Как россияне охотятся на украинских волонтеров в киберпространстве

Примерно месяц назад украинская киберкоманда CERT-UA опубликовала сообщение о массовой рассылке фишинговых писем, в которых содержались ссылки на загрузку вредоносных файлов. Детальный анализ кибератаки дал все основания полагать, что она была проведена по заказу спецслужб северного соседа, наиболее вероятно - хакерами из группы Fancy Bear, деятельность которой отвечает интересам российских властей. И, как оказалось, это далеко не первая целевая кибератака со стороны РФ. История началась как минимум на 3 года раньше, когда около полутысячи украинских деятелей в течение года "бомбили" электронными письмами, содержащими вредоносные ссылки.

Откуда об этом известно

Подробная информация о целях, которые были атакованы хакерской группой Fancy Bear, поступила от компании Secureworks, дочернего предприятия Dell Technologies, специализирующееся на кибербезопасности. Всего с марта 2015 по май 2016 были атакованы 4705 электронных адресов. Хакеры присылали на указанные электронные ящики фишинговые письма или письма, содержащие зараженные файлы.

Далее все данные о таких кибератаках Secureworks передал международному информационному агентству Associated Press, где их анализом занялся журналист Рафаэль Саттер (Raphael Satter). Он проанализировал весь перечень и обнаружил среди них по меньшей мере 554 украинских адресатов.

В рамках этой группы были 213 целей - журналисты, активисты и другие деятели гражданского общества, 159 - государственные деятели (государственные служащие, дипломаты и депутаты), еще 75 - военнослужащие (военные атташе, старшие офицеры или добровольцы). Остальные - работают в частных бизнес-структурах, или же их нельзя классифицировать однозначно.

Рафаэль Саттер попытался связаться со всеми жертвами атаки российских хакеров, чтобы получить дополнительную информацию. Так, он разослал на украинские почтовые ящики из вышеперечисленного перечня письмо следующего содержания:

"Меня зовут Рафаэль Саттер. Я - журналист международного информационного агентства Associated Press. Я пишу Вам, чтобы сообщить, что Ваш электронный адрес подвергся кибератаке хакерской группы, известной под названием Fancy Bear. Данные, которые получили я и мои коллеги от компании Secureworks свидетельствуют о том, что эти хакеры пытались проникнуть к Вашему почтовому ящику в период с марта 2015 по май 2016 года. Деятельность Fancy Bear очень совпадает с интересами российской власти. Если Вы ответите на это письмо, мы сможем предоставить детали того, как эта группировка пыталась украсть Ваши сообщения".

Кого именно атаковали

Анализ выбранных целей говорит о том, что хакеры атаковали вовсе не случайных людей. Почти все они занимались определенной политической или общественной деятельностью. Так, нам удалось связаться с тремя жертвами вышеупомянутых кибератак - Анатолием Дробахой, Александром Чендековым и Анатолием Пинчуком - и подробно выяснить, как происходила атака.

Анатолий Дробаха принимал участие в минимум 4 волонтерских проектах. Первый касался организации школы пилотов и разработки беспилотников-разведчиков, которые в первые годы АТО довольно успешно использовались Национальной гвардией Украины.

Гвардейцы, выпускники школы пилотов, сдают экзамен

Кроме того, он участвовал в поездке украинских политиков и активистов в США в 2014 году с целью донести до представителей американского правительства реальную информацию о вооруженной агрессии РФ в Украине.

Он также был руководителем проекта по поставке для украинского правительства, спецслужб и ВСУ средств секретной связи - специализированных телефонов с шифрованием трафика.

"Звезда" мировой криптографии Фил Зимерман передает криптотелефоны для использования в украинском правительстве

По данным Secureworks, Анатолий Дробаха получил не менее 8 фишинговых писем в период с 16 марта 2015 по 18 ноября того же года. Письма маскировались под сообщение системы безопасности Google, а при попытке регистрации пароли должны пересылаться в центр сбора информации на подставном сервере http://bit.ly. Впрочем российские хакеры не смогли добиться успеха во время тех атак и использовали другие средства.

Александр Чендеков, технический директор Ukrspecsystems, отмечает, что атака на его почтовый ящик проводилась в конце февраля-начале марта 2015 года. К тому времени он уже полгода работал в нескольких волонтерских проектах, связанных с беспилотными летательными аппаратами. Однажды Александр получил письмо, очень похожее на оповещение от сервиса Gmail, где у него есть почтовый ящик. В письме содержалась информация о том, что, якобы, только что была предпринята попытка получить доступ к ящику с зарубежного IP-адреса и необходимо срочно сменить пароль к учетной записи Google.

"К счастью у меня был опыт работы в сфере информационной безопасности, и я сразу заподозрил, что это фишинговая атака. Сначала было некоторое сомнение, но когда письма похожего характера начали поступать снова, я окончательно понял, что это фишинг. Я попытался самостоятельно выяснить, кто же осуществляет такую ​​атаку, но моих знаний и свободного времени не хватило, чтобы найти хоть какую-то зацепку, которая указала бы на источник. К тому времени я уже завершал участие в волонтерском проекте по построению серии беспилотных летательных аппаратов для сил АТО, который финансировал Анатолий Дробаха. И очень похоже, что мой почтовый ящик был атакован именно из-за участия в том проекте. Широкой огласки возможных кибератак со стороны РФ на тот момент еще не было, поэтому я даже не знал, куда следует обратиться с жалобой на них. И вдруг уже в начале 2018 мне позвонил человек с иностранного номера и спросил, есть ли у меня такой-то почтовый ящик. Это был именно мой email-адрес. Как оказалось, это был журналист из Associated Press, исследовавший кибератаки", - говорит он.

