Эксперты рассказали об атаках Fancy Bear на «Шалтай-Болтай»
Словацкая компания ESET, занимающаяся разработкой антивирусов и защитой информации, опубликовала первую часть своего исследования о хакерской группе, известной под названиями Sednit, Fancy Bear, Apt 28, Sofacy и Pawn Storm.
По данным ESET, Sednit занимается хакерской деятельностью с 2004 года. Помимо освещавшихся в СМИ атак на Демократическую партию США, немецкий парламент и французский телеканал TV5 Monde, хакеры атаковали посольства десятков государств, министерства обороны Аргентины, Бангладеш, Турции, Южной Кореи и Украины, сотрудников НАТО, украинских политиков, журналистов из Восточной Европы.
В России целями Sednit становились участники группы «Анонимный интернационал» («Шалтай-Болтай»), которые публиковали украденную переписку российских госслужащих, члены партии «Парнас» и другие оппозиционеры, а также иностранные ученые, посещавшие российские вузы.
Большинство целей хакеров, которых удалось установить ESET, пользовались почтой Gmail. В ходе атак Sednit использовали фишинговые атаки, письма с вирусами, вредоносные сайты. Хакеры также эксплуатировали ранее неизвестные уязвимости в программах и использовали большое количество созданных ими же инструментов, пишут в ESET.
По данным экспертов, активность хакеров приходится на время с 9:00 до 17:00 по времени UTC+3 (совпадает с московским; о похожих наблюдениях сообщала в 2014 году компания FireEye). Большинство атак, которые отследили эксперты с 16 марта по 14 сентября 2015 года (1888 адресов), совершались с понедельника по пятницу. В ESET указали, что многие называли Sednit группой, связанной с российской разведкой, однако воздержались от собственных выводов.
Хакерская группа Fancy Bear упоминалась в зарубежных СМИ как «российские хакеры», предположительно связанные с российским правительством. Их называли ответственными за взлом серверов Национального комитета Демократической партии США, базы данных Всемирного антидопингового агентства, немецкий бундестаг и французский телеканал TV5 Monde.
В 2015 году компания FireEye сообщила, что группа APT28 пыталась получить информацию о переговорах США об антироссийских санкциях, а также атаковала отдел НАТО по спецоперациям, правительства Венгрии, Польши и Грузии. Pawn Storm упоминались в расследовании компании Trend Micro, которая обнаружила попытку несанкционированного доступа к материалам расследования катастрофы малайзийского «Боинга» под Донецком. Эта же группа называлась ответственной за атаки на российские издания Slon.ru, «Дождь», «Новая газета» и The New Times.
В октябре 2016 года стало известно, что несколько десятков российских общественных активистов и журналистов получили от Google уведомления о попытке взлома электронной почты спецслужбами.
Российские власти неоднократно отвергали какую-либо причастность правительства к хакерским атакам.
