Американская компания по кибербезопасности RiskIQ Inc. обнаружила более 30 активных командных серверов, находящихся под контролем хакерской группировки APT29 (также известна как Cozy Bear), которую власти США связывают со Службой внешней разведки России. Об этом говорится в отчете компании.
По данным RiskIQ, хакеры используют командные серверы для обслуживания вредоносных программ WellMess и WellMail. В прошлогоднем совместном отчете спецслужб США, Великобритании и Канады говорилось, что APT29 с помощью этих программ пыталась похитить данные о разработке вакцин против коронавируса.
«Наше исследование показывает, что APT29 вернулась к работе в обычном режиме, несмотря на широкое освещение эпизода с SolarWinds и саммит, на котором президент [США Джо] Байден призвал президента [России Владимира] Путина к меньшей агрессивности в киберпространстве», — сказал Bloomberg директор по анализу угроз RiskIQ Кевин Ливелли.
Он добавил, что специалисты компании пока не смогли обнаружить никаких вредоносных программ, которые взаимодействовали с инфраструктурой APT29.
На саммите в Женеве 16 июля Байден и Путин договорились начать двусторонние консультации по кибербезопасности. Американский президент после саммита сообщил, что передал Путину список из 16 критически важных инфраструктур, которые должны быть защищены от кибератак, — «от энергетического сектора до систем водоснабжения».
В начале июня Байден и Путин провели телефонный разговор, в ходе которого президент США призвал пресечь деятельность российских хакеров. Пресс-секретарь Байдена Джен Псаки, говоря о переговорах президентов, отдельно упомянула группировку Revil, которую связывали с атаками на крупнейшего производителя мяса JBS и на компанию по производству программного обеспечения Kaseya.
13 июля Bloomberg сообщило, что REvil прекратила свою деятельность, а все ресурсы группы в даркнете оказались недоступны.