Группа неизвестных хакеров из России более пяти лет взламывала ресурсы НАТО, а также компьютеры различных правительственных и военных организаций во Франции, Польше, США и Украине, используя уязвимость в операционной системе Microsoft Windows.
Для проведения атак и получения несанкционированного доступа к дипломатической информации злоумышленники, предположительно связанные с российскими властями, использовали вирус под названием Sandworm.
Принцип его действия основан на эксплуатации кода, выполняющегося операционкой при обработке файлов программы PowerPoint, получаемых владельцем компьютера по электронной почте. PowerPoint предназначена для создания презентаций и слайд-шоу и является одной из самых распространённых программ Windows.
Уязвимость, присутствующая во всех версиях софта, вышедших после релиза Windows Vista, помогала хакерам заражать компьютеры и перехватывать хранящиеся в их памяти конфиденциальные документы. Кроме того, киберпреступники могли удалённо управлять подвергшимся атаке устройством. Схема использовалась с 2009 года.
По данным iSight, жертвами Sandworm за несколько лет стали представители Организации Североатлантического договора (НАТО) и нескольких общеевропейских парламентских институтов. Также уязвимость использовалась против крупных польских энергетических фирм и компаний из США и Франции. С 2013 года следы Sandworm удалось обнаружить в атаках на ресурсы украинских властей, содержавших секретную дипломатическую информацию, касающуюся подготовки к саммиту НАТО в Братиславе.
На причастность к атакам проправительственных киберпреступников из России указывает сразу несколько свидетельств. Как заявляют в iSight, многочисленные командные файлы, использовавшиеся для заражения компьютеров и рассылки вируса, написаны на русском языке. Одно из заражённых вложений в PowerPoint содержит перечень имён «пророссийских террористов», который, судя по замыслу хакеров, должен был привлечь внимание потенциальной жертвы, заставив человека открыть документ. Отдельно отмечается, что все атаки скоординированы исключительно против западных организаций, получение секретной информации из которых несло бы прямую или косвенную выгоду заказчикам из числа российского руководства.
Отметки в вирусных файлах позволили выяснить, что их автор (или авторы) является поклонником романа «Дюна» писателя-фантаста Фрэнка Герберта. В содержании документов регулярно встречались упоминания описываемой в книге вымышленной планеты Арракис. Именно поэтому специалисты по кибербезопасности назвали вирус словом Sandworm, в честь мифических песчаных червей, которым в «Дюне» поклонялись обитатели Арракиса.
Указания явно свидетельствуют о том, что создавший этот вирус человек — большой фанат «Дюны». Сам уровень написания Sandworm позволял ему крайне успешно использовать уязвимость в Windows. Джон Халтквист, старший менеджер компании iSight
Просуществовавшая в нескольких версиях Windows уязвимость будет устранена корпорацией Microsoft 14 октября. В середине месяца IT-гигант анонсировал выход патча, который среди прочего должен исправить и «дыру», позволявшую российским хакерам заниматься шпионажем против НАТО, США и европейских стран.
