Кибератаку на МИД Австрии совершили подконтрольные ФСБ хакеры – СМИ

Кибератаку на МИД Австрии совершили подконтрольные ФСБ хакеры – СМИ

Укринформ
Беспрецедентную кибератаку на МИД Австрии, которая до сих пор продолжается с 3 января, скорее всего, осуществляет подконтрольная российскому ФСБ хакерская группировка Turla, также известное как Venomous Bear ("Ядовитый медведь") с использованием своего нового шпионского инструмента Topinambour.

Об этом говорится в статье австрийского общественного телерадіомовника ORF.

"Общий ход кибернападения, как и выбранная для атаки цель высокого уровня, характерна для группы Turla, которая известна своей агрессивной "внешней разведкой". После обнаружения Turla всегда вступает в жесткие кибербои с технарями атакуемых сетей. Сейчас это все еще происходит в министерстве иностранных дел республики", – говорится в материале ексредактора специализированного австрийского сайта "Futurezone", IТ-эксперта Эриха Мохеля.

Читайте также: Хакеры “валят” МИД Австрии третью неделю подряд

По словам эксперта, большая вероятность того, что Turla использует в ходе атаки на компьютерную сеть МИД Австрии свой новый "чисто шпионский инструмент", разработанный в прошлом году – Topinambour. Использование этого "Топинамбура" и связанных с ним новых модулей усложнило как именно обнаружения атаки, так и противостояние ей.

В своем материале автор напомнил, что летом 2019 года "Лаборатория Касперского" опубликовала анализ, посвященный появлению "Топинамбура" в арсенале Turla, также известной как Venomous Bear ("Ядовитый медведь"), Waterbug и Uroboros. Сам по себе "Топинамбур" является NET-модулем, который используется на начальных стадиях атаки и предназначен для загрузки уже известного "троянца" этой группировки KopiLuwak, написанного на JavaScript, и его новых аналогов, разработанных на базе PowerShell и .NET.

Создание "Турлой" этого вредоносного ПО с практически одинаковыми функциями, но разными языками программирования очень сильно усложнило обнаружение хакерского проникновения: после того, как на компьютере жертвы была замечена одна из версий KopiLuwak, запускается аналог "троянца" на другом языке. Кроме того, риски выявления сводятся к минимуму благодаря использованию системного реестра Windows для хранения зашифрованных данных, которые затем эксплуатируются вредоносным ПО. И в придачу вся эта шпионская IТ-инфраструктура практически не оставляет следов - единственным файловым доказательством на компьютере жертвы остается крошечный стартовый приложение.

Читайте также: Аналитический центр European Values стал мишенью российских хакеров

Как отмечает Эрих Мохель, сразу после обнаружения хакерского вмешательства две недели назад IТ-специалисты австрийского МИД пытались установить файерволлы между различным подразделениями для фильтрации внутреннего трафика и идентификации инфицированных файлов. Однако, сделать это чрезвычайно сложно. Эта "безфайловая" атака, как ее называют технари, дает возможность "Ядовитому медведю" реагировать на контрмеры, которые применяют защитники: только IТ-специалисты очистили сетевой сегмент, "как прилетают новые строки Windows с обновлениями Turla, которые опять все разрушают". При этом, просто "отключить" огромную IТ-сеть МИД невозможно, поскольку она обеспечивает бесперебойное функционирование более 100 посольств и представительств по всему миру.

Согласно эксперту, независимо от того, как долго Turla находится в спящем режиме в целевой сети, она атакует из-за какого-то повода: "Эти медведи становятся активными, как только Москве нужно что-то узнать о внешней политике". Для примера он указывает на то, что в случаях с атаками на правительственные цели в Германии они происходили тогда, когда "политическое противостояние между странами НАТО и Россией из-за конфликта в Украине достигали апогея и шла речь о новых санкциях".

Читайте также: НАТО может отреагировать на кибератаку в отношении любой страны Альянса - Столтенберг

Предполагается, что кибератака на австрийский МИД связана со сменой правительства в стране и возможным поворотом во внешней политике: пророссийского курса – как было при бывшей главе МИД Карин Кнайссль – уже не будет точно, но и сами австрийские политические обозреватели гадают, как будет вести себя Австрия: строгий нейтралитет или все же – дрейф в сторону НАТО.

В то же время, кибератаки Turla всегда "связаны с политическими процессами" и несут определенный месседж – ведь нападавшие точно знали, что рано или поздно вмешательство будет обнаружено и наглая атака на хорошо защищенную сеть не может долго оставаться незамеченной. Учитывая это, эксперт высказывает предположение: "Австрия, наверное, сделала в течение последних месяцев определенный шаг на дипломатическом и глобальном политическом уровне, который России очень не понравился".

Подробнее о крупнейшей в истории Австрии кибератаку читайте в материале на сайте Укринформа.

При цитировании и использовании каких-либо материалов в Интернете открытые для поисковых систем гиперссылки не ниже первого абзаца на «ukrinform.ru» — обязательны, кроме того, цитирование переводов материалов иностранных СМИ возможно только при условии гиперссылки на сайт ukrinform.ru и на сайт иноземного СМИ. Цитирование и использование материалов в офлайн-медиа, мобильных приложениях, SmartTV возможно только с письменного разрешения "ukrinform.ua". Материалы с пометкой «Реклама», «PR», а также материалы в блоке «Релизы» публикуются на правах рекламы, ответственность за их содержание несет рекламодатель.

© 2015-2020 Укринформ. Все права соблюдены.

Дизайн сайта — Студия «Laconica»

Расширенный поискСпрятать расширенный поиск
За период:
-