Автор шкідливого ПО з України стає свідком в розслідуванні російського взлому НКДП США

“Profexor” звертається до української влади і допомагає ФБР в розслідуванні злому DNC (Національний Комітет Демократичної Партії США), повідомляє arstechnica.

Фото: pixabay. Ведмідь

Український автор зловмисних програм, який побудував веб-оболонку PAS – імплантант на базі PHP, який дистанційно виконував команди на зламаних системах – звернувся до української влади. Він співпрацює з дослідницьким органом Федерального бюро розслідувань в очевидному російському взломі демократичного національного комітету. Інформація, надана “Profexor” українським слідчим та ФБР, частково показує, як хакери (які, очевидно, були координовані російським спецслужбами) використовували комбінацію цільових і суспільних інструментів, в рамках того, що дослідники позначили як Група загроз “APT 28”, також відома як “Fancy Bear”.

Згідно з доповіддю “Нью-Йорк Таймс” Ендрю Крамера та Ендрю Хіггінса, “Profexor” не було пред’явлено звинувачення в Україні, оскільки він сам не використовував свій інструмент віддаленого доступу для зловмисних цілей. Він безкоштовно запропонував версію інструменту віддаленого доступу на свому веб-сайті, лише для його учасників, але він також створював версії для користувачів та забезпечував навчання за оплату. Одним із його клієнтів був той, хто використовував цей інструмент у зв’язку з шкідливим програмним забезпеченням, підключеним до Fancy Bear, щоб створити бекдор у мережі DNC.

Український народний депутат України Антон Геращенко, колишній радник міністра внутрішніх справ України, розповів “Таймс”, що контакти “Profexor” з росіянами про хак DNC відбувались цілковито через Інтернет-бесіди та голосові дзвінки. Геращенко зауважив, що “Профіксору” було оплачено за написання версії для користувача свого інструмента, не знаючи, для чого вона буде використана.

Оболонка “PAS Web” була ідентифікована Департаментом національної безпеки та ФБР в Спільному аналітичному звіті (JAR), який був виданий у грудні. Після того, як його інструмент був визначений у звіті, “Профіксор” запаніував та закрив свій вебсайт. Незабаром він зв’язався з правоохоронними органами України. “Він сказав нам, що він не створював його для використання таким чином, як це відбулось”, – сказав “Таймсу” начальник української кібер-міліції Сергій Демедюк.

Вигляд бекдор PAS у грудневому JAR від FBI та DHS.

Використання зовнішніх інструментів та шкідливих програм, розроблених кібер-злочинцями та іншими хакерами, узгоджується з іншими хакерськими кампаніями, що відносяться до російських розвідувальних органів ГРУ та ФСБ. Деякі з розробок, використаних “Fancy Bear”, були, мабуть, розроблені компанією Zorsecurity, російською фірмою з кібербезпеки, що підписала контракт з ГРУ та ФСБ. (Zorsecurity було санкціоновано згідно з розпорядженням президента Барака Обами у грудні 2006 року.) Попередні кампанії використовували суміш інфраструктури та інструментів, пов’язаних як з російськими компаніями, так і з кіберзлочинцями.