Сопоставив информацию об активности, используемых инструментах и способах действий, исследователи пришли к выводу, что три группировки создавались с разными целями — политический и экономический шпионаж (Uroburous), предварительное позиционирование России для ведения будущей кибервойны (Energetic Bear), а также мониторинг и регулирование геополитической ситуации (APT28). Эти цели, по мнению авторов материала, могут привести к главным действующим лицам, стоящим за организацией атак.
В таблице ниже сгруппирована представленная исследователями основная активность российских хакеров за последние годы.
Атака посредством Agent.btz (Uroburous) на Министерство обороны США Обнаружение шпионского ПО Turla (Uroburous), направленного на правительственные учреждения Европы и США Snake, аналог Turla (Uroburous), атаковал Украину Атака Energetic Bear с помощью Backdoor.Oldrea на корпорации США и Канады: авиация, подрядчики оборонных ведомств, энергетика 2008 2009 2010 2011
Источник: Recorded Future, 2014
Смотреть таблицу целиком
Деятельность описанных групп является хорошо спланированной на стратегическом, тактическом и операционном уровнях, о чем свидетельствуют постоянно меняющиеся, но непересекающиеся цели, полагают исследователи Recorded Future. Организованная и аккуратная работа российских кибергрупп, отмечают они, делает затруднительными их идентификацию и анализ по сравнению, например, с небрежностью китайских хакеров. Все это возводит Россию в ранг серьезной киберугрозы в мировом масштабе.
По информации Александра Гостева, главного антивирусного эксперта «Лаборатории Касперского», в настоящий момент нет фактов, подтверждающих, что упомянутые в статье программы использовалась какими-либо спецслужбами, так же как и нет стопроцентной уверенности в российском гражданстве их создателей.
«Определить страну, из которой исходит атака, можно по многим факторам. Прежде всего, анализ кода: если там есть какие-то русские слова, написанные кириллицей, или ошибки, которые обычно свойственны именно русским авторам, — объясняет Александр Гостев. — С нашей точки зрения, их одних недостаточно для таких выводов. Многое можно найти при анализе серверов управления вредоносной программой, IP-адресов, использованных хакерами, и т.д. Но главное — помнить, что в виртуальном мире атрибуция является чрезвычайно непростой задачей. Косвенные признаки, указывающие на языковую или национальную принадлежность, иногда могут быть оставлены злоумышленником специально, чтобы направить следствие в неправильную сторону. Это долгий процесс, требующий тесного взаимодействия между компаниями безопасности, жертвами и правоохранительными органами разных стран мира, и при этом зачастую не приводящий к результату».
Однако условная «специализация» кибергруппировок по странам все же существует. Валентин Крохин, заместитель директора Центра информационной безопасности компании «Инфосистемы Джет», говорит о такой специфике: «Деятельность русскоязычных хакеров направлена на отъем денег во всех его видах. Китайские хакеры более заинтересованы в промышленном шпионаже. Европейские и американские тоже любят деньги, но среди них силен так называемый хактивизм, когда кибератаки направлены на достижение социальных и, как это ни странно, правозащитных целей».
Отчет Recorded Future можно посмотреть на официальном сайте.