Вы используете устаревшую версию браузера. Для оптимальной работы с MSN используйте поддерживаемую версию.

Как хакеры превращают политиков и журналистов в "агентов Госдепа"

Логотип Русская служба BBCРусская служба BBC 26.05.2017
хакер: Власти России неоднократно отрицали, что используют хакеров в своих интересах, однако выбор жертв кибератак заставляет исследователей задуматься об обратном © Thinkstock Власти России неоднократно отрицали, что используют хакеров в своих интересах, однако выбор жертв кибератак заставляет исследователей задуматься об обратном

Исследователи из Citizen Lab Университета Торонто проанализировали действия группировки хакеров, которые получали доступ к аккаунтам журналистов и политиков по всему миру и фабриковали доказательства их сотрудничества с Госдепом США.

Некоторые специалисты считают, что за этим могли стоять хакеры Fancy Bear.

Эксперты Citizen Lab провели анализ кампании кибершпионажа и дезинформации в отношении более чем 200 политиков, журналистов, чиновников и активистов из 39 стран.

Как говорится в опубликованном 25 мая отчете, для выманивания паролей злоумышленники использовали фишинговые письма, написанные якобы представителями почтового сервиса Gmail - похожие на те, что использовались при атаке на Демпартию США и предвыборный штаб будущего президента Франции Эммануэля Макрона.

Среди мишеней кампании: автор книги о взрывах жилых домов в Москве и Волгодонске в 1999 году Дэвид Сэттер, участники международной сети расследователей Bellingcat, бывший премьер-министр России Михаил Касьянов, чиновники Пентагона, глава минобороны одной из европейских стран, множество европейских военных атташе и дипломатов.

Чаще всего взламывали почты украинцев: на них пришлось 22% всех атак. Далее следуют граждане России, Турции, Киргизии, Грузии и США.

В сентябре 2016 года мишенью оказался и сотрудник Русской службы Би-би-си. В фальшивом письме говорилось, что доступ к его аккаунту пытались получить "поддерживаемые государством хакеры" и предлагалось сменить пароль.

Через форму для ввода действующего пароля искомая комбинация могла попасть к хакерам.

Gmail начал предупреждать своих пользователей о попытках взлома со стороны "проправительственных хакеров" в 2012 году © BBC Gmail начал предупреждать своих пользователей о попытках взлома со стороны "проправительственных хакеров" в 2012 году

Тактика фишинга на этот раз сопровождалось еще и волной настоящих предупреждений Gmail о попытках взлома. Читая в ленте "Фейсбуке" о настоящих предупреждениях Gmail, люди становились более доверчивы к фишинговым письмам.

При успешном взломе письма жертв редактировались с целью дискредитации и публиковались на сайте хакерской группы "Киберберкут", говорят в Citizen Lab.

Так, в октябре 2016 года на сайте появилась "переписка" Дэвида Сэттера с американским Национальным фондом демократии (NED) - организацией, созданной Конгрессом США для "содействия становлению и развитию демократии и свободы во всём мире". Хакеры утверждали, что США готовят "цветную революцию в России по украинской модели".

Как выяснила Би-би-си, ранее "Киберберкут" опубликовал фальшивые доказательства присутствия боевиков ИГИЛ в рядах украинского батальона "Азов".

Параллельное расследование

В Citizen Lab подчеркивают, что у них нет очевидных доказательств, что хакерские атаки были связаны с российским правительством.

Однако в компании ThreatConnect нашли сходство поддельных писем с теми, что рассылала своим жертвам хакерская группа Fancy Bear.

Фишинговые письма практически неотличимы от настоящих писем Gmail про государственных хакеров © BBC Фишинговые письма практически неотличимы от настоящих писем Gmail про государственных хакеров

В июле 2016 года технический директор американской компании CrowdStrike Дмитрий Альперович обвинил именно Fancy Bear и еще одну предположительно российскую хакерскую группу Cozy Bear ("Уютный медведь") во взломе компьютерных сетей Национального комитета Демократической партии США. Публичную же ответственность за взлом взял на себя ранее неизвестный хакер Guccifer 2.0.

Под маской "причудливого медведя" в 2016 году были опубликованы документы Всемирного антидопингового агентства.

Специалистам эта группа известна с середины 2000-х как APT 28 ("целевая кибератака № 28"), Sofacy (так ее называют "Лаборатория Касперского" и Palo Alto Networks - по названию из используемых вредоносных программ) и Pawn Storm (имя дано компанией Trend Micro из-за сходства атак с тактикой пешечного штурма в шахматах).

В октябре 2016 года одна из мишеней кибератаки, российский журналист Роман Доброхотов показал фишинговое письмо эксперту компании Trend Micro Фейке Хакеборду.

"Метаданные [скрытые характеристики] письма, которое показал Роман, дают практически 100-процентную уверенность, что оно исходило от Pawn Storm [Fancy Bear], - рассказал Хакеборд Би-би-си. - Электронный адрес отправителя не был подделан - это хорошо известный адрес Pawn Storm, который в прошлом использовался для регистрации известных доменов Pawn Storm. Само фишинговое письмо тоже очень характерно для Pawn Storm. Именно таков их образ действия".

шахматы: Название Pawn Storm ("Пешечный штурм") возниколо из-за использования хакерами двух или более связанных инструментов, как в одноименной шахматной стратегии © Thinkstock Название Pawn Storm ("Пешечный штурм") возниколо из-за использования хакерами двух или более связанных инструментов, как в одноименной шахматной стратегии

Би-би-си показала Хакеборду фишинговое письмо, которое получил наш сотрудник. Оказалось, письмо ссылается на поддельный сайт, уже использовавшийся Fancy Bear.

"Эта группа многократно использует одни и те же инструменты, но они также постоянно меняют IP-адреса, адреса электронных почт, - продолжает Хакеборд. - Pawn Storm обладает множеством ресурсов, они очень устойчивы. Их фишинговые атаки с подделкой интерфейсов учетных записей очень назойливы, они снова и снова пытаются получить доступ в Gmail-аккаунты своих мишеней. Вероятно, эти атаки достаточно эффективны. Нельзя винить людей, которые, в конечном счете, попадаются на них, их трюки с использованием социальной инженерии бывают очень хороши (хотя часто различаются по качеству)".

В октябре 2016 года Би-би-си поинтересовалась у хакера Guccifer 2.0, стоит ли он за столь массовой атакой. "LOL [laughing out loud, "ржу не могу"], почему румынский хакер должен пытаться взломать российские НКО? В этом нет никакого интереса для меня", - ответил аккаунт "Твиттере".

"Если кто-то хакнул НКО и журналистов в вашей стране, то возможно, это было КГБ :)", - заключил Guccifer 2.0.

Русская служба BBC

image beaconimage beaconimage beacon