Эксперты сообщили об атаках хакеров Fancy Bear на Иран и сенат США
Во второй половине 2017 года хакерская группировка Fancy Bear расширила географию своих фишинговых атак. Помимо политических институтов стран Запада как традиционных объектов атак группа занималась шпионажем против международных спортивных федераций и иранских интернет-пользователей. Об этом гласит отчет американской компании в сфере кибербезопасности Trend Micro.
Отчет подготовил старший исследователь фирмы Фейке Хакеборд. Именно он в апреле 2017 года одним из первых сообщил о попытках похитить данные сотрудников избирательного штаба кандидата в президенты Франции Эмманюэля Макрона.
По информации Хакеборда, следы после атаки на соратников Макрона имеют сходство со следами взлома серверов Демократической партии США в 2016 году. На этот раз, используя все те же цифровые следы, Хакеборд назвал еще несколько целей, которые хакерская группировка атаковала с конца весны.
Во-первых, эксперт сообщил о фишинговых атаках против пользователей иранского почтового сервиса Chmail. Массовая рассылка шпионских писем иранским интернет-пользователям состоялась 18 мая, за день до выборов президента страны.
Осенью подобные атаки повторились в отношении сотрудников различных международных федераций зимних видов спорта: хоккея на льду, биатлона, бобслея, санного спорта и других. По времени, отмечает эксперт Trend Micro, это совпадает с процессом отстранения российских атлетов от участия в зимних Олимпийских играх.
С июня 2017 года специалисты по безопасности фиксируют фишинговые атаки против сотрудников сената США, говорится в докладе. Хакеры, которых Хакеборд однозначно определяет как Fancy Bear, создают сайты, копирующие систему доступа ADFS. Эта система позволяет пользователям внутри закрытой корпоративной сети иметь доступ к остальному интернету после единократного ввода данных.
Хакеры не могут таким образом попасть внутрь закрытой системы сената США, но им становятся известны персональные данные попавшихся пользователей. Скомпрометировав один из аккаунтов, злоумышленники могут путем дальнейших атак подобраться к более высокопоставленным целям, указывает Хакеборд.
«Группировка по-прежнему активно пытается влиять на общественное мнение, по меньшей мере ведет активную подготовку — ищет информацию, которую потом можно будет слить», — рассказал Associated Press Хакеборд. В его обзоре также указывается, что в 2016 году группировка «активно искала прямого или опосредованного контакта с ведущими СМИ».
По данным Trend Micro, группировка Fancy Bear, известная также как APT28 и Pawn Storm, существует по меньшей мере с 2004 года, но самые громкие атаки проводит в последние два года. «С момента нашего первого отчета о деятельности группы в 2014 году стало отчетливо видно, что она атакует любые международные организации, которые воспринимаются как оппонент геополитических интересов России», — писала Trend Micro в августе 2017 года.
Сама Trend Micro сдержана в оценках связи группировки с властями тех или иных стран, однако другие специалисты по кибербезопасности, например SecureWorks и ThreatConnect, указывают на связь Fancy Bear с правительством России и российской военной разведкой.
На этой неделе Fancy Bear на основе украденной переписки спортивных чиновников заявила о заговоре Олимпийского комитета США (USOC) с целью захватить власть в Международном олимпийском комитете (МОК) и «получить доступ к многомиллионным взяткам». Изгнание сборной России из-за допингового скандала якобы было частью плана дискредитации олимпийского движения.
В 2018 году, полагает Хакеборд, активность хакеров в лучшем случае останется прежней: «Учитывая грядущие зимние Олимпийские игры и ряд немаловажных избирательных кампаний по всему миру, текущая деятельность Pawn Storm продолжится».