Кто скрывается за масками «Fancy Bear»?

В Кремле причастность к хакерским атакам в США неоднократно отвергали.

Кто скрывается за масками «Fancy Bear»? Робин Гуды, или же очередные «оборотни в погонах»?!

Хакерская группировка Fancy Bear (также известна как Sofacy, Sednit, APT28, Pawn storm и Strontium) действует с 2004 года. Жертвами сотен атак стали немецкий парламент, французская телевизионная сеть TV5Monde, WADA, члены ПАРНАСа, ЛДПР, "чеченские организации", "российские политические диссиденты", журналисты по всей Восточной Европе, иностранные ученые, руководство Украины, посольство Пакистана в Киеве, министерства обороны нескольких стран (Аргентины, Северной Кореи, Турции, Украины) и посольства не менее 16 государств (Алжира, Бразилии, Колумбии, Джибути, Индии, Ирака, КНДР, Киргизии, Ливана, Мьянмы, ЮАР, Туркмении, ОАЭ, Узбекистана и Замбии).

В Кремле причастность к хакерским атакам в США неоднократно отвергали. На большой пресс-конференции 23 декабря 2016 года, отвечая на вопрос о хакерских атаках, президент РФ Владимир Путин , что никто не знает, кто устроил кибератаки на США. Он заметил, что это и не важно. По мнению Президента России, проигравшая сторона (кандидат от демократов Хиллари Клинтон, которую поддерживал Барак Обама) просто ищет себе оправдания.

Эти хакерские атаки — жёсткий вариант кампаний, которые параллельно проводят кремлевские англоязычные СМИ. Они транслируют негативные новости о западных институтах и альянсах и выдвигают на первый план проблемы, демонстрирующие или способствующие дестабилизации обстановки на Западе, такие, как Брексит. Особенно Москва стремится к ослаблению Организации Североатлантического договора, которая расширила свою оборону против России.

«Основным принципом многих из этих кибератак является создание информационного оружия, — говорит Александр Климбург (Alexander Klimburg), специалист по кибербезопасности Гаагского Центра стратегических исследований. Взлом для них буквально означает контроль над информацией».

Президент Владимир Путин отрицает причастность России к хакерским атакам, но делает это так, что чувствуется его ликование по поводу того, что в демократическом процессе США можно вызвать хаос.

Вот не полный список тех громких «спектаклей», которые сумели провернуть эти хакеры по заказу Кремля в период с 2014-2017 года:

Номер №1. Взлом приложения для армии Украины

Доклад американской компании CrowdStrike от 22 декабря гласит о том, что приложение, которым украинские военные пользовались для более точного наведения артиллерии, было взломано. Ранее эксперты этой группы уже проводили анализ закладки для удаленного доступа X-Agent, которую группировка Fancy Bear использовала на платформе Android. Авторы нового доклада обнаружили вариацию этой закладки под названием "Попр-Д30.apk" в приложении для платформы Android. Приложение было разработано офицером украинской артиллерии Ярославом Шерстюком и распространялось на украинских военных форумах. Оно использовалось для ускорения процесса наведения артиллерийских систем при стрельбе, а именно - советских гаубиц Д-30, которые использовала армия Украины. Приложение позволяло сократить этот процесс с нескольких минут до менее 15 секунд.

Вместе с закладкой хакеров указанное приложение позволяет получить доступ к данным сотовой связи и геолокации. Таким образом, в распоряжении группировки могли оказаться сведения о точных позициях украинской артиллерии.

Номер №2. Борьба с не «угодными»

В октябре этого года группировка пыталась взломать аккаунты хакеров из группы "Анонимный интернационал" (или "Шалтай-Болтай"), известных своей антикремлевской позицией. Об этом говорилось в докладе компании ESET, производящей антивирусы NOD32. Хакерская группа Анонимный интернационал (известен также как «Шалтай-Болтай») прославилась взломами российских чиновников: Twitter-аккаунта премьер-министра России Дмитрия Медведева, почты главы Роскомнадзора Александра Жарова, а также WhatsApp телеведущего Дмитрия Киселева.

В конце октября 2016 года сотрудники ФСБ задержали в Петербурге журналиста Владимира Аникеева. Спецслужбы считает его создателем блога «Шалтай-Болтай», в котором группа хакеров, известная как «Анонимный интернационал», публиковала украденную переписку высокопоставленных чиновников. Тем самым Fancy bear дало понять всем, что будут затыкать любого, кто не хочет мирится с политикой кремля.

Номер №3. Удар по выборам в США

Добытая хакерами информация, которая была опубликована в конце минувшего лета, показала, насколько беспрепятственно можно было проводить кампанию по сливу компромата во время президентской кампании 2016 года в атмосфере полного отсутствия фактического материала. В конце сентября DC Leaks опубликовал сотни электронных писем, украденных с аккаунта 22-летнего фрилансера, работавшего в избирательном штабе.

