Grupul aflat în spatele campaniei globale de spionaj cibernetic descoperită luna trecută au folosit împotriva producătorulu iamerican de software SolarWinds un cod malițios legat de instrumente de spionaj utilizate în trecut de hackeri ruși, au declarat luni investigatori citați de Reuters.
Investigatorii companiei de securitate cibernetică Kaspersky, din Moscova, au declarat că ”ușa din spate” folosită pentru a compromite până la 18.000 de clienți ai producătorului american de software SolarWinds seamănă foarte mult cu malware-ul legat de un grup de hacking cunoscut sub numele de ”Turla”, despre care autoritățile estone au spus că operează în numele serviciului de securitate FSB din Rusia, scrie News.ro.
Constatările sunt primele dovezi disponibile publicului care susțin afirmațiile Statelor Unite potrivit cărora Rusia ar fi orchestrat atacul cibernetic care a compromis o serie de agenții federale sensibile și se numără printre cele mai ambițioase operațiuni cibernetice dezvăluite vreodată.
Moscova a negat în mod repetat acuzațiile. FSB nu a răspuns la o cerere de comentarii.
Costin Raiu, șeful activităților de cercetare și de analize globale la Kaspersky, a declarat că există trei asemănări distincte între ușa din spate folosită la SolarWinds și un instrument de hacking numit ”Kazuar”, care este utilizat de Turla.
Asemănările includ felul în care ambele programe malware au încercat să-și ascundă funcțiile de analiștii de securitate, modul în care hackerii și-au identificat victimele și formula folosită pentru a calcula perioadele în care virușii au rămas latenți, în efortul de a evita detectarea.
”O astfel de constatare ar putea fi respinsă. Două astfel de lucruri mă fac să ridic o sprânceană. Trei sunt mai mult decât o coincidență” a spus Raiu.
Atribuirea cu siguranță a atacurilor cibernetice este extrem de dificilă și este presărată cu posibile capcane. Când hackerii ruși au întrerupt ceremonia de deschidere a Jocurilor Olimpice de iarnă în 2018, de exemplu, au imitat în mod deliberat un grup nord-coreean pentru a încerca să devieze vina.
Raiu a spus că indicii digitale descoperite de echipa sa nu implică în mod direct Turla în atacul împotriva SolarWinds, dar arată că există o conexiune determinată între cele două instrumente de hacking. Este posibil să fi fost desfășurate de același grup, a spus el, dar și faptul că Kazuar a inspirat hackerii SolarWinds, ambele instrumente au fost achiziționate de la același dezvoltator de spyware sau chiar că atacatorii au plantat ”steaguri false” pentru a induce în eroare anchetatorii.
Echipele de securitate din Statele Unite și din alte țări încă lucrează pentru a determina raza de aplicare a atacului cibernetic împotriva SolarWinds.
Anchetatorii au spus că ar putea dura luni de zile pentru a înțelege amploarea agtacului cibernetic și chiar mai mult pentru a evacua hackerii din rețelele victimelor. Agențiile de informații americane au declarat că hackerii erau ”probabil de origine rusă” și au vizat un număr mic de victime de profil înalt, ca parte a unei operațiuni de colectare a informațiilor.