Когда 7 апреля помощник президента США по национальной безопасности Бен Родс в эфире телекомпании CNN заявил, что некие хакеры смогли похитить из компьютеров Белого дома важную информацию, сначала CNN, а потом и другие западных СМИ появилось сообщение, что речь идет о хакерах из России. По схожему сценарию СМИ отреагировали и на атаку хакеров на сети Госдепа США 13 апреля. Как нетрудно предположить, зарубежные СМИ и в этот раз в один голос твердили, что ответственность за это киберпреступление безоговорочно несет Россия, которая якобы направила своих российских сетевых взломщиков добывать в Госдепе данные о переговорах США и ряда европейских стран относительно возможных очередных экономических и политических санкций против Москвы.
Атака не удалась. Ее остановили специалисты компании FireEye, которая работает с целевыми кибератаками, обеспечивая ИБ государственным и коммерческим организаций. После своевременно предпринятых мер, — еще на стадии, когда в сетях только появился подозрительный запрос на доступ к конфиденциальной информации, — специалисты по ИБ заблокировали сеть, не дав возможность хакерам получить данные. IT-эксперты FireEye заявили, что киберпреступники использовали для взлома сети ранее неизвестные уязвимости нулевого дня в ПО Adobe Flash для просмотра активного контента, а также операционной системы Microsoft Windows. Примечательно, что для входа в сети Госдепа США хакеры использовали правительственные компьютеры одной из стран-союзниц США.
По данным FireEye, хакеры намеривались вынудить жертву перейти по фейковой ссылке, которая хотя внешне и не отличалась от валидной, но вела на подконтрольный хакерам web-сайт. Но перед этим внесенная в систему через вредоносное ПО позволяло использовать имеющуюся в проигрывателе Flash (CVE-2015-3043), после чего предпринималась попытка повышения привилегий через брешь в Windows (CVE-2015-1701). Уязвимость в Windows, связанная с эскалацией прав доступа, сама по себе привести к таким последствиям не смогла бы, если бы не ошибка в ПО Adobe, которую удалось с ней совместить.
В компании FireEye по первым результатам расследования заявили, что сорванная кибершпионская операция русских называлась Operation RussianDoll. При этом проводившие расследование IT-специалисты высказывали свои версии, подозрения, предположения. Однако помимо голых подозрений, никаких иных свидетельств о причастности к кибератаке именно российских хакеров, и прямых доказательств нет. Представители FireEye также высказали предположение, что атака была произведена одной из известных группировок хакеров — APT28 (Advanced Persistent Threat 28, Расширенная постоянная угроза 28), которая уже в октябре 2014 года, воспользовавшись вредоносной программой Sofacy, сумела проникнуть в компьютеры американских военных атташе и военных компаний, офицеров НАТО и правительственных чиновников Грузии и других стран, чем, по мнению аналитиков, интересуется Кремль.
К слову сказать, о русском следе APT28 в октябре прошлого года заявлял главный антивирусный эксперт компании «Лаборатория Касперского» Александр Гостев. И когда при атаке 13 апреля были обнаружены схожие с октябрьским сетевым вторжением вредоносы, и в СМИ тут же появились материалы что и в октябре, IT-эксперты FireEye решили заявить, что столкнулись с APT28, если только не принимать в расчет утверждения «аналитиков» о нарастающей киберагресиси Россия. Есть и хорошие вести. Компания Adobe уже заявила о внесенных исправлениях обнаруженных уязвимостей ПО. Компания Microsoft также активно закрывает системную брешь.
.png)