Компания FireEye, специализирующаяся на компьютерной безопасности, заявила о выявлении на территории России хакерской группировки, которая регулярно ведет слежку за чиновниками из Грузии и стран Восточной Европы, а также за военными и охранными организациями.
По данным исследователей, группа APT28 активна как минимум с 2007 года, а спонсируется она, скорее всего, на государственном уровне. Как правило, атаки заключались в рассылке писем по электронной почте, в которых жертву убеждали открыть тот или иной файл, содержащий вирус, или перейти по ссылке. APT28 пыталась установить на атакуемые компьютеры такие инструменты для шпионажа, как загрузчик Sourface, бэкдор Eviltoss для исполнения шелл-кода и кражи паролей, а также Chopstick.
В докладе FireEye отмечается, что деятельность российских хакеров трудно отследить, так как они практически не оставляют улик. В качестве доказательства причастности APT28 к России приводится то, что большая часть комментариев, обнаруженных в коде программ, написана на русском языке. Кроме того, 96% вредоносного ПО было скомпилировано в будни, между понедельником и пятницей, в рабочие часы: с 9 утра до 6 вечера по московскому времени.
"Мы не располагаем фотографиями здания, именами или названиями государственных ведомств. Все, что у нас есть, это доказательство длительных, целенаправленных операций, которые указывают на государственного спонсора, в частности — на правительство, базирующееся в Москве", — сообщили в FireEye.
Источники: доклад FireEye (PDF), Computerworld