Существует группа кибер-преступников, которые реально затрудняют жизнь для НАТО. Группа под названием Earworm в течение последних нескольких лет занимается тем, что она умеет делать лучше всего: кибер-войной. В результате своей деятельности группа сумела украсть конфиденциальные данные в ряде серьезных учреждений и у правительств некоторых стран.

Кто такие Earworm?

Имеющиеся сведения позволяют предполагать, что члены группы Earworm, известной также как Zebocracy, связаны с APT28 (известной также как Fancy Bear) – другой кибер-преступной группой, которая на протяжении многих лет осуществляет кражу сведений государственной важности в тех странах, которые рассматриваются ее членами в качестве врагов.

Министерство внутренней безопасности США и ФБР никогда не сомневались в том, что Earworm – это русские. В частности, они связывают эту группу с ГРУ (Главное разведывательное управление Министерства обороны РФ), СВР (Служба внешней разведки РФ) и ФСБ (Федеральная служба безопасности, наследница великого КГБ). Соединенные Штаты считают, что эти российские спецслужбы не только поддерживают Earworm и APT28, но и активно финансируют их деятельность.

Кого они атаковали?

Криминальное прошлое группы не такое длинное, но ее деятельность очень насыщенна и имеет далеко идущие планы. Впервые они проявили себя в 2016 году, когда сумели украсть конфиденциальную информацию из Национального комитета Демократической партии США (DNC). Также они стоят за атакой на Всемирное антидопинговое агентство (WADA), когда они смогли заполучить конфиденциальную информацию по ряду тестов на наркотики.

С тех пор деятельность группы преследует одну четкую цель: страны-члены НАТО, к системам которых они сумели заполучить доступ. Хотя СЩА являются одним из основных разоблачителей, голландское правительство также обвинило группу в краже информации у Международной организации по запрещению химического оружия (ОЗХО) со штаб-квартирой в Гааге. Национальный центр по информационной безопасности в Великобритании также обвинил Earworm и российские спецслужбы в осуществлении атак на институциональную информационную безопасность некоторых стран.

Как они это делают?

Точкой входа для кибер-атак Earworm является электронная почта. Они отправляли сотрудникам и руководителям интересующих организаций / правительственных учреждений электронные письма с вложениями, при этом выдавали себя за других личностей, которым получатели могли доверять. Как только получатели загружали вложенные файлы, в действие вступали две вредоносные утилиты:

  • Троян Zekapab. Это программное обеспечение устанавливалось на компьютер, после чего могло автоматически загружать другие вредоносные объекты.
  • Бэкдор Zekapab. Эта программа устанавливалась на компьютер жертвы, после чего могла делать скриншоты, запускать требуемые файлы и даже записывать нажатия клавиш, чтобы видеть все, что набирает пользователь на клавиатуре.

Помимо использования этих кибер-преступных техник, злоумышленникам удавалось в течение длительного периода времени оставаться в «полусонном» состоянии. Это позволяло им месяцами незаметно находиться в зараженных системах, не вызывая подозрений.

Как избежать таких атак

В 2019 году институциональная информационная безопасность стала одним из тех вопросов, который вызывает серьезную обеспокоенность во многих странах мира. Поэтому если любое государство не хочет столкнуться с теми проблемами, которые недавно наблюдались в Германии, то ему необходимо оперативно предпринимать меры безопасности.

1. Аутентификация. Самая распространенная тактика у кибер-преступников – это выдавать себя за высокопоставленного сотрудника той организации или учреждения, которое они пытаются атаковать. Такие учреждения должны защищать аутентификацию всех своих сотрудников и руководителей во избежание подобной кражи их «онлайн-личности».

2. Осведомленность и электронная почта. Сотрудники любой организации или учреждения, которому может угрожать опасность, должны знать, насколько важно соблюдать бдительность. Это означает, что нельзя доверять электронным письмам, которые имеют хотя бы малейшую подозрительность или содержат сомнительные вложения. Кроме того, если возникнет какая-либо проблема, они должны информировать об этом свое руководство, чтобы оперативно остановить кибер-атаку или, по крайней мере, свести ущерб от нее к минимуму.

3. Мониторинг. Независимо от того, насколько скрытны злоумышленники, если они проникают в ИТ-систему, то, как правило, они оставляют свои «следы», особенно, если кража проводится стремительно. По этой причине организации должны иметь самые современные решения информационной безопасности с опциями расширенной защиты. Одним из таких решений является Panda Adaptive Defense, который проактивно и автоматически осуществляет мониторинг всех процессов, запущенных в системе. Если существует любая причина для тревоги, решение в реальном времени срабатывает должным образом во избежание проблем.

4. Изолированная информация. Там, где это возможно, самая чувствительная и конфиденциальная информация должна храниться в системах, которые не имеют подключения к Интернету. Однако, как мы видели, даже этой меры может быть недостаточно: можно взломать устройство, которое не подключено к Интернету и к которому нет физического доступа со стороны кибер-преступников, при использовании электромагнитных излучений. Если же невозможно полностью изолировать системы от Интернета, то такая информация, по крайней мере, должна храниться в распределенном виде на разных серверах.

Возможны ситуации, когда реагирование происходит слишком медленно: кибер-атака уже прошла и мало что можно сделать. Существует реальная опасность того, что нечто подобное может случиться в любой стране, а это означает, что правительственные учреждения и организации должны быть бдительными и активно бороться в условиях кибер-войны – это единственный способ избежать серьезных последствий кибер-атаки.