Как сообщает газета The Wall Street Journal, которая располагает докладом компании, вирус был спрограммирован на компьютерах, базирующихся в России. В частности, часть кода изученных вредоносных программ содержит примечания на русском языке, говорится в докладе.
FireEye также отмечает, что хакерское программное обеспечение было активно именно в рабочие часы в Москве и Санкт-Петербурге – с 8 утра до 6 вечера, что также указывает на "российский след".
Вредоносное ПО, названное экспертами Sofacy, имеет замысловатую структуру. По мнению экспертов, программа шифрует украденные данные и после передает их. Вредоносный код также способен взламывать компьютеры, даже не подключенные к интернету, посредством флеш-накопителей, соединенных через USB.
Эксперты отмечают, что группировка под названием ATP28 не занималась широкомасштабным воровством интеллектуальной собственности, которое может принести денежную прибыль. По их мнению, хакеры действовали с подачи правительства России с целью шпионажа в пользу Кремля.
Специалисты FireEye утверждают, что группировка действует по крайней мере с 2007 года. Её целями становились государственные и оборонные структуры НАТО, а также чиновники стран Восточной Европы и Грузии. В частности, интерес для хакеров представляли компании Science Applications International и Academi LLC, выполняющих заказы для служб безопасности США и располагающих информацией Пентагона. Данный доклад с исследованием FireEye передала американскому Министерству oбoроны.
Директор Национальной разведки США Джеймс Клеппер в сентябре заявил, что он больше обеспокоен действиями русских, нежели китайцев в сфере киберпреступности. Он отметил, что сложно провести различие между хакерами, работающими на правительство и действующими по своему усмотрению, поскольку они используют одни и те же программы, пишет РБК.
США неоднократно называли Китай и Россию главными киберугрозами. Еще в ноябре 2011 года управление национальной контрразведки в докладе конгрессу сообщало, что хакеры из этих двух стран наиболее активно пытаются через интернет проникнуть на защищенные серверы, где хранится экономическая и оборонная информация, пишет РИА Новости.
Весной киберпреступники опубликовали на сайте с доменом SU (был зарегистрирован в 1991 году для Советского Союза, но до сих пор продолжает использоваться) конфиденциальные данные ряда высокопоставленных американских политиков и знаменитостей, в частности, бывшего госсекретаря США Хиллари Клинтон, вице-президента Джозефа Байдена, главы Федерального бюро расследований Роберта Мюллера, первой леди Мишель Обамы, а также актеров Мела Гибсона и Эштона Катчера, певиц Бейонсе и Бритни Спирс. Среди приводимой хакерами информации отчеты о кредитных операциях, номера социального страхования, адреса и телефоны. Ряд СМИ посчитали, что ответственными за утечки были русские хакеры, однако доказательств этому так и не было найдено.
Кроме того, в августе американский банк JPMorgan обнаружил, что неизвестные хакеры взломали более 83 миллионов счетов его клиентов, но при этом не украли со счетов ни цента. По данным банка, злоумышленники получили доступ к миллионам счетов, включая их номера, имена клиентов, даты рождения, идентификационные номера социального страхования, имена пользователей, пароли и другую информацию.ФБР среди возможных версий произошедшего назвало месть России за санкции, введенные против Москвы.
Однако, как стало недавно известно, США больше не подозревают Россию во взломе банковских систем JPMorgan Chase."Нет данных о том, что это было результатом санкций", — заявил 22 октября помощник директора управления ФБР по киберпреступности Джозеф Демарест. По его словам, речь идет об обычных хакерах.
