Специалисты смогли узнать, кого атаковали злоумышленники и как они проводили свои операции.
Специалистам швейцарской ИБ-компании Prodaft удалось получить доступ к серверам, использовавшимся хакерской группировкой, связанной со взломом SolarWinds. Благодаря этому они смогли узнать, кого атаковали злоумышленники и как они проводили свои операции. По словам специалистов, в текущем месяце хакерская операция все еще продолжалась.
ИБ-экспертам удалось взломать принадлежащую киберпреступникам компьютерную инфраструктуру и изучить подробности масштабной вредоносной кампании, имевшей место с марта по август прошлого года. В ходе кампании злоумышленники атаковали тысячи компаний и правительственных организаций в Европе и США. Целью киберпреступной группировки, названной исследователями SilverFish, был шпионаж и похищение данных, сообщили в Prodaft.
По данным исследователей, SilverFish осуществили «чрезвычайно сложные» кибератаки как минимум на 4720 жертв, в том числе на правительственные учреждения, IT-провайдеров, десятки банков, организации ЕС, крупные аудиторские и консалтинговые фирмы, а также на мировых лидеров на рынке тестирования на COVID-19, авиации и оборонных технологий.
В атаках на жертв злоумышленники использовали не только бэкдор в ПО SolarWinds, но и другие методы. Эксперты Prodaft не относят SilverFish к правительству какой-то конкретной страны, но уточняют, что она является APT-группировкой. По их словам, хакеры демонстрируют признаки группировки, финансируемой правительством. В частности, они не преследуют финансовой выгоды и атакуют критическую инфраструктуру.
Однако для того чтобы отнести группировку к какому-то конкретному правительству, требуется более детальный анализ. К примеру, из отчета Prodaft не следует, что за атаками стоят хакеры из России (по мнению американских властей, ответственность за атаки SolarWinds стоят русские).
Отчет швейцарской ИБ-компании был принят скептически многими американскими специалистами в области кибербезопасности, считающими, что кибератаки - операция российских кибершпионов. Тем не менее, исследователи компании Malwarebytes охарактеризовали выводы Prodaft как «обоснованные».
Специалисты компании также рассказали о том, как злоумышленники проводили свою операцию. По их словам, хакеры работали в стандартное рабочее время - с понедельника по пятницу с 8:00 до 20:00. Их серверы располагаются в России и Украине, и некоторые из них также используются группировкой Evil Corp.
Группа представляет собой «чрезвычайно хорошо организованную» кибершпионскую организацию, состоящую из четырех команд под названиями 301, 302, 303 и 304. SilverFish атаковала правительственные организации и крупные корпорации, в том числе из списка Fortune 500. При этом хакеров не интересовали организации в России, Украине, Узбекистане и Грузии. Больше всего от рук хакеров пострадали организации в США (2465 организаций) и Европе (1466 организаций), в том числе в Италии, Нидерландах, Дании, Австрии, Франции и Великобритании.
Хакеры писали комментарии «на русском сленге и просторечии», в то время как английский был вторым основным языком. Исходный код также содержал идентификационные номера и псевдонимы, включая «новый хакер», «cyberbro netsupport» и «walter», для 14 человек, которые, вероятно, работали под руководством четырех команд, говорится в отчете.
Спойлер: мы раскрываем их любимые трюки