Grupul aflat în spatele campaniei globale de spionaj cibernetic descoperită luna trecută au folosit împotriva producătorului american de software SolarWinds un cod maliţios legat spionaj utilizate în trecut de hackeri ruşi, au declarat luni investigatori citaţi de Reuters.
Investigatorii companiei de securitate cibernetică Kaspersky, din Moscova, au declarat că "uşa din spate" folosită pentru a compromite până la 18.000 de clienţi ai SolarWinds seamănăcu malware-ul legat de un grup de hacking cunoscut sub numele de "Turla", despre care autorităţile estone au spus că operează în numele serviciului de securitate FSB din Rusia.
Constatările sunt primele dovezi disponibile publicului care susţin afirmaţiile Statelor Unite potrivit cărora Rusia ar fi orchestrat atacul cibernetic care a compromis o serie de agenţii federale.
Moscova a negat în mod repetat acuzaţiile. FSB nu a răspuns la o cerere de comentarii.
Costin Raiu, şeful activităţilor de cercetare şi de analize globale la Kaspersky, a declarat că există trei asemănări distincte între uşa din spate folosită la SolarWinds şi un instrument de hacking numit "Kazuar", care este utilizat de Turla.
Asemănările includ felul în care ambele programe malware au încercat să-şi ascundă funcţiile de analiştii de securitate, modul în care hackerii şi-au identificat victimele şi formula folosită pentru a calcula perioadele în care viruşii au rămas latenţi, în efortul de a evita detectarea.
"O astfel de constatare ar putea fi respinsă. Două astfel de lucruri mă fac să ridic o sprânceană. Trei sunt mai mult decât o coincidenţă" a spus Raiu.
Atribuirea cu siguranţă a atacurilor cibernetice este extrem de dificilă şi este presărată cu posibile capcane. Când hackerii ruşi au întrerupt ceremonia de deschidere a Jocurilor Olimpice de iarnă în 2018, de exemplu, au imitat în mod deliberat un grup nord-coreean pentru a încerca să devieze vina.
Raiu a spus că indicii digitale descoperite de echipa sa nu implică în mod direct Turla în atacul împotriva SolarWinds, dar arată că există o conexiune determinată între cele două instrumente de hacking. Este posibil să fi fost desfăşurate de acelaşi grup, a spus el, dar şi faptul că Kazuar a inspirat hackerii SolarWinds, ambele instrumente au fost achiziţionate de la acelaşi dezvoltator de spyware sau chiar că atacatorii au plantat "steaguri false" pentru a induce în eroare anchetatorii.
Echipele de securitate din Statele Unite şi din alte ţări încă lucrează pentru a determina raza de aplicare a atacului cibernetic împotriva SolarWinds.
Anchetatorii au spus că ar putea dura luni de zile pentru a înţelege amploarea agtacului cibernetic şi chiar mai mult pentru a evacua hackerii din reţelele victimelor. Agenţiile de informaţii americane au declarat că hackerii erau "probabil de origine rusă" şi au vizat un număr mic de victime de profil înalt, ca parte a unei operaţiuni de colectare a informaţiilor.