Украинские хакеры «угнали» компьютеры ведомств Британии

Компания Finjan, занимающаяся компьютерной безопасностью, изучила огромную сеть удаленно управляемых персональных компьютеров и выяснила, что кибер-преступники, хозяева этого ботнета, располагаются в Украине.  Об этом сообщает ВВС.

В «сферу влияния» этого ботнета попало и несколько компьютеров в сетях шести ведомств британского правительства. Finjan передала подробную информацию об этом лондонскому управлению полиции, и та сейчас проводит соответствующее расследование.

Представитель правительственной канцелярии, которая следит за соблюдением правил использования информационных технологий во всех правительственных учреждениях, заявил, что конкретные кибер-атаки комментировать не будет «из соображений безопасности».

«Правительство не подтверждает и не опровергает сообщения о том, что какое-либо подразделение стало объектом атаки. Мы также не комментируем ни результатов атаки, ни ее происхождения», – заявил он.

«Мы постоянно следим за существующими и возникающими факторами риска и стремимся их минимизировать, ставя в известность наши ведомства и давая им рекомендации по отражению угроз», – добавил представитель.

Уже второй раз за год входящие в правительственные сети компьютеры подвергаются взлому и становятся частью ботнетов. В последнем случае хакерам удалось, используя слабости в интернет-браузерах, заразить и «угнать» компьютеры, включив их в ботнеты.

Как только в машину проникла первая хакерская программа, она используется для того, чтобы сгрузить новые программы, и тогда компьютер оказывается полностью во власти взломщиков.

«Угнанные» компьютеры могут считывать электронные адреса, копировать файлы, записывать удары по клавишам, отправлять спам-сообщения и «фотографировать» изображения на экране (screen shots).

Как только «угнана» одна машина в корпоративной сети, остальные также оказываются под угрозой.

Канцелярия правительства отказалась сообщить, в каких именно ведомствах компьютеры оказались под контролем мошенников, равно как и то, какие действия выполняли «угнанные» компьютеры.

На хакерском форуме в России киберпреступники (которые пока не задержаны) продавали доступ к зараженным машинам – преимущественно в составе корпоративных сетей. За тысячу компьютеров-рабов на торгах давали от $50 до $100.

По данным компании Finjan, ботнет находится под контролем шести преступников, которые могут удаленно управлять зараженными машинами.

Почти половина зараженных машин находятся в США. 6% – примерно 114 тыс. машин в 52 разных организациях – располагаются в Британии, в том числе один компьютер в сети ВВС также оказался «ботоносцем».

Большинство зараженных машин может быть выявлено обычной корпоративной практикой обеспечения информационной безопасности. Но, по данным Finjan, многие машины в составе ботнетов по-прежнему активны.

В сети хакеров попали компьютеры 70 различных правительственных департаментов разных стран.

Ювал Бен-Итцхак, главный технический специалист Finjan, рассказал ВВС: «Когда мы посмотрели на доменные имена, чтобы узнать, какие компьютеры оказались в хакерской сети, мы с удивлением обнаружили целых ряд правительственных сетей в разных странах, в том числе в Британии».

«Мы, разумеется, сообщили им об этом, проблемы были решены. Только в Британии в шести правительственных департаментах по крайней мере на одной машине работали ботовские программы».

«Называть эти организации я не могу, но эта ситуация характерна не только для Британии: такие же программы мы обнаружили на машинах других правительственных сетях, не британских».

На всех зараженных машинах была установлена операционная система Windows, а враждебные программы проникали в них, используя бреши в защите браузеров Internet Explorer и Firefox.

По словам Бен-Итцхака, «уникальны сами масштабы этой сети. В прошлом году в ней были сотни тысяч. Сейчас речь идет о мега-ботнете».

Представитель Лондонского управления полиции сообщила: «Следствие продолжается. Мы знаем об этом ботнете и принимаем соответствующие меры».

Крупные ботнеты используются для координации атак, которые выводят из строя некоторые участки сети или отдельные веб-сайты в режиме оффлайн. Такие акции хакеров получили название «распространяемый отказ сервиса».

В прошлом году Центр безопасности национальной инфраструктуры (CPNI) — правительственное агентство, входящее в Британскую службу безопасности — в докладе правительству заявил, что положить конец таким атакам непросто:

«Атаки такого рода не отличаются высоким технологическим уровнем, но чрезвычайно эффективны из-за большого числа зараженных машин, которые в них задействованы».

«Защититься от хорошо продуманного распространяемого отказа сервиса сложно без того, чтобы не затронуть нормальных бизнес-пользователей».

CPNI считает, что лучшая защита от таких нападений — внимательное наблюдение за работой сети и соблюдение рекомендаций по обеспечению компьютерной безопасности.

Дмитрий Костюк