Корпорация Microsoft в публикации своего блога сообщила об атаке российских хакеров на европейские аналитические центры: германский фонд Маршалла, германское отделение Аспенского института и Немецкое общество внешней политики. Все эти организации занимают критическую позицию в отношении российских властей.
Это уже второй случай за последние полгода, когда Microsoft выявляет связанную с российским правительством операцию, осуществлённую группировкой APT28, которую также иногда называют Strontium или Fancy Bear (Microsoft использует исключительно название Strontium). В ходе атак использовался так называемый адресный фишинг: хакеры рассылали фальшивые письма с целью заманить людей на сайты, выглядевшие аутентичными, но на деле позволявшие злоумышленниками проникать в корпоративные компьютерные системы жертв.
Эксперты считают хакерскую группировку APT28 (она же Fancy Bear(s), Sofacy, Pawn storm, Sednit и Strontium) подразделением российской военной разведки, причастной к вмешательству в выборы в США в 2016 году. ФБР, идентифицировавшая эту хакерскую группировку как группу офицеров ГРУ, считает, что именно она взломала серверы Демократической партии США перед президентскими выборами.
Для того, чтобы не быть обнаруженными и пойманными, сотрудники ГРУ использовали фальшивые удостоверения личностей, представляясь гражданами разных стран мира, в том числе и США. За сервисы, использование серверов, доменов и осуществление DDoS-атак они расплачивались криптовалютами. Об этом в ходе конференции в американском Минюсте в прошлом году рассказал помощник генпрокурора США по национальной безопасности Джон Демерс. В ФБР уверены, что как минимум половина финансовых переводов происходила на территории США. Всего за последние годы члены группировки, предположительно, осуществили сотни кибератак по всему миру.
На этот раз мишенью хакеров стали более 100 европейских сотрудников Германского фонда Маршалла, германского отделения Аспенского института и Немецкого общества внешней политики. Эти влиятельные организации занимаются вопросами трансатлантической политики.
Атаки происходили в октябре-декабре 2018 года, в преддверии выборов в Европарламент в мае этого года. Незадолго до промежуточных выборов в США Microsoft пресекла фишинговые операции, направленные против влиятельных консервативных организаций и американского Сената. Тогда APT28/Fancy Bear создала поддельные сайты, имитирующие сайты этих организаций и собственность Microsoft. Кроме того, хакеры выдавали себя за коллег своих жертв. В публикации блога Microsoft говорится:
«Атаки, которые мы наблюдали недавно, вкупе с другими атаками, которые мы обсуждали в прошлом году, наводят на мысль о постоянных усилиях, направленных против демократических организаций. Они подтверждают предупреждения европейских лидеров об уровне угрозы, который нам следует ожидать в Европе в этом году».
Ранее Microsoft сообщила, что ей удалось использовать новую юридическую стратегию для отключения поддельных доменов. Компания получила судебный ордер о переводе доменных имен на её собственные сервера. Заявив, что поддельные сайты являются нарушением прав интеллектуальной собственности компании, она закрыла их. Однако на этот раз Microsoft не пыталась получить судебный ордер для блокировки хакеров. Компания не объяснила причины этого.
По словам директора фонда Маршалла по коммуникациям Эндрю Колба он не удивлён тем, что его организация стала мишенью для российских хакеров. В частности, Колба сказал:
«Примерно два года мы проводим программу, которая посвящена конкретно авторитарному вмешательству в Интернете, и во многих случаях это означало наблюдение за действиями России. Мы в какой-то мере предполагали, что можем стать объектом подобных атак в любое время».
Колб отметил, что в этот раз он впервые смог связать атаку с конкретной российской хакерской группировкой. «Для нас это напоминание о том, что мы должны об этом знать», – сказал он.