By Michele Kambas and James Pearson
24-летний дизайнер видеоигр, управляющий своим небольшим бизнесом из дома рядом со старой кипрской церковью в тихом пригороде Никосии, теперь оказался втянутым в глобальный кризис после вторжения России в Украину.
Фирма Полиса Трахонитиса, Hermetica Digital Ltd, была замешана американскими исследователями в кибератаке с уничтожением данных, которая поразила сотни компьютеров в Украине, Литве и Латвии.
Обнаруженная в среду вечером за несколько часов до ввода российских войск в Украину, кибератака была воспринята как первый залп вторжения Москвы.
Вредоносная программа была подписана цифровым сертификатом с именем Hermetica Digitals, согласно исследователям, некоторые из которых стали называть вредоносный код HermeticWiper из-за связи.
Трахонитис сказал Reuters, что он не имеет никакого отношения к атаке. Он сказал, что никогда не обращался за цифровым сертификатом и не знал, что он был выдан его фирме.
По его словам, его роль в индустрии видеоигр заключается в написании текста для игр, которые создают другие.
Я даже не пишу код - я пишу истории, сказал он, добавив, что он не знал о связи между его фирмой и российским вторжением, пока в четверг утром ему не сообщил об этом репортер Reuters.
Я просто киприот, у меня нет никакой связи с Россией.
Масштабы ущерба, причиненного атакой вредоносного ПО, были неясны, но компания ESET, занимающаяся кибербезопасностью, заявила, что вредоносный код был обнаружен на сотнях машин.
Западные лидеры уже несколько месяцев предупреждают, что Россия может провести разрушительные кибератаки против Украины перед вторжением.
На прошлой неделе Великобритания и США заявили, что российские военные хакеры стоят за серией распределенных атак типа "отказ в обслуживании" (DDoS), которые на короткое время вывели из строя украинские банковские и правительственные сайты.
Кибершпионы обычно крадут личные данные случайных незнакомцев, чтобы арендовать место на сервере или зарегистрировать вредоносные веб-сайты.
Цифровой сертификат Hermetica был выдан в апреле 2021 года, но временная отметка на самом вредоносном коде - 28 декабря 2021 года.
Исследователи ESET заявили в своем блоге, что эти даты позволяют предположить, что атака могла готовиться в течение некоторого времени.
Если, как широко предполагают эксперты по кибербезопасности и представители американских оборонных ведомств, атаки были осуществлены русскими, то временные метки являются потенциально важными точками данных для наблюдателей, которые надеются понять, когда был разработан план вторжения в Украину.
Глава отдела исследований угроз компании ESET Жан-Иан Бутен сказал агентству Reuters, что существуют различные способы, с помощью которых злоумышленники могут обманным путем получить сертификат подписи кода.
Очевидно, что они могут получить его сами, но также могут купить его на черном рынке, сказал Бутен.
Таким образом, вполне возможно, что эта операция началась раньше, чем нам было известно, но также возможно, что злоумышленник приобрел этот сертификат подписи кода недавно, только для этой кампании.
Бен Рид, директор отдела анализа кибершпионажа в Mandiant MNDT.O, сказал, что вполне возможно, что группа может выдать себя за компанию, общающуюся с компанией, предоставляющей цифровые сертификаты, и получить законный сертификат, выданный им обманным путем.
Компания Symantec, специализирующаяся на кибербезопасности, сообщила, что в среду атаке подверглись организации финансового, оборонного, авиационного секторов и сектора ИТ-услуг. Компания DigiCert, выдавшая цифровой сертификат, не сразу ответила на просьбу о комментарии.
Хуан-Андрес Герреро-Сааде, исследователь кибербезопасности в компании SentinelOne S.N., сказал, что цель атаки была ясна: она должна была нанести ущерб, вывести из строя, подать сигнал и вызвать хаос.
Содержание этой статьи, включая сопутствующие изображения, принадлежит Cyprus Mail
Высказанные мнения и взгляды принадлежат автору и/или Cyprus Mail
Источник
