Министерство внутренней безопасности США призывает владельцев критически важных инфраструктурных объектов к тщательной проверке компьютеров, так как они могут быть заражены вредоносным ПО. Атакуют американцев русские хакеры, которых называют "Энергомедведь".
А русский ли "медведь"?
Как хакеры сами себя называют и из России ли они на самом деле, точно никто не знает. Но группа атакует в основном энергетические компании и действует в часы, примерно соответствующие рабочему дню в европейской части России. Кстати, американским программистам для борьбы с "Энергомедведем", или Energetic Bear, приходится пить много энергетиков, ведь в США в это время глубокая ночь. Но в английском слова Energetic и Energy Drink никак не пересекаются, хотя совпадение забавное.
Шпионаж и саботаж
Итак, российские (видимо) хакеры, по сообщениям Symantec и F-Secure, используют Havex Trojan, чтобы подчинить себе компьютеры и использовать их для получения необходимой информации. Структура ISC-CERT, подконтрольная Министерству внутренней безопасности США, рекомендует компаниям проверить свои серверы и компьютеры на предмет наличия инфекции и снабжает их информацией о том, как действовать, чтобы не допустить утечки данных в будущем.
Согласно сообщениям Symantec Havex - высокотехнологичный троян, который дает своим владельцам возможность удаленного доступа к компьютеру. Такие типы вредоносного ПО называют RAT. Обычно такие вирусы используются в шпионских целях, но в случае необходимости способны и повредить зараженное устройство. Представители Symantec утверждают, что пока сложно обвинять хакеров в желании уничтожить важные и секретные данные или сломать компьютеры энергетических компаний. Никаких намеков на такие интенции пока нет. А вот в стремлении проследить за корпорациями и узнать, как они устроены, и, возможно, выявить слабые места, никто не сомневается.
Список пострадавших
Америка старается быть впереди планеты всей в области борьбы с киберпреступлениями, но на самом деле пострадали не только Штаты. В общей сложности нападению подверглись 1018 компаний в 84 странах. США на втором месте по количеству атак, а на первом - Испания. Также в топе Франция, Италия и Германия.
Поймать крупный бизнес на удочку непросто, поэтому группа "Энергомедведь" использует разные способы. В первую очередь корпоративную почту забрасывают электронными письмами, в которых содержатся автоматические гиперссылки на троян. Кроме того, заражаются сайты, на которых часто появляются сотрудники корпорации-жертвы. Разносчиком заразы может, например, стать портал ближайшего ресторана, в который работники ходят на бизнес-ланч.
Высокие технологии
Исследователи удивляются тому, что "Энергомедведи" способны не только вмешиваться в работу оперативной системы компьютера и отдельных программ, но и проникать в основу основ любого ПК и сервера - в BIOS. Именно это дает им возможность раз и навсегда уничтожить неугодное устройство. Достаточно поменять несколько настроек в BIOS, и что-нибудь сгорит.
Атака российских хакеров напоминает по своему принципу операцию "Олимпийские игры", которую в 2010 г. американцы провели совместно с Израилем, чтобы прорвать компьютерную оборону Ирана. Вирус Stuxnet позволил нарушить работу заводов по обогащению урана.
Вот что пишет о группе Energetic Bear также известной как Dragonfly ("стрекоза") официальный портал Symantec:
ИСТОРИЯ ВОПРОСА
Группа Dragonfly, также носящая название Energetic Bear, известна с 2011 г., но, возможно, хронология ее деятельности уходит еще дальше. До начала 2013 г. основной мишенью Dragonfly были предприятия оборонной и авиационной промышленности США и Канады, после чего злоумышленники переключились на американские и европейские энергетические компании.
Группа Dragonfly располагает мощной ресурсной базой, разнообразными инструментами для создания вредоносных программ и механизмами распространения атак. В результате самой амбициозной кампании шпионажа злоумышленникам удалось внедрить вредоносные троянские компоненты в промышленные системы управления (ICS) поставщиков оборудования для получения удаленного доступа. Установка вредоносных программ осуществлялась в процессе загрузки обновлений программного обеспечения на компьютеры, подключенные к оборудованию ICS. В результате заражения злоумышленники получили не только доступ к сетям взломанных организаций, но и возможность проведения диверсионных действий на зараженных компьютерах ICS.
Высокий уровень технических возможностей свидетельствует о том, что деятельность Dragonfly имела поддержку на государственном уровне. В атаках группы задействовано множество каналов распространения и сторонних веб-сайтов. За это время мишенью Dragonfly стало множество организаций энергетического сектора. Очевидно, что главным мотивом Dragonfly следует считать кибершпионаж, а саботаж — его дополнительной потенциальной выгодой.