Русия е заподозряна в голяма хакерска атака срещу енергийни фирми

Фирмени системи за контрол на стотици европейски и американски компании са били заразени със сложна програма за кибервойна от хакерска група, която най-вероятно действа с подкрепата на Русия. Това съобщи "Файненшъл таймс", позовавайки се на специалисти, коментиращи предупреждение от Symantec, една от водещите в света компании за онлайн сигурност.
В специално съобщение компанията описва, че става дума за зловреден софтуер, вкаран в сървъри и системи на компаниите чрез две известни програми - Backdoor.Oldrea (позната още като Havex или Energetic Bear) и по-старата Trojan.Karagany. С него може тайно да се наблюдава в реално време потреблението на енергия в определена част от света или да се предизвика авария в такива системи като мрежи от ветрогенератори, газопроводи или електростанции. Програмата е сходна на Stuxnet - продукт на САЩ и Израел, използван преди 2 години за заразяване и саботиране рабтотата на иранските обекти за обогатяване на уран.
Този път обаче дейността идва от Източна Европа и най-вероятно става дума за Русия, тъй като групата, наричана Dragonfly (на други фирми за компютърна сигурност тя е известна като Energetic Bear) изглежда много добре финансирана и обезпечена с необходимите ресурси, за да успее в продължение на 18 месеца да проникне в компютърните системи на повече от 1000 организации и институции в 84 държави. Най-активно Energetic Bear е действала в Испания и САЩ, следвани от Франция, Италия и Германия, но също така и в Полша, Румъния, Турция и Сърбия.
Първоначалните случаи на заразяване от Energetic Bear сочели, че програмата се използва единствено за шпионаж. Но в понеделник Symantec съобщи, че нов "вектор на атаката" сочи от началото на годината друга цел - да се овладее контролът на реални обекти от енергийната система.
От Dragonfly са успели в края на 2013г. да заразят и продукцията на поне три водещи фирми за системи за инудстриален контрол. Когато те изпращали на клиентите си обновяване на софтуера, с него по веригата се промъквала и зловредната програма. Смята се, че така се е случило поне с 250 компании.
Специалистите на Symantec твърдят, че заразата е плъзнала без контрол, но при проследяване на това къде са били активирани тайните програми от създателите си, се очертало предназначението им. Смятаме, че Dragonfly "са технически много умели, мислят стратегически, базирани са в Източна Европа и имат всички характерни черти на държавно финансирана организация", допълват те.
Symantec не посочва изрично Русия, а "Файненшъл таймс" посочва, че в миналото Китай се е занимавал с подобна хакерска дейност срещу енергийния сектор, прикривайки следите си през руски сървъри и компютри.
Стюарт Пул-Роб, бивш служител на МИ6 и британското военно разузнаване, твърди, че "това са хора от ФАПСИ (Федералната агенция за правителствени съобщения на Русия, част от руското контраразузнаване, за която се смята, че е основното звено за хакерски атака и кибершпионаж - бел.ред.), работещи за Матушка Рус". Според него "за да атакуваш цял сектор по този начин и на такова равнище, за събиране на стратегически данни и контрол, означава, че това по някакъв начин е санкционирано от властите".
За съществуването на групата Dragonfly на Symantec е известно поне от 2011г., но тя може да е била активна преди това. Първоначално действията й са били насочени срещу компании от авиацията и отбраната в САЩ и Канада, а от началото на 2013г. интересът й се фокусира върху енергийния сектор на САЩ и Европа.
Тя използва най-различни методи, включително разпращане на заразени електронни съобщения и манипулиране на интернет сайтове, често посещавани от хора, работещи в енергетиката.
След като заявяват, че Dragonfly изглежда е финансирана от държавата организация, от компанията добавят: "Анализът показва, че групата работи предимно между понеделник и петък и то изключително между 9 и 18 часа във времевата зона UTC +4 (известно още като Московско лятно време - бел.ред.), поради което смятаме, че я е базирана в Източна Европа."