Российские хакеры использовали домашние сети, чтобы скрыть свои атаки на госучреждения

Когда в этом году элитная команда российских правительственных хакеров попыталась взломать сотни разведывательных целей, они использовали умный инструмент, чтобы замести следы: мобильные и домашние компьютерные сети ничего не подозревающих американцев, по словам нескольких экспертов по кибербезопасности.

По словам экспертов, хакеры, которые, как считается, работают на Службу внешней разведки России, использовали так называемые «резидентные прокси-серверы IP», чтобы получить доступ и избежать обнаружения.

В ходе длящейся хакерской атаки, раскрытой Microsoft в понедельник, сообщается, что компания уведомила «609 клиентов о том, что с мая они подвергались атакам 22 868 раз», причем показатель успешности выражался низкими однозначными числами. Microsoft назвала российскую хакерскую группу «Нобелиум». Эту же группу обвинили в причастности к атаке на SolarWinds, раскрытой в декабре прошлого года.

Основными целями хакерской кампании, которая, как предполагается, продолжается, являются «правительственные организации и другие организации, занимающиеся вопросами, представляющими интерес для России», - сказал Чарльз Кармакал, старший вице-президент компании по кибербезопасности Mandiant, которая работала с Microsoft. для выявления предполагаемых атак со стороны России. Кармакал сказал, что хакеры использовали резидентные IP-прокси, представляющие собой IP-адреса, связанные с определенным местоположением, которые можно приобрести в Интернете.

Предполагаемые жертвы включают правительственные учреждения США, неправительственные организации и фирмы, занимающиеся компьютерной безопасностью, по словам анонимного источника Bloomberg.

Посольство России в Вашингтоне не комментирует ситуацию.

Как и в случае со взломом SolarWinds, российские хакеры атаковали организации, «являющиеся неотъемлемой частью глобальной цепочки поставок ИТ», согласно сообщению Microsoft. Они использовали обходной путь, чтобы попытаться взломать свои конечные цели.

При взломе SolarWinds, предоставляющей программное обеспечение для мониторинга ИТ и инструменты управления, злоумышленники поместили вредоносное ПО в обновления для популярного программного продукта. Обновив программное обеспечение, клиенты SolarWinds непреднамеренно установили цифровой бэкдор, который впоследствии можно было использовать для дальнейшего проникновения. В конечном итоге в результате дальнейших атак пострадали около 100 компаний и девять государственных агентств США.

По словам Microsoft, в недавних кибератаках хакеры сосредоточились на компаниях, которые предоставляли технологические услуги конечным целям. При этом они, возможно, пытались найти более слабое звено и, возможно, обойти меры безопасности предполагаемой жертвы. В одном примере, подробно описанном Microsoft, они взломали четырех разных провайдеров, прежде чем добраться до конечной цели. Поставщики технологических услуг подвергались атакам с использованием различных средств, включая вредоносное ПО, целевой фишинг и попытки подбора паролей.

Используя резидентные IP-прокси, попытки хакеров взломать сеть будут казаться менее подозрительными, исходящими от мобильных телефонов США или домашних интернет-сетей, а не с компьютеров в России. Со стороны атака российского хакера может выглядеть как попытка сотрудника войти в систему со своего мобильного телефона.

«Домашние прокси-серверы позволяют кому-то отмывать свой интернет-трафик через ничего не подозревающего домашнего пользователя, чтобы создать впечатление, будто трафик исходит от домашнего широкополосного клиента в США, а не откуда-то, например, из Восточной Европы», - говорит Дуг Мэдори, директор по интернет-анализу компании по кибербезопасности Kentik.

По словам Кармакала, хакеры воспользовались услугами как минимум двух провайдеров резидентных IP-прокси, которые отказались их идентифицировать.

По словам Кармакала, хакеры могли проводить свою кампанию в течение нескольких месяцев, избегая обнаружения. «Они используют гигантские пулы локальных IP-адресов для подбора паролей. Поэтому не часто пытаются войти в одну и ту же учетную запись через один и тот же IP-адрес несколько раз».

Марк Роджерс, вице-президент по стратегии кибербезопасности Okta, сказал: «Домашние прокси-серверы сейчас являются предпочтительным выбором для широкого круга киберпреступников».

«Теперь они используются для множества вещей, потому что вы можете выглядеть как невинный житель Грузии», - сказал он.

Джин Ю, генеральный директор компании по кибербезопасности Resecurity, сказал, что провайдеры прокси-серверов для жилых помещений использовались Nobelium и другими хакерскими группами для обхода средств контроля безопасности. Он определил Bright Data, Oxylabs, IP Burger в качестве прокси-провайдеров, используемых Nobelium и другими хакерскими группами для обхода мер безопасности. Ю сказал, что его компания отслеживает эти компании, потому что они часто используются хакерскими организациями.

Другой человек, знакомый с тактикой Nobelium, подтвердил, что Nobelium использовала трех провайдеров прокси, названных Ю.

Компания Bright Data, базирующаяся в Израиле, сообщила в своем заявлении, что не обнаружила никаких указаний на то, что ее сети использовались Nobelium. В интервью главный исполнительный директор Bright Data Ор Ленчнер сказал, что компания проводит строгие проверки соответствия и проверки своих клиентов.

Вайдотас Седис, глава управления рисками литовской Oxylabs, сказал: «Мы проводим внутреннее расследование в свете информации, недавно опубликованной Microsoft. Наше внутреннее расследование не выявило каких-либо злоупотреблений нашими услугами».

Bloomberg News не смог определить, откуда работает IP Burger или кто владеет компанией, поскольку крмпания не ответила на запрос о комментариях.

Ю сказал, что прокси-компании настаивают на том, что они отслеживают вредоносную активность, но «на практике это фактически невозможно».

«Они утверждают, что действительно «знают своего клиента», просят документы и подписывают соглашения», - сказал он, имея в виду процесс, используемый для проверки личности и потенциального риска клиентов. «Но это очень легко обойти, особенно для государственных деятелей, которые могут заявить, что они маркетинговая фирма».

По материалам: Bloomberg