24-летний дизайнер видеоигр, управляющий своим небольшим бизнесом из дома рядом со старой кипрской церковью в тихом пригороде Никосии, теперь оказался втянутым в глобальный кризис после вторжения России в Украину.
Фирма Полиса Трахонитиса, Hermetica Digital Ltd, была замешана американскими исследователями в кибератаке с уничтожением данных, которая поразила сотни компьютеров в Украине, Литве и Латвии.
Обнаруженная в среду вечером за несколько часов до того, как российские войска вошли в Украину, кибератака широко рассматривалась как первый залп вторжения Москвы.
Вредоносная программа была подписана цифровым сертификатом с именем Hermetica Digital, согласно исследователям, некоторые из которых начали называть вредоносный код "HermeticWiper" из-за связи.
Трахонитис сказал Reuters, что он не имеет никакого отношения к атаке.
Он сказал, что никогда не обращался за цифровым сертификатом и не знал, что он был выдан его фирме.
Он сказал, что его роль в индустрии видеоигр заключается в написании текста для игр, которые создают другие.
"Я даже не пишу код - я пишу истории", - сказал он, добавив, что не знал о связи между его фирмой и российским вторжением, пока ему не сообщил об этом репортер Reuters в четверг.
"Я просто кипрский парень... У меня нет никакой связи с Россией".
Масштабы ущерба, нанесенного атакой вредоносного ПО, были неясны, но компания ESET, занимающаяся кибербезопасностью, заявила, что вредоносный код был обнаружен на "сотнях машин".
Западные лидеры уже несколько месяцев предупреждают, что Россия может провести разрушительные кибератаки против Украины перед вторжением.
На прошлой неделе Великобритания и США заявили, что российские военные хакеры стоят за серией распределенных атак типа "отказ в обслуживании" (DDoS), которые на короткое время вывели из строя украинские банковские и правительственные сайты.
Цифровой сертификат
Кибершпионы регулярно крадут личные данные случайных незнакомцев для аренды серверного пространства или регистрации вредоносных веб-сайтов.
Цифровой сертификат Hermetica был выдан в апреле 2021 года, но временная отметка на самом вредоносном коде - 28 декабря 2021 года.
Исследователи ESET в своем блоге отметили, что эти даты позволяют предположить, что "атака могла готовиться в течение некоторого времени"."
Если, как широко предполагают эксперты по кибербезопасности и представители оборонного ведомства США, атаки были осуществлены русскими, то временные метки являются потенциально важными точками данных для наблюдателей, которые надеются понять, когда был разработан план вторжения в Украину.
Глава отдела исследований угроз компании ESET Жан-Иан Бутен сказал агентству Reuters, что существуют различные способы, с помощью которых злоумышленники могут обманным путем получить сертификат подписи кода.
"Очевидно, что они могут получить его сами, но также могут купить его на черном рынке", - сказал Бутен.
"Таким образом, вполне возможно, что эта операция началась раньше, чем мы ранее знали, но также возможно, что угрожающий субъект приобрел этот сертификат подписи кода недавно, только для этой кампании."
Бен Рид, директор по анализу кибершпионажа в Mandiant, сказал, что возможно, что группа может "выдать себя за компанию в связи с компанией, предоставляющей цифровые сертификаты, и получить законный сертификат, выданный им обманным путем."
Компания Symantec, специализирующаяся на кибербезопасности, сообщила, что атаке в среду подверглись организации финансового, оборонного, авиационного секторов и сектора ИТ-услуг.
Компания DigiCert, выдавшая цифровой сертификат, не сразу ответила на просьбу о комментарии.
Хуан-Андрес Герреро-Сааде, исследователь кибербезопасности в компании SentinelOne, сказал, что цель атаки была ясна: "Это было сделано для того, чтобы нанести ущерб, вывести из строя, подать сигнал и вызвать хаос". (Reuters)
Содержание статьи, включая сопутствующие изображения, принадлежит Financial Mirror
Высказанные мнения и взгляды принадлежат автору и/или Financial Mirror
Источник
