Google следит за деятельностью «русских» хакеров

В октябре 2014 года компания FireEye раскрыла подробности кампании по кибершпионажу, в рамках которой хакерская группировка APT28 (также известная как Fancy Bear или Sofacy), предположительно связанная с правительством РФ, атаковала ряд объектов в Грузии и других восточноевропейских странах. Более широкую известность группировка приобрела после кибератаки на серверы Национального комитета Демократической партии США.

До публикации отчета FireEye информация о существовании APT28 не выходила за пределы ИБ-сообщества. В 2014 году специалисты Google составили отчет о деятельности группировки, однако он так и не был обнародован. Доклад под названием Peering into the Aquarium («Заглядывая в аквариум») основан на данных одного из наиболее интересных источников Google - online-сканера VirusTotal, который компания приобрела в 2012 году.

Как указывается в документе, вредоносное ПО Sofacy и X-Agent «применяются спонсируемой правительством группировкой, чьей целью в основном являются бывшие республики СССР, страны-участницы НАТО и другие западноевропейские государства». В большинстве кибератак группировка использует вредоносное ПО Sofacy, тогда как X-Agent применяется только для атак на «высокоприоритетные цели», пишут эксперты. В то время как исследователи не заостряют внимание на том, кто в действительности стоит за атаками, они косвенно намекают, что APT28 работает на российское правительство. Указание на это содержится в самом названии отчета (штаб-квартира ГРУ РФ также известна как «Аквариум»).

«По всей видимости, исследователям Google было хорошо известно о Sofacy до того, как информация стала публичной, - отметил специалист Comae Technologies Мэтт Суиче (Matt Suiche) в интервью Motherboard. - Они также приписали Sofacy и X-Agent России до того, как это сделали FireEye, ESET или CrowdStrike».