Русские хакеры уже 20 лет используют один и тот же Linux-троян.
В понедельник, 3 апреля, исследователи «Лаборатории Касперского» представили на конференции Security Analyst Summit результаты исследования, проведенного совместно со специалистами Королевского колледжа Лондона и профессором Томасом Ридом (Thomas Rid). Исследование было посвящено одной из самых первых в истории кампаний по кибершпионажу Moonlight Maze («Лунный свет»), проводимой российскими спецслужбами 20 лет назад.
В ходе исследования эксперты решили изучить логи компьютера, игравшего роль сервера для одного из web-сайтов в 1998 году. Сайт был взломан и использовался в ходе операции по кибершпионажу. К большой удаче исследователей, владелец сервера, британец Дэвид Хеджес (David Hedges) до сих пор хранит как сам компьютер HP 9000, так и его логи (на спрятанном в сейфе оптическом диске Magneto).
В 1998 году Скотланд-Ярд связался с Хеджесом и сообщил, что его компьютер, как и десятки других, был взломан. Правоохранители попросили не предпринимать никаких действий, а в течение 6 месяцев записывать все действия киберпреступников, шпионя за шпионами.
«Я всегда знал, что когда-нибудь это будет интересно, поэтому я положил его (ред. – диск с данными) в сейф и забыл о нем, пока мне не позвонил Томас», – приводит Wired слова Хеджеса. В результате в распоряжении исследователей оказались сведения об активности хакеров за полгода.
В ходе кампании кибершпионы взломали десятки правительственных и военных ведомств США. Ученым даже удалось обнаружить образец используемого ими древнего вредоносного кода. Современная модификация вредоноса используется до сих пор российской хакерской группировкой Turla, подозреваемой в связях с правительством РФ. По мнению исследователей, ядро команды хакеров также могло остаться еще с 90-х годов, а значит, проводимая ею операция по кибершпионажу является одной из самых продолжительных за всю историю.
«Мы наблюдаем эволюцию используемых методов. Они (ред. – русские хакеры) занимаются этим уже 20 лет, а то и больше», – отметил Рид.
Как выяснилось в ходе исследования, для похищения данных со взломанных компьютеров кибершпионы использовали Linux-троян Loki2. Код вредоноса был впервые опубликован в хакерском журнале Phrack в 1996 году и приобрел большую популярность. Модифицированная версия трояна использовалась группировкой Turla для атаки на швейцарскую технологическую компанию RUAG в 2014 году.
«Этот бэкдор существует уже два десятилетия и до сих пор применяется в атаках. Когда им (ред. – хакерам) необходимо скрыть свои действия на Linux- или Unix-машинах, они сдувают пыль с этого кода и снова используют», - отметил эксперт ЛК Хуан Андрес Герреро-Шаде (Juan Andres Guerrero-Sade).
Как отметили исследователи, их работа вовсе не доказывает, что стоящая за Moonlight Maze группировка и Turla – одно и то же. Тем не менее, использование Loki2 может оказаться первой зацепкой. По мнению Рида, операция Moonlight Maze продолжается и по сей день, однако со временем она эволюционировала. Если связь между Turla и Moonlight Maze действительно существует, значит, группировка является одной из самых долгоживущих (если не самой долгоживущей) кибершпионских организаций, сопоставимой разве что только с Equation Group, связываемой с Агентством национальной безопасности США.
Живой, мертвый или в суперпозиции? Узнайте в нашем канале