Технические показатели свидетельствуют о том, что компьютерные атаки, совершенные в России и других странах на этой неделе, были проведены хакерами, которые стоят за подобным, но большим нападением на Украину в июне, сообщили в среду исследователи безопасности, проанализировали обе кампании.
Российская киберфирма Group-IB сообщила, что вирус BadRabbit, который использовался при нападении на этой неделе, имел общий ключевой кусок кода с вирусом NotPetya, который ранее в этом году подорвал деятельность предприятий в Украине и во всем мире, и это подталкивает к выводу, что и сама группа несет ответственность.
Во вторник BadRabbit атаковал Россию, Украину и другие страны, заблокировав сайт российского информационного агентства «Интерфакс» и задерживая рейсы в одесском аэропорту, сообщает Голос Америки.
Несколько исследователей кибербезопасности связывают две атаки, ссылаясь на сходство кодировок вирусов и методы хакерства, почти указывая на связь.
Тем не менее, эксперты предостерегают, что установить связь между кибератаками и хакерами, как известно, очень сложно, поскольку хакеры регулярно используют методики для прикрытия своих следов, а иногда и умышленно вводят в заблуждение исследователей относителньо своей идентичности.
Исследователи безопасности в отделе Talos компании Cisco сказали, что BadRabbit имеет некоторое сходство с NotPetya, поскольку оба вируса были основаны на том же вредном программном обеспечении, но большая часть кода была переписана, а новый метод распространения вируса был менее сложным.
Они подтвердили, что BadRabbit использовал инструмент взлома под названием «Вечная романтика», который, как считается, был разработан Агентством национальной безопасности США (NSA), прежде чем был похищен и выпущен в Интернет в апреле.
NotPetya также использовал «Вечную романтику», а также другой инструмент NSA - «Вечный синий». Но Talos заявил, что они применили другой способ, и не было никаких доказательств, Bad Rabbit содержал «Вечный синий».
Большинство жертв BadRabbit находились в России, а лишь немного - в других странах, таких как Украина, Болгария, Турция и Япония.
Группа IB заявила, что некоторые части вируса BadRabbit датированы с середины 2014 года, однако, предполагая, что хакеры использовали старые инструменты от предыдущих атак. «Это соответствует временным рамкам Black Energy, поскольку группа начала свою заметную деятельность в 2014 году», - сказано в сообщении.
Напомним, 27 июня неизвестный вирус атаковал украинские банки, государственные и коммерческие предприятия. В СБУ заявили, что поражение компьютерных сетей в Украине произошло с помощью ранее известного, но модифицированного вируса-вымогателя Petya.A.
4 июля сотрудники департамента киберполиции совместно со специалистами СБУ и прокуратуры прекратили второй этап кибератаки Petya.
Президент Украины Петр Порошенко заявил, что Украина имеет доказательства того, что последняя кибератака была организована Российской Федерацией.
24 октября аэропорт «Одесса» и Киевский метрополитен подверглись хакерской атаке с помощью вируса BadRabbit.
Позже Служба безопасности Украины заявила, что сотрудники спецслужбы оперативно проанализировали и блокировали новые случаи поражения компьютеров отечественного сегмента сети Интернет вредоносным программным обеспечением.