Между тем, кампания по сливу компромата разворачивалась быстрыми темпами. И в августе, и в сентябре было предпринято по шесть вбросов данных, в том числе файлов, похищенных с серверов комитета демократической партии по выборам в конгресс, которые также были взломаны. В октябре по мере приближения президентских выборов Guccifer опубликовал массивный кэш, содержавший более 2100 файлов. А три дня спустя и WikiLeaks начал публиковать тысячи писем, украденных из электронной почты Джона Подесты.

В тот день, когда WikiLeaks опубликовал первую порцию электронных писем Подесты, власти США предприняли беспрецедентный шаг, объявив, что «уверены» в том, что взлом серверов национального комитета демократической партии был санкционирован российскими «высшими должностными лицами». Пока американские следователи не сообщили публично, кто несет ответственность за взлом почты Подесты, но, судя по данным, собранным компанией SecureWorks, становится ясно, что группа Fancy Bear взломала сервер председателя избирательного штаба Клинтон еще в конце марта. Работники ЦРУ проинформировали Трампа о происхождении компромата, но тот продолжал цитировать просочившиеся в прессу материалы, заявляя перед толпой в Пенсильвании: «Я люблю Викиликс!».

Номер № 4. Удар по «АНБ».

В середине августа, когда Guccifer и DC Leaks практически ежедневно были в центре внимания СМИ, в социальных сетях неизвестно откуда появился третий загадочный пользователь. Группа, назвавшая себя Shadow Brokers, объявила о том, что на файлообменных сайтах вроде Github она опубликовала информацию о «кибероружии» АНБ. Группа заявила, что в ближайшее время она проведет аукцион по продаже второго кэша с программными инструментами. После того, как специалист по кибербезопасности выложил ссылку на репозиторий с предполагаемым программным обеспечением АНБ, на этот ресурс устремились аналитики.

Специалисты обнаружили, что указанные инструменты — семейство вредоносных программ, предназначенных для кражи данных с серверов лиц и организаций, представляющих для АНБ интерес, были подлинными. Самое главное, что представители издания The Intercept, имевшего доступ к файлам АНБ, утечку которых организовал Эдвард Сноуден, нашли в опубликованных группой Shadow Brokers инструментах 16-значную цепочку символов («ace02468bdf13579»), которая упоминается в сверхсекретном и ранее не публиковавшемся руководстве АНБ. Эта связь позволила доказать происхождение материалов, «найденных» группой Shadow Brokers.

Получить доступ к информации АНБ и украсть ее, конечно же, сложно. У элитного подразделения агентства ТОЕ, отвечающего за проведение хакерских атак и кибернаступательных операций, имеется внутренняя секретная сеть, известная как «сторона с более высоким уровнем безопасности», которая физически отделена от интернета («стороны с более низким уровнем безопасности»). Диоды данных, или однонаправленные шлюзы, позволяют передавать данные только в одном направлении (как воду из крана) и практически исключают возможность проникновения в компьютеры секретной сети с компьютеров сети, подключенной к интернету. Все таки американским элитным кибершпионам удалось вычислить злоумышленников, взломавших серверы демократов и «почти со 100%-ной достоверностью» определить, что это были русские. Возможно даже, что властям США удалось определить имена и личные данные отдельных операторов. Русские знали, что их вычислили. 30 июля в пресс-релизе представитель ФСБ заявил, что компьютерные сети 20 оборонных предприятий и госорганов оказались зараженными эффективными вирусами для шпионажа, тем самым снять с себя любые подозрения своей участи в этих атаках.

Номер № 5. Атака на МИД Польши

Министерство иностранных дел Польши подверглось атаке хакеров, которых связывают с российскими спецслужбами и нападениями на серверы ОБСЕ и Демпартии США, сообщает польское издание . По его данным, инцидент произошёл еще в декабре 2016 года, но сообщается о нем только сейчас.

Несколько сотрудников дипведомства получили по электронной почте письма, якобы содержащие заявление генерального секретаря НАТО по итогам встречи Совета Россия-НАТО. Во вложении к посланию содержался вирус, который при открытии документа активизировался, позволяя хакерам получить доступ к данным, хранящимся на компьютерах дипломатов.

Атаку обнаружили не сразу, но в итоге ее удалось отбить. "Атака была очень серьезной", - заявил журналистам Мариуш Бурдах - представитель фирмы Prevenity, которая занимается обеспечением безопасности компьютерных сетей польских госучреждений. По его словам, кибермошенники использовали недавно обнаруженную ошибку в программе Adobe Flash Player. "Дело осложнялось тем, что атака была проведена с использованием сервера МИД одного из государств Латинской Америки", - сообщили журналистам в пресс-службе польского министерства.

И в Prevenity, и в МИД Польши считают, что за атакой стоит группа хакеров APT28, также известная как Sofacy и Fancy Bear.

