Хакеры, работающие на западные спецслужбы, взломали российскую интернет-поисковую компанию «Яндекс» в конце 2018 года, развернув редкий тип вредоносного ПО, чтобы получить доступ к учетными записям пользователей сервиса. Об этом сообщают сразу несколько источников Reuters.
Вредоносная программа под названием Regin используется альянсом по обмену разведывательной информацией «Пять Глаз» (англ. Five Eyes), в который входят США, Великобритания, Австралия, Новая Зеландия и Канада, сообщили источники Reuters. Спецслужбы этих стран отказались от комментариев. Не удалось установить, какая из пяти стран стояла за атакой на Яндекс, но известно когда была совершена атака — с октября по ноябрь 2018 года.
Представитель «Яндекса» Илья Грабовский признал факт инцидента в заявлении Reuters, но отказался предоставить дальнейшие подробности. «Эта конкретная атака была обнаружена на очень ранней стадии командой безопасности Яндекса. Он был полностью нейтрализован до того, как был нанесен какой-либо ущерб», — пояснил представитель компании. В компании также заявили, что «команда безопасности „Яндекса“ удостоверилась в том, что данные пользователей не были не были скомпрометированы атакой.»
Источники, описавшие атаку Reuters, заявили, что хакеры, похоже, искали техническую информацию, которая могла бы объяснить, как Яндекс аутентифицирует учетные записи пользователей. Такая информация может помочь шпионскому агентству выдать себя за пользователя «Яндекса» и получить доступ к его личным сообщениям.
По словам источников, взлом научно-исследовательского подразделения «Яндекса» был совершён в целях шпионажа, а не по каким-либо другим мотивам вроде кражи интеллектуальной собственности. Источники агентства также сообщают, что хакеры скрытно поддерживали доступ к «Яндексу» в течение как минимум нескольких недель, не будучи обнаруженными.
Вредоносная программа Regin была идентифицирована как инструмент организации «Пять глаз» в 2014 году после разоблачений бывшего подрядчика Агентства национальной безопасности США (АНБ) Эдварда Сноудена.
Отчеты издания The Intercept в партнерстве с голландской и бельгийской газетой связали более раннюю версию Regin с взломом в бельгийской телекоммуникационной фирме Belgacom в 2013 году и заявили, что за эту атаку несут ответственность британское шпионское агентство Government Communications Headquarters (GCHQ) и АНБ. Комментировать атаку GCHQ отказался, а АНБ отрицало свою причастность.
Некоторые элементы кода Regin, найденные в системах «Яндекса», не были замечены в предыдущих кибератаках, сказали источники, что также указывает на то, что ответственность лежит именно на альянсе «Пять глаз», а не на посторонних злоумышленниках, которые намеренно используют известные хакерские инструменты западных спецслужб для отвода глаз.
«Яндекс» связался с компанией «Лаборатория Касперского», которая установила, что злоумышленники нацелились на группу разработчиков внутри «Яндекса», об этом сообщили три источника Reuters. В своём закрытом отчёте, содержимое которого стало известно Reuters, «Лаборатория Касперского» подтвердила, что хакеры, вероятно, связанные с западной разведкой, взломали «Яндекс» с помощью Regin.
Кремль, представитель «Лаборатории Касперского», американский офис директора Национальной разведки и Совет национальной безопасности Белого дома не ответили Reuters на запрос о комментариях.
Американская фирма по кибербезопасности Symantec заявила, что недавно обнаружила новую версию Regin. Компания Symantec отказалась обсуждать, где был обнаружен этот образец, сославшись на конфиденциальность клиента.
«Regin — жемчужина в мире хакерского ПО, используемого для шпионажа. Его архитектура, сложность и возможности по-своему уникальны», — прокомментировал Reuters Викрам Тхакур (Vikram Thakur), технический директор Symantec Security Response. «За последние несколько месяцев мы видели самые разные компоненты Regin. Учитывая цели атак и затраты, необходимыми для создания, поддержания и эксплуатации Regin, мы считаем, что за его существованием может стоять всего несколько стран. Regin не теряет актуальности и в 2019 году.»
