«Русские хакеры» из Fancy Bear: правда и вымысел

Демократия в опасности

Fancy Bear, APT28, Pawn Storm, Sofacy, Sednit, STRONTIUM — разные названия одной группы хакеров, которую на Западе связывают с Главным разведывательным управлением (ГРУ) России. Последним инцидентом, связанным с этими медийно-раскрученными хакерами, стало заявление президента Microsoft Брэда Смита.

Он сообщил, что их отдел по борьбе с цифровыми преступлениями предотвратил попытки получить конфиденциальную информацию у посетителей сайтов, связанных с сенатом США, и сайтов двух исследовательских организаций консервативной направленности.

Хакерами были созданы фишинговые сайты, внешне неотличимые от настоящих. Поскольку эти сайты посещали действующие политики, эксперты и консультанты государственных учреждений, то потенциальная опасность получения злоумышленниками содержимого их компьютеров, переписки, паролей и логинов от служебных аккаунтов вызвала очень эмоциональную реакцию топ-менеджера Microsoft.

«Ясно, что демократия во всем мире находится под угрозой. Иностранные организации начинают кибератаки, чтобы сорвать наши выборы и сеять раздор. К сожалению, интернет стал для некоторых правительств средством для кражи данных, распространения дезинформации и зондирования попыток вмешаться в системы голосования.

Мы видели это во время президентских выборов в 2016 году в мае прошлого года, видели это во время президентских выборов в Франции, и видим это сейчас, во время подготовки к ноябрьским промежуточным выборам.

Киберугрозы направленные на две главные политические партии США дают нам понять, что технологическому сектору необходимо делать больше, чтобы защитить демократический процессы в нашем обществе», — заявил Брэд Смит.

Он также cообщил о том, что за последние два года Microsoft закрыла 84 фишинговых сайта, связанных с Fancy Bear.

Этапы большого пути

Название Fancy Bear придумал в 2014 году специалист американской компании CrowdStrike Дмитрий Альперович. Имя «Модный мишка» оказалось самым эффектным и прижилось в медиа-пространстве.

Первые следы вредоносного ПО, которым пользовались хакеры из Fancy Bear, датируется еще 2004 годом, но известность к ним пришла спустя десять лет — после взлома почты ряда российских, украинских, американских и прибалтийских журналистов.

Кибератаки Fancy Bear относят к классу APT — advanced persistent threat.

Как правило, они ориентируются на взлом конкретной цели и готовят атаку на основании информации, собираемой в течение длительного времени. При этом во время атаки одновременно используются различные методы нападения — эксплуатация аппаратных и программных уязвимостей, «социальная инженерия» и пр.

Fancy Bear приписывают длительную, почти шестимесячную атаку на членов немецкого парламента в течение 2014 года и успешный взлом французской телекомпании TV5 Monde, в ходе которой было прервано вещание 12 каналов в течение трех часов, а также взломаны административные и почтовые сервера компании.

В августе 2015 года хакеры атаковали информационные системы Белого дома и НАТО, а в 2016 году им удалось получить доступ к переписке Всемирного антидопингового агентства WADA. Это произошло после того, как WADA опубликовала отчет, обвиняющий Россию в создании системы применения допинга.

Также в 2016-м были зафиксированы фишинговые атаки на адреса электронной почты, связанные с Национальным комитетом Демократической партии, а затем атаки распространились на непубличные адреса электронной почты высокопоставленных демократов.

По данным аналитиков компании CrowdStrike, в 2014-2016 гг. группа Fancy Bear через военные онлайн-форумы распространяла зараженную версию специального Android-приложения, используемого украинскими артиллеристами для наведения 122-мм гаубиц Д-30. При этом приложение передавало противнику геолокационные данные о расположении самих гаубиц. По неофициальной информации, в результате использования зараженного ПО в ходе боевых действий на востоке Украины было уничтожено от 15% до 20% артиллерийских установок Д-30 ВСУ.

В 2017 году исследователи из Trend Micro опубликовали отчет с описанием попыток Fancy Bear атаковать группы, связанные с избирательными кампаниями Эммануэля Макрона и Ангелы Меркель. Эти случаи — лишь часть довольно изобретательных кибератак, которые приписываются загадочным хакерам из Fancy Bear.

Таинственности этой группе добавляет тот факт, что до сих пор нет ни одного раскрытого участника команды.

Достоверных данных нет

По словам руководителя российского исследовательского центра «Лаборатории Касперского» Юрия Наместникова, в ранних версиях кода вредоносного ПО группы Fancy Bear были обнаружены артефакты на русском языке, что дает основания полагать, что среди разработчиков есть люди, говорящие на русском. Кроме того, цели атак, как и документы, используемые для заманивания жертв, так же говорят о том, что среди хакеров есть русскоговорящие.

«По нашей информации, основными целями группы Sofacy [так по классификации «Лаборатории Касперского называется эта группа хакеров – «Газета.Ru»] являются военно-промышленные, государственные, дипломатические и иные организации во многих регионах мира, прежде всего в США, Европе, Ближнем Востоке. С недавнего времени мы отмечаем их активность в крупных странах Азии. Основной задачей группы является шпионаж, о чем говорит функционал их вредоносных программ.

В своих атаках хакеры используют очень продвинутый инструментарий, в том числе так называемые уязвимости нулевого дня, то есть те, которые на момент атаки неизвестны в отрасли. Стоимость таких уязвимостей на черном рынке может достигать сотен тысяч долларов.

