Хакеры осуществили взлом IT-систем госструктур США с помощью инструментов, используемых российской киберпреступной группировкой Turla. Об этом говорится в исследовании лаборатории Касперского. Служба внешней разведки Эстонии считает, что члены этой группировки работают на ФСБ РФ.
Исследователи выяснили, что вредоносное ПО Sunburst и программа для удаленного доступа Kazuar, разработанная хакерами из Turla, практически совпадают.
Схожими оказались инструменты, с помощью которых обе части вредоносного Sunburst становились незаметными, а также методы обнаружения потенциальных жертв. Практически идентичными были и формулы, используемые злоумышленниками для расчета времени, когда вирусы находились в «спящем» режиме с целью избежать обнаружения.
«Один такой вывод можно было бы отвергнуть. Два совпадения заставляют меня поднять бровь. Три — это больше, чем совпадение», — заявил Reuters один из авторов исследования Костин Райю.
Авторы исследования предположили, что Sunburst могли разработать те же хакеры — из группировки Turla. Другое возможное объяснение совпадения — разработчики трояна Kazuar позже стали работать в команде, создавшей Sunburst. Также специалисты не исключают, что сходство программ — попытка пустить расследователей по ложному следу.
Масштабная атака на системы клиентов компании SolarWinds, поставляющей программное обеспечение для предприятий и госструктур, произошла в середине декабря. В результате внедрения вредоносного ПО на платформу Orion пострадали компания Microsoft, министерство финансов США, ряд штатов, Госдепартамент, министерство энергетики США и другие структуры. Госсекретарь Майк Помпео тогда заявил, что в масштабной кибератаке участвовали хакеры из России.
Группировка Turla также известна под именами Snake, Venomous Bear или «Уроборос». Два года назад ее хакеров обвиняли во взломе сетей федерального правительства Германии и хищении данных немецкого МИД, а в 2014 году в результате операции Epic Turla пострадали пользователи 45 стран.
