Из России со взломом: обзор ИБ-инцидентов с вероятным участием российских хакеров

27.03.2017

Вернуться к списку новостей Yahoo

Министерство юстиции США 15 марта 2017 года опубликовало документ, из которого следует, что за взломом 500 миллионов почтовых ящиков Yahoo в 2014 году стоят хакеры, связанные с Россией. Из обвинительного заключения следует, что агенты ФСБ завербовали известных хакеров, чтобы получить доступ к переписке людей, интересующих спецслужбы. Среди пострадавших от утечки называют, в частности, сотрудника российской компании, специализирующейся в сфере информационной безопасности, российский инвестиционный банк, французскую транспортную компанию, швейцарского bitcoin-оператора, американскую авиакомпанию.

Суд выдвинул обвинения против двух сотрудников ФСБ, российского хакера, родившегося в Литве, и гражданина Канады, прибывшего из Казахстана. Всем четверым инкриминируют мошенничество, экономический шпионаж, взлом компьютерных систем и кражу данных.

Демократическая партия США

В январе 2017 года опубликована публичная часть совместного доклада ЦРУ, ФБР и Агентством национальной безопасности. В документе утверждается, что хакеры из России ответственны и за несанкционированный доступ к почтовым серверам Демократической партии США накануне выборов президента.

Переписка сотрудников национального комитета партии, в том числе письма кандидата в президенты Хилари Клинтон и руководителя ее предвыборного штаба, были опубликованы на WikiLeaks. До публикации доклада американских спецслужб равнозначными оставались две версии: инсайдерского «слива» и хакерской атаки.

В связи со взломом почты демократов в СМИ фигурировал хакер Guccifer 2.0. Он признал причастность к «сливу» информации, но отрицал связь с Россией. Эксперты, расследующие инцидент, провели лингвистический анализ его переписки с журналистами. В отчете говорится, что грамматические ошибки и особенности построения предложений указывают на русское происхождение автора.

Французский телеканал TV5

В Елисейском дворце вмешательство хакеров в предвыборную гонку в США восприняли как сигнал тревоги. Национальное агентство по безопасности информационных систем в октябре 2016 года организовало семинар для представителей всех партий и движений Франции, чтобы подготовить к президентским выборам. Они запланированы на конец апреля 2017 года.

За месяц до первого тура генеральный секретарь движения в поддержку кандидата Эмманюэля Макрона выступил в газете Le Monde с колонкой «Не позволим России дестабилизировать президентские выборы во Франции!». Он разоблачает хакерские атаки на сайт кампании и попытки взломать почту, которыми якобы руководят из Москвы.

Глава МИД Франции Жан-Марк Эро в эфире телеканала TV5 также предположил, что Россия «может попытаться вмешаться во французские выборы» и напомнил об истории двухлетней давности. В апреле 2015 года вещание TV5 Monde, которое охватывает 260-миллионную аудиторию в 200 странах мира, прервалось на три часа. С последствиями атаки разбирались еще три месяца, а весь инцидент обошелся в 10 млн евро.

Хакеры, назвавшиеся CyberCaliphate заявили, что действуют от имени ИГИЛ (террористической организаций, запрещенной в России). Однако спецслужбы обвинили в преступлении группу кибершпионажа Fancy Bear, которую подозревают в связях с российскими силовиками. По мнению французской стороны, атака на серверы TV5 Monde, который на 70% финансируется из бюджета, – это реакция на отказ Франции поставлять в Россию «Мистрали».

МИД Польши

Ту же группировку – Fancy Bear – подозревают в многочисленных взломах, например, информационных систем Бундестага и НАТО, министерства обороны Аргентины, сайта Всемирного антидопингового агентства. Одно из последних обвинений – в попытке проникнуть в компьютерные сети Министерства иностранных дел Польши. В январе 2017 года газета Rzeczpospolita написала о том, что сотрудники ведомства получили письма с «троянами», которые использовали уязвимости в ПО для доступа и кражи конфиденциальных данных.

Месяцем позже атаке подверглись польские банки. Аналитики, которые изучали вредоносное ПО, обратили внимание, что в коде встречаются русские слова. Однако в отчете говорится, что носителям языка слова казались неуместными и бессмысленными в контексте кода. Специалисты из компании BAE Systems предположили, что это неудачная попытка замаскироваться под русских хакеров с помощью Google Translate.

Хакеры все чаще оставляют ложные следы, так что на 100% подтвердить их принадлежность к определенной группировке или стране становится все сложнее. И те, кто открыто обвиняют россиян в хакерских взломах, скорее всего, преследуют геополитические цели.

ИБ-специалистов, напротив, прежде всего интересуют инструменты и методы. Пока хакеры оказываются на шаг впереди, и специалистам по безопасности приходится разбираться с последствиями инцидентов наподобие тех, что случились с интернет-гигантом.

Сегодня для того, чтобы предупреждать инциденты и обеспечить максимальную защиту корпоративной информации, изучать хакерский арсенал так же важно, как изучать, например, психологию инсайдеров или наиболее вероятные пути утечки данных.