Hackerii care au lansat atacul NotPetya probabil sunt în spatele atacului BadRabbit, susţin cercetătorii

Diverşi indicatori tehnici sugerează că un atac cibernetic care a lovit Rusia şi alte ţări săptămâna aceasta a fost desfăşurat de hackeri aflaţi în spatele unui atac similar, dar mai mare, ce a avut loc în Ucraina în luna iunie, au declarat miercuri cercetători în securitate care au analizat cele două campanii de atacuri cibernetice.
(Getty Images)

Compania rusă specializată în securitate cibernetică Group-IB a declarat că virusul BadRabbit folosit în atacul din această săptămână are o porţiune cheie comună cu codul folosit de malware-ul NotPetya care, la începutul acestui an, a provocat haos în rândul multor companii din Ucraina şi din alte ţări ale lumii. Această descoperire sugerează că în spatele atacurilor s-ar afla acelaşi grup.

Atacul BadRabbit a lovit marţi Rusia, Ucraina şi alte câteva ţări, blocând agenţia de ştiri rusă Interfax şi provocând întârzieri la aeroportul Odesa din Ucraina.

Mai mulţi investigatori în domeniul securităţii cibernetice au făcut legătura cele două atacuri, citând similarităţi în codul malware-ului şi în metodele de hacking, dar nu au făcut o atribuire directă.

Totuşi, experţii avertizează că atribuirea atacurilor cibernetice este dificilă, în condiţiile în care hackerii folosesc în mod regulat tehnici pentru a-şi ascunde urmele şi, uneori, induc în eroare în mod intenţionat investigatorii cu privire la identitatea lor.

Cercetători în securitate ai unităţii Talos a companiei americane Cisco au precizat că BadRabbit a avut unele similarităţi cu NotPetya, în condiţiile în care ambii viruşi au avut la bază acelaşi malware, deşi mari segmente ale codului au fost rescrise iar metoda de distribuţie a noului virus a fost mai puţin sofisticată.

Ei au confirmat că BadRabbit a folosit un program de hacking numit Eternal Romance, despre care se crede că a fost dezvoltat de NSA înainte să fie furat şi încărcat pe Internet în luna aprilie a acestui an.

În plus, şi virusul NotPetya a folosit Eternal Romance, precum şi un alt program al NSA, numit Eternal Blue. Dar, cercetătorii unităţii Talos au afirmat că acele programe au fost folosite într-o manieră diferită şi că nu există nicio dovadă că BadRabbit conţine Eternal Blue.

„Este destul de probabil ca acelaşi grup de hackeri să fi fost atât în spatele atacului ransomware ce a folosit virusul BadRabbit din 25 octombrie 2017 cât şi în spatele atacului cu virusul NotPetya din iunie 2017, care a vizat sectoarele de energie, telecomunicaţii şi financiar din Ucraina”, a afirmat Group-IB într-un raport tehnic.

Matthieu Suiche, un hacker francez şi fondator al companiei de securitate cibernetică Comae Technologies din Emiratele Arabe Unite, a declarat că este de acord cu evaluarea companiei Group-IB că există un motiv serios să se ia în calcul ideea că BadRabbit şi NotPetya au în spate acelaşi grup de hackeri.

Dar, unii experţi au precizat că această concluzie este surprinzătoare, din moment ce este larg răspândită convingerea că atacul cu virusul NotPetya a fost desfăşurat de Rusia, o acuzaţie pe care Moscova o neagă.

Oficiali ucraineni au declarat că atacul NotPetya a vizat în mod direct Ucraina şi a fost desfăşurat de un grup de hackeri cunoscut în general ca Black Energy, despre care unii experţi în securitate cibernetică susţin că lucrează în favoarea intereselor guvernului rus. Moscova a negat în repetate rânduri că a lansat atacuri cibernetice împotriva Ucrainei.

Majoritatea victimelor atacului cu BadRabbit au fost în Rusia, şi doar câteva în alte ţări precum Ucraina, Bulgaria, Turcia şi Japonia.

Group-IB a declarat că unele segmente ale virusului BadRabbit sunt datate de la jumătatea anului 2014, sugerându-se ca hackerii au folosit programe vechi din atacuri precedente. „Acest lucru corespunde cu timeframe-urile grupului Black Energy, în condiţiile în care acesta şi-a început activitatea notabilă în 2014”, a adăugat compania rusă.