сфере информационной безопасности (ИБ), не заметили ее в разгар другой шпионской кампании, которая незаметно продолжалась на протяжении шести лет.

Сегодня специалисты словацкой ИБ-компании ESET опубликовали обнаруженные сведения, которые свидетельствуют о многолетней шпионской кампании, проводившейся группой спонсируемых Кремлем хакеров, которую ESET называет Dukes. Эта хакерская группа также известна под названиями Cozy Bear и APT29, и ее связывают с российской Службой внешней разведки (СВР). ИБ-специалисты компании ESET обнаружили, что хакеры из группы Dukes проникли в сети, по меньшей мере, трех объектов: министерств иностранных дел двух восточноевропейских стран и одного государства Евросоюза, включая сеть посольства этой страны ЕС в Вашингтоне. В компании ESET отказались дать более подробную информацию об этих объектах кибератак и отметили, что число жертв нападений этих хакеров может быть больше, чем они выявили.

ИБ-специалисты обнаружили, что шпионские операции продолжались и в течение нескольких лет до взлома серверов DNC, и в последующие годы (вплоть до июня этого года). При этом хакеры использовали совершенно новый набор вредоносных программ, в некоторых из которых применялись новые тактики, позволявшие избежать обнаружения. «Они обновили свой арсенал, — говорит аналитик компании ESET Матье Фау (Matthieu Faou), который представил новые данные на конференции ESET, проходившей на этой неделе в Братиславе, Словакия. — Они не прекращали свою шпионскую деятельность».

Операция «Призрак»

После того, как хакерскую группу Dukes обнаружили в сетях DNC в июне 2016 года, она не совсем ушла в тень. Позже в том же году и в 2017 году против нескольких американских аналитических центров и неправительственных организаций, а также правительственных ведомств Норвегии и Нидерландов совершались операции адресного фишинга, и сообщения, как полагают, отправляли хакеры этой группы. Были ли эти фишинговые операции успешными, и удалось ли хакером проникнуть в сети указанных объектов, неизвестно. Кроме того, около года назад ИБ-фирма FireEye связала с этой хакерской группой еще одну повсеместную волну фишинговых атак, хотя в компании ESET говорят, что в последнем случае электронные сообщения содержали только общедоступные вредоносные программы, поэтому трудно доказать их однозначную связь с группой Dukes.

В отличие от этого, во время операции киберпреступников, которая была обнаружена недавно и которую ИБ-специалисты компании ESET назвали «Призрак» (Ghost Hunt), хакерам удалось внедрить в сети атакуемых объектов, по меньшей мере, три новые шпионские программы. Они также использовали уже известный бэкдор MiniDuke, благодаря которому специалисты компании ESET связали более масштабную шпионскую кампанию с группой Dukes, несмотря на недавнее исчезновение группы. «Они ушли в тень, и у нас было мало информации, — говорит Фау. — Но за последние полтора года мы проанализировали несколько вредоносных программ, семейств, которые поначалу не были связаны с ними. Несколько месяцев назад мы поняли, что это были хакеры Dukes».

Фактически, одна из хакерских атак с использованием бэкдора MiniDuke, началась в 2013 году — до того, как эта вредоносная программа была публично идентифицирована, что служит явным свидетельством того, что незаконное проникновение совершила именно хакерская группа Dukes, а не кто-то другой, кто взял вредоносное ПО из другого источника.

Тактические хитрости

В своих новых инструментах группа Dukes использует тактики, позволяющие им действовать незаметно и скрывать свои коммуникации внутри атакованной сети. Среди них — бэкдор FatDuke, названный с учетом его размера, эта вредоносная программа занимает необычные 13 мегабайт, из которых 12 МБ занимает обфускатор, код, позволяющий избежать обнаружения. Чтобы скрыть свою связь с командным сервером (C