Кібернапад на МЗС Австрії здійснили підконтрольні ФСБ хакери – ЗМІ
Про це йдеться у статті австрійського суспільного телерадіомовника ORF.
"Загальний хід кібернападу, як і обрана для атаки ціль високого рівня, є характерним для групи Turla, яка відома своєю агресивною "зовнішньою розвідкою". Після виявлення Turla завжди вступає в жорсткі кібербої з технарями атакованих мереж. Зараз це якраз все ще відбувається у міністерстві закордонних справ республіки", – йдеться у матеріалі ексредактора спеціалізованого австрійського сайту "Futurezone", ІТ-експерта Еріха Мохеля.
За словами експерта, велика ймовірність того, що Turla використала у ході атаки на комп’ютерну мережу МЗС Австрії свій новий "суто шпигунський інструмент", розроблений торік – Topinambour. Використання цього "Топінамбура" та пов’язаних із ним нових модулів ускладнило як саме виявлення атаки, так і протистояння їй.
У своєму матеріалі автор нагадав, що влітку 2019 року "Лабораторія Касперського" опублікувала аналіз, присвячений появі "Топінамбура" в арсеналі Turla, також відомої як Venomous Bear ("Отруйний ведмідь"), Waterbug та Uroboros. Сам по собі "Топінамбур" є NET-модулем, що використовується на початкових стадіях атаки та призначений для завантаження вже відомого "троянця" цього угрупування KopiLuwak, написаного на JavaScript, та його нових аналогів, розроблених на базі PowerShell та .NET.
Створення "Турлою" цього шкідливого ПЗ із практично однаковими функціями, але різними мовами програмування дуже сильно ускладнило виявлення хакерського проникнення: після того, як на комп’ютері жертви було помічену одну з версій KopiLuwak, запускається аналог "троянця" іншою мовою. Крім того, ризики виявлення зводяться до мінімуму завдяки використанню системного реєстру Windows для зберігання зашифрованих даних, які потім експлуатуються шкідливим ПЗ. І на додачу: вся ця шпигунська ІТ-інфраструктура практично не залишає слідів – єдиним файловим доказом на комп'ютері жертви залишається крихітний стартовий додаток.
Як зазначає Еріх Мохель, відразу після виявлення хакерського втручання два тижні тому ІТ-спеціалісти австрійського МЗС намагалися встановити файєрволи між різним підрозділами для фільтрації внутрішнього трафіку та ідентифікації інфікованих файлів. Однак, зробити це надзвичайно складно. Ця "безфайлова" атака, як її називають технарі, дає змогу "Отруйному ведмедю" реагувати на контрзаходи, які вживають захисники: щойно ІТ-спеціалісти очистили мережевий сегмент, "як прилітають нові рядки Windows з оновленнями Turla, які знову все руйнують". При цьому, просто "відімкнути" величезну ІТ-мережу МЗС неможливо, оскільки вона забезпечує безперебійне функціонування понад 100 посольств та представництв по всьому світу.
Згідно з експертом, незалежно від того, як довго Turla знаходиться в сплячому режимі в цільовій мережі, вона атакує через якийсь привід: "Ці ведмеді стають активними, як тільки Москві треба щось дізнатися про зовнішню політику". Для прикладу, він вказує на те, що у випадках з атаками на урядові цілі в Німеччині вони відбувалися тоді, коли "політичне протистояння між кранами НАТО та Росією через конфлікт в Україні сягали апогею і йшла мова про нові санкції".
Припускається, що кібератака на австрійське МЗС пов’язана зі зміною уряду в країні та можливим поворотом в австрійській зовнішній політиці: проросійського курсу – як було при колишній главі МЗС Карін Кнайссль – уже не буде точно, але й самі австрійські політичні оглядачі гадають, як поводитиме себе Австрія: суворий нейтралітет чи все ж – дрейф у бік НАТО.
Водночас, кібератаки Turla завжди "пов’язані з політичними процесами" і несуть певний меседж – адже нападники точно знали, що рано чи пізно втручання буде виявлено і нахабна атака на добре захищену мережу не може довго залишатися непоміченою. З огляду на це, експерт висловлює припущення: "Австрія, напевно, зробила протягом останніх місяців певний крок на дипломатичному та глобальному політичному рівні, який Росії дуже не сподобався".
Детальніше про найбільшу в історії Австрії кібератаку читайте в матеріалі на сайті Укрінформу.