Номер №6. Атака на серверы допинг-центра WADA

13 сентября 2016 года хакеры, называющие себя Fancy Bears,  на своем сайте ряд документов, похищенных у Всемирного антидопингового агентства (ВАДА). Как не трудно понять, это очередной виток допингового скандала, начавшегося еще до старта Олимпийских игр в Рио-де-Жанейро. Так, хакеры обнародовали свидетельства того, что в ходе соревнований американские атлеты принимали запрещенные препараты, но все равно были допущены до участия в Олимпиаде. При этом представители ВАДА подтвердили факт взлома своих систем и утечку данных, заявив, что их атаковали хакеры из России.

Реакция на «слив» данной информации последовала незамедлительно. Так, представители ВАДА , что агентство подверглось атаке «российской кибершпионской группы Tsar Team (APT28), также известной как Fancy Bear». Сообщается, что злоумышленники сумели получить доступ к базе данных ADAMS (Anti-Doping Administration and Management System), использовав для этого направленный фишинг и скомпрометировав временный аккаунт МОК, созданный специально для Олимпийских игр в Рио. По заявлениям представителей ВАДА, другие базы данных в ходе инцидента не пострадали, хакеры похитили только пароль от аккаунта ADAMS.

Также представители агентства подчеркивают, что «данное преступное деяние полностью  компрометирует попытки мирового антидопингового сообщества восстановить доверие к России после публикации Доклада Макларена».

Так кто же все таки скрывается за масками Fancy bear, и какую цель они преследуют?. Борьба с мировым заговором всех спецслужб мира методом взламывания серверов и донесения этой информации всем «смертным» с подтекстом: «За вами следят, вас используют, вас обманывают и в конце концов откройте глаза!». Или же таковыми, которые работают на такие же спецслужбы, при этом крича, что они независимые и вообще ни когда ни работали с правительством ни какой из стран мира. С последней атакой на сервера WADA и предоставлением фактов про прием допингов мировыми звездами спорта и тем, что они хотят очистить спорт от недобросовестных элементов, в целом, с такой теорией можно было бы согласиться, если бы не другие факты, которые говорят обратное. Не надо быть «Шерлоком», чтобы не проследить нить «политиканства» и «заказухи», которая тянется от Fancy bear и заканчивается у стен «Кремля». Ведь та или инная атака была направлена либо на союзников Североатлантического союза или же США, будь-то вмешательство в выборы в США и взломов серверов демократов, либо атакой на правительственные сайты Германии и Польши, и в конце концов помощь российским окупантам на Донбассе в уничтожение украинской армии через взлом приложения для артелиристов. После каждого раследования специлистов начиная от АНБ и ФБР, заканчивая NOD32 CrowdStrike и других, которые в своих отчетах на 100% дают гарантии, что это одна и та же группировка, и что она напрямую работает на ГУР Министерства обороны России, когда США на официальном уровне вводят санкции и подтверждают, что именно их хакеры взломали серверы Демократической партии, тем самым спровоцировали скандал на национальном уровне, российское правительство как не в чем не было, вскакивает с трибуны и кричит во всю глотку, что мол это не мы, это не наши и вообще чего вы обвиняете, а когда слов не хватает, на сцену выходит Путин, который с железной непоколебимостью старого «КГбшника», начинает рассказывать как весь мир против них ополчился, и что они единственные, которые борются с киберпреступниками самыми эффективными методам и средствами. Россия уже давно осознала, что вести реальную войну на несколько фронтов невозможно, ввиду нехватки средств, людей, техники. Но, вести кибервойну не покидая стены дома, да еще финансируя её с собственного бюджета огромными ассигнованиями, давая зеленый свет на все возможные преступления как раз и оказалось золотой серединой «Кремля». Об их связи со структурами безопасности России можно отчасти судить по «уликам» технического характера. Вредоносные программы, используемые этими двумя группами, для большинства преступных организаций считаются слишком сложными. По данным румынской компании Bitdefender, работающей в сфере кибербезопасности, в некоторых программах, которые хакеры из группы Fancy Bear использовали в 2015 году для взлома некоторых сетей в Украине, присутствует кириллица. Судя по образцам некоторых вредоносных программ, которые использовала группа Cozy Bear, они, в основном, были созданы, когда в Москве был рабочий день.
Однако, по мнению экспертов по кибербезопасности, самым убедительным доказательством причастности русских служат объекты, которые хакерские группы выбирали для своих атак. Группы Fancy Bear и Cozy Bear, как правило, ориентированы на НАТО и на их союзников, на официальных лиц в странах Восточной Европы и на западные военные организации —такие как Academi LLC, американское охранное предприятие, ранее известное как частная военная компания Blackwater. Во многих случаях информация, которую они воруют, тесно связана с интересами России.
«Все это делает более убедительными свидетельства о том, что Россия оказывает здесь поддержку, — говорит Лора Галант (Laura Galante), менеджер по разведке глобальных угроз из американской компании FireEye Inc, работающей в сфере кибербезопасности, и бывший специалист по России Министерства обороны США. Российское правительство вполне открыто заявило о своем желании иметь возможности в этой области. Они хотят иметь возможность формировать мнение людей о происходящем».

ЛЕДОКОЛ АНТИРУС