60 комп'ютерів в українському уряді, а також не менше десяти в посольствах України за кордоном були інфіковані російськими хакерами, що дало їм доступ до важливих даних.
Про це пише британська Financial Times з посиланням на оприлюднений звіт компанії з Інтернет-безпеки Symantec, а також свої джерела в НАТО. За даними газети, мова йде про російську "вірулентну кібершпигунську зброю", а саме так званий змій "Уроборос". Атака почалася ще у травні 2012 року і триває досі. Крім того, стверджує видання, було інфіковано комп'ютери посольств Німеччини, Китаю, Польщі та Бельгії у не менш ніж дев'яти східноєвропейських країнах.
"В результаті важлива дипломатична інформація стала доступна організаторам атаки", — пише FT. Газета нагадала, що раніше військові експерти припускали, що організатори атак пов'язані з російським урядом. На їхню думку, саме Україна була основною мішенню операції. Атака була здійснена на надзвичайно високому рівні за підтримки військових і розвідки.
Експерти також вважають, що нинішній вірус є спадкоємцем того, який у 2008 році був застосований під час успішної атаки на Пентагон. Тоді це називали найбільш значним зламом американських військових комп'ютерів. Газета відзначає, що Уроборос — значно точніша зброя, ніж, наприклад, Stuxnet — вірус, який США і Ізраїль використовували проти ядерної кампанії Ірану. Поширення Уробороса є повністю контрольованим.
"Його обережно направляли на безпекові і оборонні системи урядів і їхніх ключових партнерів дуже особливим чином", — цитує видання експерта з кіберзагроз і колишнього старшого офіцера розвідки Пітера Робертса. Він додав, що практично впевнений у російському походженні цього вірусу.
Атака у Східній Європі почалася з зараження 84 публічних сайтів, які регулярно відвідують працівники урядових структур, оборонної промисловості і дипломатичних служб. На першому рівні їм пропонувалося оновити флеш-плеєр. Під час цього збирали дані про тисячі відвідувачів, які погодились на оновлення. На другому рівні об'єктами атаки ставали ті користувачі, чиї IP-адреси відповідали адресам необхідних організацій.
Комп'ютери цих користувачів заражалися попередньою часткою вірусу, відомою як wipbot. Ця частка дозволяла операторам "змія" визначити, наскільки високопосадовим є користувач зараженого комп'ютера. Це дозволяло атакувати повними пакетами вірусу винятково ті комп'ютери, які становили інтерес і містили необхідну інформацію.
Компанія Symantec повідомила профільним безпековим організаціям у Європі про результат свого дослідження щодо цих вірусів.
