Російські хакери-«змії» знову атакують Німеччину

Журнал «Шпігель» повідомив у четвер, 29 листопада, про те, що, за його даними, німецький Бундестаг, а також військові електронні мережі вчергове стали жертвами добре спланованої хакерської атаки.

Провину за цей напад німецькі фахівці покладають на групу, відому одразу під двома назвами: Snake та Turla.

За даними контррозвідки ФРН, група ця є російською, більш того – діє, як підрозділ ФСБ РФ.

За інформацією, оприлюдненою «Шпігелем», нападові були піддані одразу кілька «поштових скриньох» німецьких депутатів, які або є відомими своєю антикремлівською позицією, або є задіяними в роботі комісій та комітетів Бундестагу, пов'язаних із стратегічно важливими галузями – обороною, військовою промисловістю тощо.

Окрім того, паралельно з цим нападом, були здійснені атаки на сервери Бундесверу та кількох німецьких посольств.

Німецьке Федеральне управління з захисту Конституції (Bundesverfassungsschutz) повідомило, що «в межах протидії кібератакам, були зареєстровані напади з боку групи «Snake».

Жертвами переважно стали держслужбовці та політики».

Російська «змія».

Власне, напад було проведено не на сервери німецького парламенту, а на сервери тих партій та їх парламентських фракцій, які вважаються «антипутінськими» - переважно, постраждали депутати від німецької партії «зелених».

Хто ж, власне, така ця «Змія» (саме так перекладається з англійської назва цієї хакерської групи, Snake), яка вже вкотре намагається «вкусити» німецьких політиків та військових? Ці хакери давно вже відомі не лише німецьким контррозвідникам, чиї IT-фахівці вважають їх «винятковою хакерською командою», тому що її методи роботи дуже нагадують непогано організовані дії військового підрозділу, а апаратура, яку вона використовує, є найсучаснішою та найскладнішою з тих, яку використовують інші хакери.

За діями цієї групи напружено слідкують не лише німецькі контррозвідники, а й їх естонські колеги, які в Євросоюзі відповідають за загальноєвропейський захист від кібератак.

Вони також дійшли висновку, що група Snake або ж Turla – це ніхто інший, як російські ефесбешники.

В Німеччині група Snake стала відомою своєю атакою на закриту урядову інформаційну систему IVBB, яка сталася на початку цього року.

Щоправда, офіційно не було доведено, що за цією атакою стоять саме ці хакери, але матеріали, які отримав «Шпігель», вже тоді дозволяли принаймні окреслити стиль «роботи» цієї групи.

Зрештою, результатами «зміїної» діяльності контррозвідники могли «милуватися», починаючи ще з 1998 року, коли група Snake вперше взяла участь в шпигунській кампанії проти Пентагону – кампанії, яка стала майже легендарною серед «кібербійців» під назвою Moonlight Maze.

Два роки поспіль американське оборонне відомство піддавалося шпигунським нападам за всіма правилами тодішнього хакерського мистецтва.

Вже тоді американці були переконані, що за всім цим стоять саме російські шпигуни – щоправда, вважалося, що працюють вони, скоріш, на якогось іноземного замовника (дехто вказував пальцем на китайців).

Але лише минулого, 2017-го, року (тобто через 19 років після Moonlight Maze), німецькі фахівці встановили зв’язок між цією атакою та актуальним на той момент комп’ютерним вірусом із робочою назвою Turla.

Російська хакерська група використала для створення цього вірусу частини старого коду, який використовувала в 1998 році, модернізувавши його.

В 2008 році група здійснила атаку на американських військових за допомоги віруса Agent.

BTZ, діставши доступ до деяких секретних документів Пентагону.

Проникнення вірусу було зареєстровано на одній з американських військових баз на Близькому Сході, за допомоги USB-накопичувача – тобто, спрацював хтось із співробітників бази.

Тоді Пентагонові знадобилося майже 14 місяців, щоб «вичистити» свої системи від цього віруса.

Вивчення обох цих вірусів довело, що програмісти, які його писали, спілкуються російською мовою як рідною.

Окрім того, подальщі частини коду також були розпізнані, як фрагменти більш ранніх російських хакерських програм.