Пилоты проекта БПЛА на полевых занятиях на базе НГУ в Новых Петровцах

По мнению Александра Чендекова, уровень осведомленности украинских военных в области информационных технологий на тот момент не позволил бы им выявить эту атаку, поэтому, скорее всего, она стала весьма результативной для злоумышленников. Единственным компенсирующим фактором может быть то, что наши военные очень мало используют электронные средства коммуникации, и в этих каналах не так много действительно критической информации.

Анатолий Пинчук, президент ВОО "Украинская стратегия", также занимается волонтерскими проектами в сфере безопасности, в том числе вопросами военной помощи США Украине с 2013 года.

Круглый стол в Вашингтоне

Встреча в Сенате США

Пинчук отметил, что определенные кибератаки на его почтовый ящик происходят постоянно (фактически каждый месяц приходят письма с подозрительными вложенными файлами и веб-ссылками). Но в 2015 году атака была весьма необычна, поскольку изначально был инфицирован компьютер. Заражение прошло незаметно, злоумышленники получили возможность дистанционно управлять компьютером и через некоторое время попытались зайти на его почтовый ящик Gmail. Но Анатолий получил предупреждение на смартфон, что на его почту Gmail был осуществлен вход с другого IP-адреса. Он немедленно попытался поменять пароль ящика с компьютера - но доступ был заблокирован. Тогда он попытался поменять пароль со смартфона - также без результата. И только когда Анатолий отключил домашнюю Wi-Fi-сеть и зашел на сайт Gmail со смартфона через мобильный интернет, он смог изменить пароль. Как потом оказалось, имела место попытка похитить информацию из его почтового ящика. И если бы не мера пресечения со стороны сервиса Google, который сообщил о всех подозрительных действиях с почтой, то все могло бы закончиться гораздо хуже. Анатолий считает, что связывает эту кибератаке со своей волонтерской деятельностью.

Не только в Украине

Российский телеведущий Павел Лобков находился в студии, готовясь к своему шоу, когда на его телефоне появилось очень неприятное сообщение: некоторые из его наиболее конфиденциальных писем только что были опубликованы в интернете. Позже расследование Associated Press установило, что Лобков был атакован хакерской группой Fancy Bear в марте 2015 года, за девять месяцев до того, как его сообщения просочились в интернет. Он был одним из по крайней мере 200 журналистов, издателей и блогеров, настигнутых хакерами с середины 2014 года и до недавнего времени.

Предыдущие отчеты Associated Press показали, что Fancy Bear использовал фишинговые электронные письма, чтобы скомпрометировать лидеров российской оппозиции, украинских политиков и американских разведчиков, а также руководителя избирательной кампании Хиллари Клинтон Джона Подеста и более 130 других членов демократической партии.

Кроме того, как оказалось, российские кибершпионы пытались похитить промышленные секреты военных беспилотников и другие важные американские оборонные технологии. С помощью фишинга они получили доступ к электронным ящикам десятков человек, которые работают над разработкой супертехнологичного военного дрона.

Незаметная война

За четыре года мы привыкли, что война идет на востоке, с одиночными взрывами и выстрелами в Киеве. Но есть и другая, незаметная на первый взгляд, война - в киберпространстве. Здесь никто не стреляет, но конечные итоги также могут быть очень болезненными. Российские хакеры проводят скрытые спецоперации в тылу против волонтеров, журналистов и политических деятелей. И можно с уверенностью сказать, что подобные атаки будут продолжаться и дальше. Враг силен и умен. Он убивает гибридным оружием - фейковыми новостями, хакерскими атаками, пулями и снарядами.

Олег Релипенко, PS WeeK, для "ОстроВа"

Статьи

Мир
19.03.2024
05:50

«Пока мы не победим окончательно, устанавливать такую зону было бы преждевременно». Российские СМИ об Украине

"Какое же это потрясающее чувство, когда тебе не стыдно за свою страну. Не потому, что твоя Родина всегда и во всем лучшая. Вовсе не во всем и далеко не всегда. А потому что после сокрушительного поражения в холодной войне Россия отказалась принять...
Донбасс
17.03.2024
19:51

Выборы в "ДНР": "наблюдатели" с автоматами, пляски донецкого "мэра" и "геополитик" из Италии. Обзор СМИ оккупированного Донбасса

На минувшей неделе СМИ оккупированного Донбасса изо всех пытались продемонстрировать, что выборы президента чужой страны на аннексированных территориях Украины проходят, законно, прозрачно и честно. При этом зачастую левая рука не знала, что делает...
Страна
16.03.2024
14:16

Выплаты переселенцам: кто останется без помощи

С 1 марта в Украине изменился подход к предоставлению государственных выплат внутренне перемещенным лицам. В результате – ежемесячных пособий лишились около миллиона украинцев.
Все статьи