• Ласковый мишка: «русских хакеров» из Fancy Bear обвинили в попытке взломать американский Сенат

    Американские СМИ вновь вернулись к уже полюбившейся за последние два года теме вмешательства «мягкой силы» России в политическую жизнь США — на этот раз хакерская группировка, якобы подконтрольная ГРУ, взломавшая архивы Демократической партии и таким образом обеспечившая победу Трампа, собирается получить доступ к внутренней переписке Сената. Что на самом деле представляет собой Fancy Bear — в материале «360».

    Ласковый мишка: «русских хакеров» из Fancy Bear обвинили в попытке взломать американский Сенат | Изображение 1Wikipedia Commons

    Угроза национальной безопасности

    США замерли в ожидании нового нападения зловещих «рашн хакирз»: якобы та же группировка, что в свое время взломала базу данных штаб-квартиры Демократической партии, теперь метит на Сенат и на Зимнюю Олимпиаду в Пхенчхане. Об этом 12 января отчиталась контора Trend Micro Inc., пока президент Дональд Трамп разглагольствовал про «сраные страны» и запрещал въезд из них в США.

    Согласно отчету, группировка Fancy Bear создала целую сетку веб-страниц, полностью копирующих внутреннюю почтовую систему Сената. С помощью этой сетки хакеры намеревались обмануть служащих учреждения и при помощи фишинговых сообщений получить доступ к внутренней переписке. Якобы схожую схему пытались применить в 2017 году во время выборов во Франции в отношении почтовой системы тогда еще кандидата Эмманюэля Макрона.

    Параллельно с этим группировка выложила письма, якобы украденные у американских чиновников и представителей Международного олимпийского комитета, касающиеся расследования допинг-скандала с российской сборной, который в конечном итоге привел к ее недопуску на грядущую Олимпиаду. В отчете фирмы этой группировке и второй схожей, Cozy Bear, приписывают работу на ГРУ и систематические атаки на «важнейшие институты американского общества» — и упомянутые два случая уже не должны вызывать у американцев никаких сомнений.

    «Цифровой отдел» военной разведки, продвигающий «мягкую силу» России дерзкими хакерскими атаками, — красивый образ родом из фильмов про Джеймса Бонда. Но кто такие Fancy Bear на самом деле?

    Социальные инженеры

    Группа известна также под именами АРТ28, Sofacy, Sednit, Pawn Storm или Strontium, существует она как минимум с 2004 года. Но мировая слава пришла к ним только в 2016 году, когда они взяли на себя ответственность за взлом Демократической партии США и Всемирного антидопингового агентства (ВАДА). Также они атаковали немецкий Бундестаг и французскую телесеть TV5Monde.

    Методика, озвученная в докладе Trend Micro, действительно активно применяется этими хакерами — они упорно рассылают сотрудникам компании-жертвы «фишинговые письма» и активно применяют социальную инженерию, то есть стремятся максимально хорошо узнать потенциальную жертву и воспользоваться какими-то особенностями ее личности или служебного положения для воплощения задуманного.

    Ласковый мишка: «русских хакеров» из Fancy Bear обвинили в попытке взломать американский Сенат | Изображение 2РИА «Новости» / Владимир Трефилов

    Исследователи компании по кибербезопасности ESET, производители одноименного антивируса, пишут, что за 2015 год хакерами было разослано 1888 подобных сообщений, причем посылаются они в основном в течение рабочей недели, с понедельника по пятницу. В этих письмах, составленных максимально правдоподобно, как правило содержатся ссылки на фишинговые страницы или вложения с зашитым внутри вредоносным ПО. Иногда хакеры присылают страничку, копирующую форму для входа на почту Gmail, на что покупаются самые наивные пользователи и добровольно «вписывают» хакерам в форму свой логин и пароль.

    Международный размах

    Глядя на полный список потенциальных и случившихся жертв Fancy Bear, трудно сказать, что они действуют исключительно в соответствии с внешнеполитическими интересами России: ими атаковались посольства Алжира, Бразилии, Колумбии, Джибути, Индии, Ирака, Северной Кореи, Кыргызстана, Ливана, Мьянмы, Пакистана, Туркменистана, ОАЭ, Узбекистана, Замбии и Южной Африки — стран, говоря прямо, не враждебных РФ. Другие жертвы, однако, совпадают с «легендой»: украинские политики и силовики, чиновники НАТО, иностранные журналисты, пишущие о России, члены партии «Парнас» и вероятные участники «Анонимного интернационала», другой «русской» хакерской группы, позиционировавшей себя как оппозиционная.

    Главные аргументы представителей сцены кибербезопасности в пользу того, что Fancy Bear связаны с российскими властями — особый, характерный для российских кодеров «стиль» написания вредоносного кода и то, что «зараженные файлы» редактировались в рабочие часы московского часового пояса GMT+3. Но вряд ли это тянет на доказательство того, что эти хакеры носят погоны и исполняют приказы российского Генштаба, а не действуют по коммерческому заказу частных лиц или вообще из личного державнического энтузиазма.