În octombrie 2014, o companie de securitate americană a dezvăluit că un grup de hackeri afiliați cu guvernul rus, intitulat APT28, a atacat Georgia și alte țări est-europene, într-o campanie vastă de spionaj. Doi ani și jumătate mai târziu, grupul APT28, cunoscut și ca „Fancy Bear" sau „Sofacy", un nume familiar nu doar în industria de securitate cibernetică, dar și în cea comercială, odată cu atacul asupra partidului democrat american și scăpările de documente și emailuri.
Publicitate
Înainte de raportul de la FireEye, APT28 era un secret bine păstrat din industria de securitate cibernetică. La momentul respectiv, doar câteva companii erau dispuse să împărtășească informații despre grupul de hackeri. Chiar și Google a investigat grupul și a întocmit un raport de 40 de pagini despre ei, care nu a mai fost publicat până recent.
Documentul ăsta, pe care Motherboard l-a obținut de la două surse independente, ar putea fi ceva comun pentru serviciile secrete, dar publicul are rareori ocazia să vadă astfel de raport de la Google. Raportul se trage de la una dintre cele mai interesante surse de date ale companiei, din sectorul de malware și securitate cibernetică: VirusTotal, un depozit public de viruși, pe care gigantul internetului l-a achiziționat în 2012.În raport se arată că Sofacy și X-Agent, software malware utilizat de APT28, „sunt viruși folosiți de un grup sponsorizat de stat care s-a concentrat pe fostele republici sovietice, membrii NATO și alte țări din Europa de Vest."
„Se pare că cercetătorii de la Google știau foarte bine de Sofacy, înainte să ajungă la public."
Deși cercetătorii în securitate nu se complică să afle cine e cu adevărat în spatele acestor operațiuni, ei au dat de înțeles că sunt de acord cu informația acum populară, că APT28 lucrează pentru guvernul Rusiei, într-un mod deștept și indirect, sugerat chiar în titlul raportului: Peering into the Aquarium.
Publicitate
Deși pare un titlu obscur, pentru cei care urmăresc activitățile rusești de spionaj e o referință clară la sediul agenției de inteligență militară, cunoscută ca GRU sau Glavnoye Razvedyvatel'noye Upravleniye, mai pe scurt „Acvariul".„Se pare că cercetătorii de la Google erau complet conștienți de Sofacy, înainte să ajungă la public", a spus pentru Motherboard, după ce a analizat raportul, Matt Suiche, un cercetător de securitate și fondatorul conferințelor Comae Technologies și OPCDE. „De asemenea, au atribuit Sofacy și X-Agent Rusiei, înainte să fie anunțat de FireEye, ESET și CrowdStrike."
În raportul respectiv este notat că APT28 atacă un număr mare de ținte, cu viruși de stadiul întâi Sofacy, iar ăla mai sofisticat X-Agent, care recent a fost folosit împotriva unităților militare ale Ucrainei, este păstrat pentru „ținte prioritare".„Sofacy este de trei ori mai comun decât X-Agent în sălbăticie, cu peste 600 de mostre distincte", a declarat raportul Google.Când i s-a cerut un comentariu, un purtător de cuvânt de la Google a spus că „echipele de securitate ale companiei monitorizează constant potențiale amenințări pentru utilizatorii de internet și publică regulat informații pentru a-i proteja mai bine."În raport mai scria că Georgia are cel mai mare număr de infiltrări ale malware-ului Sofacy, urmată apoi de România, Rusia și Danemarca.Deși raportul e acum un pic cam vechi, demonstrează că în ciuda virusului sofisticat, APT28 a fost prins de multe ori în timp ce încerca să hack-uiască ținte de interes politic, ceea ce a trădat originea hackerilor din spatele numelui sec. De asemenea, demonstrează cum o companie ca Google, care nu are software-uri instalate pe sute de mii de computere ale clienților, ca alți producători de antiviruși sau comercianți specializați în securitate, tot poate afla destul de multe despre grupurile guvernamentale de hackeri, datorită celorlalte date la care are acces.Traducere: Diana Pintilie
