На минувшей неделе стало известно, что хакеры атаковали компьютеры и серверы компании Mitsubishi Heavy Industries, Ltd., связанной с оборонной и атомной промышленностью Японии. Точная цель злоумышленников пока не известна, однако предполагается, что ею был промышленный шпионаж, ведь атакованное предприятие занимается производством, в том числе, двигателей для истребителей, оборудования для конвойных кораблей Минобороны Японии, а также корпусов и защитных оболочек для атомных реакторов. Всего было атаковано 80 компьютеров корпорации.
Весной этого года неизвестные хакеры взломали компьютеры компании Lockheed Martin – одного из главных поставщиков Пентагона, а также компании RSA, выпускающей средства криптографической защиты для крупных корпораций и государственных организаций.
"Анализ вредоносных программ и серверов, с которыми взаимодействовали зараженные компьютеры, четко показывает наличие во всех этих атаках "китайского следа", - сказал РИА Новости Александр Гостев.
"Китайский след" означает, что серверы, которые использовались при атаке на Mitsubishi Heavy Industries, Ltd., участвовали и в атаках на RSA и Lockheed Martin.
Эксперт не исключает, что все три атаки могла организовать одна и та же хакерская группировка, хотя и признает, что у данной версии есть контраргументы.
КОНТРАРГУМЕНТЫ
"Мы насчитываем примерно 8-9 разных хакерских группировок, которые очень активно занимаются шпионажем. В поведении атакующих четко наблюдается направленность: их интересуют военные секреты. Связаны ли между собой группы, участвовавшие в последних атаках – это вопрос", - рассказал РИА Новости Гостев.
По словам Гостева, все эти группировки используют примерно одинаковые методы атак, но собственное вредоносное ПО, которое обновляют крайне редко. Именно это позволило антивирусным специалистам создать примерную классификацию разных хакерских групп. Однако в атаке на Mitsubishi Heavy Industries, Ltd. использовался ранее неизвестный троянец. Это может означать как то, что одна из известных групп просто обновила свое ПО, так и то, что атаку на Mitsubishi Heavy Industries, Ltd. организовала ранее неизвестная группа.
Кроме того, на минувшей неделе появилась неофициальная информация о том, что зараженные компьютеры японской компании обменивались информацией с серверами, расположенными не только в Китае, но и в Гонконге, Индии и США, что существенно расширяет количество вариантов местонахождения киберпреступников.
Точно об атаке на японскую компанию можно сказать лишь, что ей предшествовала крайне тщательная подготовка, считает Гостев.
ТЩАТЕЛЬНАЯ ПОДГОТОВКА
Большая часть успеха хакеров в этой атаке была обеспечена тщательной предварительной подготовкой, которая длилась несколько месяцев, считает Александр Гостев. По его словам, программа, с помощью которой хакеры атаковали Mitsubishi, в течение долгого времени оставалась недетектируемой большинством антивирусов.
"На подготовку такой программы требуются месяцы тестирования и отладки", - отметил эксперт.
По словам Гостева, на тщательную подготовку этой атаки указывает и тот факт, что внутри программы содержались точные адреса внутренних серверов Mitsubishi Heavy Industries, Ltd., а также логины и пароли для доступа к ним. Такую информацию можно было добыть лишь после предварительных изысканий.
Первоначально произошло заражение только одного компьютера, за которым работал конкретный сотрудник компании. По словам Гостева, хакеры послали ему письмо, в котором содержался вредоносный PDF-файл. Содержание письма было сформировано таким образом, чтобы жертва открыла прикрепленный файл. По словам Гостева, чтобы составить правдоподобное письмо, хакерам пришлось детально проанализировать всю информацию о конкретном сотруднике – выяснить его распорядок дня, круг общения и список мероприятий, который он планировал посетить. Выбор пал на конкретного сотрудника еще и потому, что на его рабочем компьютере стояла устаревшая версия программы Adobe Reader – через давно известную уязвимость в программном обеспечении Adobe хакеры и загрузили на компьютер жертвы свою троянскую программу.
Сам троянец действовал просто: попав в компьютер, он устанавливал зашифрованное соединение с сервером злоумышленников и предоставлял последнему возможность действовать дальше. Эксперт рассказал, что, по имеющимся данным, взлом и похищение нужной хакерам информации осуществлялся вручную – злоумышленники избегали загрузки дополнительных модулей, чтобы снизить вероятность обнаружения. Такой метод позволил им оставаться незамеченными службой безопасности в течение месяца.
Остается неизвестным, что конкретно похитили хакеры, однако, по оценке Гостева, заказчикам – если таковые были – данная атака обошлась в несколько десятков тысяч долларов.
По данным опубликованного в понедельник исследования "Лаборатории Касперского", девять из десяти компаний сталкивались с хакерскими атаками в 2010 году. В трети случаев атаки закончились потерей конфиденциальных данных. По подсчетам российской компании Group IB, занимающейся расследованиями киберпреступлений, в минувшем году хакерам удалось заработать около 7 миллиардов долларов, передает РИА Новости.