Можно предполагать, что Sofacy имеет значительные ресурсы и высококлассных специалистов. Такого рода ресурсы обычно недоступны частным группам. Поскольку интересы группы не связаны с хищением денег, вероятно, за Sofacy могут стоять государственные спецслужбы», — сообщил «Газете.Ru» Наместников.

«Мы знаем, что главная цель Sednit [название группы по классификации ESET] — кража конфиденциальной информации у высокопоставленных должностных лиц. Группа постоянно совершенствует свои инструменты для кражи данных из госучреждений. В списке целей Sednit — политические деятели и журналисты из Восточной Европы, посольства ряда стран, включая Северную Корею, Туркменистан и Узбекистан, министерства обороны Южной Кореи, Турции, Украины, общественные организации» , — говорит Сергей Кузнецов, руководитель отдела технического сопровождения продуктов ESET Russia.

Вместе с тем эксперты, в отличие от политиков, крайне осторожно говорят об атрибуции продвинутых хакерских групп с большими ресурсами. Исследователи и антивирусные аналитики видят лишь технические параметры: IP-адреса, программный код, системную информацию документов и инфраструктуру и в некоторых случаях могут определить жертв. На основе этих технических параметров и делаются выводы.

При этом у каждой большой группы есть свой набор вредоносных инструментов, которые постоянно развиваются, а сами хакеры часто предпринимают усилия, чтобы направить исследователей на ложный след, подделывая разные технические параметры и добавляя программный код другой группы хакеров.

«В силу этих причин мы не можем однозначно утверждать, из какой именно страны хакеры этой группы. С точки зрения «Лаборатории Касперского», решение о такой атрибуции должны делать правоохранительные органы, у которых может быть больше информации.

Мы вообще не можем утверждать, что Sofacy является некой единой группой», — подчеркивает Наместников.

Сергей Кузнецов из ESET соглашается с коллегой: «Делать выводы на основе косвенных признаков (которые часто подделывают, чтобы сбить со следа экспертов) или геополитической ситуации (это тоже мы постоянно наблюдаем) недопустимо. Насколько нам известно, доказательств, указывающих на личности и российское гражданство хакеров Fancy Bear, пока представлено не было».

Угроза инфраструктуре

Одной из ключевых проблем при раскрытии хакерских групп, занимающихся кибершпионажем, является тот факт, что они, как правило, не только находятся под юрисдикцией другого государства, но также могут пользоваться поддержкой его структур или даже работать на них. В этом случае ни о какой кооперации между правоохранительным органами разных стран не может быть и речи.

При этом, как подчеркивают ИБ-специалисты, без сотрудничества с полицией и другими спецслужбами идентифицировать хакеров практически нереально.

Эксперты отмечают, что политический, военный и экономический кибершпионаж превратился в полноценную рыночную отрасль, где идет вполне полноценная конкуренция и кооперация между частным и государственным секторами.

По словам Наместникова, в настоящее время в «Лаборатория Касперского» наблюдают деятельность более 100 кибершпионских групп: «Используя наши знания о методах, тактике и инструментах различных группировок мы можем говорить об активности китайско-, англо-, русско-, корейско-, франко-, арабоязычных групп и это далеко не полный список».

По данным аналитического центра InfoWatch, в 2017 году объем скомпрометированной информации в мире вырос в 4 раза — с 3,1 млрд до 13,3 млрд записей.

При этом в глобальной структуре скомпрометированной информации 86% утечек были связаны с кражей персональных данных и финансовой информации.

«Такое положение вещей свидетельствует о том, что информация в современном обществе имеет крайне высокую ценность. А когда есть ценность, значит есть и рынок. За каждым взломом стоит заказчик, никто из профессионалов не тратит свое время бесплатно. Тут есть и активные группировки, услуги которых можно купить, есть государственные подразделения кибербезопасности и разведки. Важность этих подразделений осознали правительства всех стран, причем произошло это не вчера», — утверждают аналитики компании Attack Killer.

Отметим, что часть экспертного сообщества вообще сомневается в том, что за инцидентами, приписываемыми Fancy Bear, стоит одна и та же группа хакеров. Более того, есть сомнения в том, что Fancy Bear вообще существует.

Сложность идентификации хорошо организованных хакерских групп, подтвержденная всеми опрошенными «Газетой.Ru» экспертами, дает возможность кибершпионам маскироваться под раскрученный и даже фейковый бренд.

Есть еще одна опасность кибершпионажа, которая мало освещается в медиа, но беспокоит специалистов. Развитие шпионского компьютерного ПО — это большая глобальная угроза, так как оно может быть использовано не только для шпионажа, но и для атак на реальную инфраструктуру.

Инструменты, используемые правительственными и частными кибершпионами, рано или поздно попадают в руки неконтролируемых экстремистских и террористических групп. Например, в глобальных эпидемиях шифровальщиков Wannacry и ExPetr (NotPetya) использовался эксплойт, разработанный Агентством национальной безопасности (АНБ), код которого был слит в сеть неустановленным лицами.

В 2017 году одной из самых серьезных угроз для промышленности стала вредоносная программа Industroyer, предположительно послужившая причиной сбоя энергоснабжения в Киеве. Такие атаки могут затронуть не только энергетику — в числе потенциальных целей оборонный сектор, системы транспорта и водоснабжения, здравоохранение и производство.