Немецкий вирус Harkonnen Operation проработал необнаруженным 12 лет — новый рекорд?

Редко какому вирусу удаётся беспроблемно проработать несколько лет, однако вредоносный код под названием Harkonnen Operation «успешно» работал целых 12 лет и всё это время не был никому известен (кроме своих создателей), пока его наконец не обнаружила израильская компания CyberTinel.

Harkonnen Operation был не просто программой, а целой сетью киберпреступной деятельности, которая включала в себя 800 подставных компаний в Великобритании. Злоумышленники устанавливали вредоносный код на серверах и сетевом оборудовании различных организаций, в основном банков, крупных корпораций и госучреждений в Германии, Швейцарии и Австрии. Управляющий центр находился в Германии, жертвами стали около 300 разных организаций.

Harkonnen Operation не был самым технически совершенным вредоносным ПО, однако злоумышленникам удавалось получать подлинные сертификаты DNS, что усложняло его обнаружение. Кроме того, они каждый раз использовали другую программную оболочку. В CyberTinel о нём узнали почти случайно, после того как одна из немецких фирм обнаружила странное поведение трафика на своих серверах. В компании не раскрывают название фирмы, но говорят, что это «крупная фирма, о которой вы наверняка слышали».

Коби Бен-Наим, гендиректор и сооснователь CyberTinel

«Они искали очень конкретные вещи, их метод был: зайти и выйти очень быстро, надеясь, что никто не заметит», — объясняет гендиректор компании Коби Бен-Наим (Koby Ben-Naim). Этот подход позволял им работать больше десяти лет, пока они не совершили роковую ошибку, по словам Бен-Наима: «[они] просидели на сервере нашего клиента немного дольше — ровно столько, сколько нужно было, чтобы обнаружить их активность».

В CyberTinel точно не знают личности киберпреступников, но говорят, что это «больше похоже на организованную преступную группу, чем на деятельность государства». Известно, что эта группа за всё время инвестировала в свою сеть больше $150 тыс. «Сеть эксплуатировала относительно терпимые британские требования при покупке сертификатов безопасности SSL и создавала поддельные британские компании, которые имитировали законные веб-сервисы. Немецкие хакеры получали полный контроль над компьютерами жертв и могли много лет осуществлять шпионаж, оставаясь незамеченными».

«Было много сигналов о подозрительной активности, которые должны были заметить регуляторы. Думаю, имеет смысл задать ряд вопросов о произошедшем», — подытоживает Бен-Наим.