Microsoft выявила атаку российских хакеров на центры в Европе

Компания Microsoft во второй раз за шесть месяцев выявила связанную с российским правительством операцию, направленную против влиятельных аналитических центров, занимающих критическую позицию в отношении России.

Речь идет об атаках с использованием методики «адресного фишинга», когда хакеры рассылают фальшивые письма с целью заманить людей на сайты, которые выглядят аутентичными, но на деле позволяют злоумышленниками проникнуть в корпоративные компьютерные системы своих жертв.

Как утверждает Microsoft, атаки были связаны с хакерской группировкой APT28 – подразделением российской военной разведки, причастной к вмешательству на выборах в США в 2016 году.

Мишенью хакеров стали более 100 европейских сотрудников Германского фонда Маршалла, германского отделения Аспенского института и Немецкого общества внешней политики – влиятельных организаций, занимающихся вопросами трансатлантической политики.

Атаки происходили в октябре-декабре 2018 года, в преддверии выборов в Европарламент в мае этого года. Они свидетельствуют о непрерывной агрессивной кампании со стороны российских агентов с целью подрыва демократических институтов в странах, которые они считают противниками.

Это уже второй раз за последние шесть месяцев, когда Microsoft публично сообщает о своих усилиях по противодействию группировке APT28, которую также иногда называют Strontium или Fancy Bear (Microsoft использует исключительно название Strontium).

Незадолго до промежуточных выборов в США Microsoft обезвредила фишинговые операции, направленные против влиятельных консервативных организаций и американского Сената. Тогда APT28 создала поддельные сайты, имитирующие сайты этих организаций и собственность Microsoft. Хакеры также выдавали себя за коллег пострадавших.

«Атаки, которые мы наблюдали недавно, вкупе с другими атаками, которые мы обсуждали в прошлом году, наводят на мысль о постоянных усилиях, направленных против демократических организаций, – говорится в сообщении в блоге компании. – Они подтверждают предупреждения европейских лидеров об уровне угрозы, который нам следует ожидать в Европе в этом году».

В связи с предыдущей попыткой обезвредить хакеров Microsoft сообщала, что ей удалось использовать новую юридическую стратегию для отключения поддельных доменов.

Компания получила судебный ордер о переводе доменных имен на свои собственные сервера, заявив, что поддельные сайты являются нарушением прав интеллектуальной собственности компании, после чего закрыла их.

На этот раз, однако, Microsoft не пыталась получить судебный ордер для блокировки хакеров. При этом компания не уточнила, почему она не пошла на это.

Директор Германского фонда Маршалла по коммуникациям Эндрю Колб заявил, что он не удивлен тем, что его организация стала мишенью для России.

«Примерно два года мы проводим программу, которая посвящена конкретно авторитарному вмешательству в Интернете, и во многих случаях это означало наблюдение за действиями России, – сказал Колб. – Мы в какой-то мере предполагали, что можем стать объектом подобных атак в любое время».

При этом Колб заметил, что в этот раз он впервые смог связать атаку с конкретной российской хакерской группировкой. «Для нас это напоминание о том, что мы должны об этом знать», – добавил он.

(Редакция журнала Эхо России также отмечает, со своей стороны, значительное усилиние фишинговых атак в последнее время на ресурсы журнала)

Ломать - не строить...

Российские хакеры, поддерживаемые властями, работают в несколько раз быстрее, чем их коллеги из других враждебных Западу стран, пишет Times.

Такие хакерские группы, как Fancy Bears, которые обвиняются в кибератаках на правительственные и оборонные инфраструктуры в Европе и Америке, тратят в среднем 18 минут и 49 секунд на то, чтобы распространить свои щупальца из первого зараженного ими компьютера какой-либо организации в другие компьютеры той же внутренней сети.

Северокорейским хакерам на это требуется в среднем два часа и 20 минут, а китайским - более четырех часов.

Исследователи американской компании Crowdstrike говорят, что были удивлены, обнаружив, что российские хакеры работают в среднем в восемь раз быстрее своих конкурентов (скорее, партнеров - ЭР) из других стран.

"Мы ожидали, что они окажутся на первом месте, учитывая, насколько эффективно они работают по сравнению с остальными злоумышленниками, но даже мы были удивлены тем, как быстро они способны полностью проникнуть в компьютерную систему, заполучив к ней доступ", - цитирует газета одного из основателей Crowdstrike Дмитрия Альперовича.

Хакеры обычно начинают кибератаки с попытки взломать один из компьютеров сети какой-либо организации. Для этого им обычно нужно, чтобы пользователь открыл в электронной почте приложение, содержащее вредоносный вирус, после чего они могут либо следить за остальными компьютерами организации, либо саботировать всю работу этой сети.

Компания утверждает, что большинство обнаруженных ей кибератак исходили из Китая, России, Ирана и Северной Кореи.

Южная Корея, Вьетнам, Индия и Пакистан также не дремлют, пишет Times.