Компания McAfee, специализирующаяся на компьютерной безопасности, обнаружила крупнейшую в истории кибератаку Operation Shady RAT. Нападение хакеров велось в общей сложности пять лет: первая атака произошла еще в середине 2006 года. Киберпреступники проникли в сеть 72 глобальных компаний, правительств и некоммерческих организаций по всему миру.
Среди пострадавших оказались правительства США, Тайваня, Индии, Вьетнама, Канады и Южной Кореи, Организация Объединенных Наций, ассоциация государств Юго-Восточной Азии, Международный олимпийский комитет, антидопинговое агентство (WADA) и различные компании – от подрядчиков, обеспечивающих государственный оборонный заказ, до высокотехнологичных предприятий. Значительная часть объектов, атакованных киберпреступниками, расположена в США.
Длительность присутствия хакеров в чужих системах варьируется от одного до 28 месяцев (именно столько продолжалось вторжение в сеть олимпийского комитета одной из азиатских стран). Секретариат ООН в Женеве не замечал нападения в течение двух лет: хакеры проникли в сеть в 2008 году и до 2010 года пользовались доступом к секретным документам.
Вице-президент McAfee Дмитрий Альперович отмечает, что во время атаки использовались ранее известные вирусы. «McAfee и раньше находила варианты вредоносного кода Generic Downloader.x и Generic.BackDoor.t с помощью эвристического анализа (те, кто сталкивался с этими специфическими угрозами, могут определить код по зашифрованным комментариям на веб-страницах, которые были отправлены с инфицированного компьютера)», — пишет в докладе Альперович.
«Значительная часть пострадавших восстановилась от вирусов: кто-то осознал серьезность угрозы, а кто-то просто почистил зараженный компьютер, не вникая в то, что проблема потери данных — это открытый вопрос», — добавляет он. Но некоторые компании до сих пор борются с последствиями вторжения.
В McAfee утверждают, что за вторжением стоял один «государственный субъект», но отказываются назвать источник. Джим Льюис, эксперт по кибербезопасности Центра стратегических и международных исследований, изучив данные McAfee, предположил, что это Китай. Организации, пострадавшие от хакеров, представляют интерес для Пекина, объясняет он. В частности, накануне Олимпийских игр в Пекине в 2008 году пострадали системы Международного олимпийского комитета и национальные олимпийские комитеты ряда стран.
«Все указывает на Китай. Это могут быть и русские, но большее указывает скорее на Китай, чем на Россию», — цитирует Льюиса Reuters.
Точно установить источник атаки нельзя, считает ведущий антивирусный эксперт Лаборатории Касперского Сергей Голованов: «Злоумышленники не оставляют следов. Даже в случае хищения конфиденциальной информации преступники пользуются ею крайне осторожно, чтобы не вызвать подозрения относительно происхождения данных».
Но это должна быть очень профессиональная группа, добавляет эксперт: «В ней должно быть четкое разделение сфер ответственности и хорошо налаженное руководство», — отмечает он. Расходы на организацию пятилетней работы такой группы из пяти человек могут составить около $30 млн.
Обнаружить взлом почти невозможно, добавляет руководитель направления информационной безопасности компании «Крок» Михаил Башлыков. «Появилось новое поколение ботнетов, написанных на профессиональном уровне. До определенного времени они не выполняют никаких злонамеренных операций, ожидая команды из центра управления», — объясняет он.
В последние пять лет количество кибератак, в том числе с использованием вредоносных программ, выросло в десятки раз. Изменились объекты нападения: вместо пользовательских хакеры взламывают сети крупных корпораций и правительственных структур.
По данным Лаборатории Касперского, по количеству хакеров лидируют Китай, страны бывшего СССР, в основном Россия и Украина, Бразилия и другие страны Латинской Америки, а также Турция.
Вероятность стать жертвой взлома зависит от механизмов и политики информационной безопасности конкретной компании, отмечают эксперты. «Современные решения позволяют обеспечить уровень безопасности, при котором, даже в случае проникновения ботнета в сеть, он не сможет реагировать на запросы и команды центра управления», — говорит Башлыков.
«Любая профессиональная группа хакеров в состоянии создать массу проблем даже компаниям, занимающимся информационной безопасностью», — возражает главный антивирусный эксперт «Лаборатории Касперского» Александр Гостев. И крупные корпорации не менее уязвимы. «Совсем недавно это продемонстрировали группы Anonymous и LulzSec. Данные, которые им удавалось украсть, и атаки, которые они осуществляли, – это практически полное отражение того, что постоянно происходит в сети, причем происходит годами», — говорит эксперт.
Похищение данных может спровоцировать глобальные экономические проблемы, прогнозирует Альперович:
«Даже если часть этих сведений будет использована в конкурентной борьбе, потери могут нанести значительный экономический ущерб не только отдельным компаниям и отраслям, но странам в целом.
Им угрожает замедление экономического роста из-за резко изменившихся конкурентных условий и потеря рабочих мест в отраслях, которые будут проигрывать недобросовестным конкурентам из другой части света, не говоря о рисках, возникающих для национальной безопасности».