Втім, знову ж таки: юридично подібні речі не вважаються прямими доказами – хіба що побічними.

Оця сама «скупість» - повторне використання та подальща розробка старих кодів – стала своєрідною «візитівкою» групи, вона відслідковується в усіх нині відомих її операціях.

Вірус Uroborus, виявлений в 2014 році, має схожість із вірусом Agent.

BTZ – це шпигунський софт, яким було інфіковано безліч міністерств, секретних служб, посольств, дослідницьких інститутів та фірм по всьому світові.

Свою назву він дістав від працівників німецької компанії G Data, чиї фахівці його вперше помітили та дослідили.

Їх висновок: «це надзвичайно високорозвинений та складний шпигунський софт, який розробляли комп’ютерні експерти високого класу».

Ральф Бенцмюллер, один із фахівців G Data, вважає, що й до сьогодні саме ці експерти є активними.

На його думку, «скоріш за все, це якісь службовці – фірма або державна установа».

Почерк хакерів із Snake різко відрізняється від почерку, скажімо, китайських хакерів або навіть російської ж групи, відомої, як APT 28.

Основними принципами роботи «змій» є, перш за все, непомітне вилучення інформації навіть з комп’ютерів, які взагалі не є підключеними до відкритого Інтернету, розповідає Бенцмюллер.

Окрім того, група дуже добре вміє захищати власні коди від викриття за допомоги антивірусних програм.

Цей опис, загалом, дуже пасує до того, що з’ясували досі про групу Snake німецькі контррозвідники, користуючись даними про злам урядового німецького інтранету IVBB та серверів Міністерства закордонних справ Німеччини: софт, який було тоді використано, є надзвичайно комплексним.

Він не просто переправляв великі масиви інформації до контрольного сервера, а ще й цілеспрямовано шукав ключові слова в документах, а також виконував пошук конкретних користувачів, які працювали з «закритими» темами.

Сам же вірус після проникнення в систему спочатку взагалі нічого не робив, залишався пасивним, аби його завчасно не помітили.

Активізувавшись, він переправляв до «замовника» аж цілих 240 кілобайт інформації – надто малу кількість, щоб хтось це помітив, просто «сигнальний пакет».

Без вказівки, яку було отримано від неназваної «дружньої» спецслужби (дехто вважає, що це були американці, а дехто – що естонці), цей вірус, певно, й досі залишився б непоміченим.

Основними принципами роботи «змій» є, перш за все, непомітне вилучення інформації навіть з комп’ютерів, які взагалі не є підключеними до відкритого Інтернету.

Прямих доказів нема.

Останнього разу, як повідомляє «Шпігель», результатом атаки стала крадіжка принаймні трьох секретних документів.

Всі три мають прямий стосунок до Росії – точніш, до російсько-української «гібридної» війни.

На жаль, і цього разу просто фізично неможливо напряму звинуватити російські спецслужби: німецьке й загалом європейське «кіберзаконодавство» є просто ще не досить розвиненим, аби чітко визначати ту чи іншу інформацію в якості доказів.

Навіть самі німці не остаточно впевнені: «Може так статися, що хакери навмисне підкинули фальшиві вказівки на причетність росіян, це технічно можливо» - пояснює Бенцмюллер.

Саме ця невизначеність і дає змогу Кремлю раз по разу заперечувати свою участь в атаках.

Або, як казав путінський речник Дмітрій Песков: «Ми з жалем усвідомлюємо, що всі хакерські атаки на світі пов’язуються з російськими хакерами.

Прямих доказів цього нема».

Щоправда, можливо – панові Пескову нема за чим побиватися.

Медійний ажіотаж навколо кожної подібної атаки лише підтримує імідж російських державних хакерів, як «чарівників», яким все на світі доступно.

Цей імідж вже настільки розповсюдився, принаймні, серед німців, що вони вже встигли навіть вигадати про це кілька дотепних анекдотів.

Наприклад, про користувачку антивірусного пакету лабораторії Касперського, яка німецькою мовою запитує онлайно-підтримку: мовляв, чи нема для моїх даних небезпеки з боку російських хакерів? На що співробітник онлайн-служби відповідає їй російським казенним: «Нікак нєт!».

Борис Немировський, для «Главкома».