Группа хакеров следила за экс-главой правительства, сотрудниками Slon.ru, «Дождя» и Mail.ru

Группа хакеров следила за экс-главой правительства, сотрудниками Slon.ru, «Дождя» и Mail.ru

Группа т.н. "пророссийских хакеров" под названием Pawn Storm организовала шпионскую слежку за российскими журналистами, политиками и общественными деятелями, сообщает в своем отчёте компания, занимающаяся расследованием кибер-преступлений, Trend Micro.

Компания напоминает о том, что группировка ранее высказывала интерес по отношению к скандальному делу Pussy Riot. Trend Micro задается вопросом: как может быть связан интерес хакеров к этому проекту и к тем целям, за которыми они следили.

Помимо двух участниц панк-группы - Марии Алехиной и Надежды Толоконниковой - объектами слежки стали некий "бывший премьер России", которого называют "выдающимся членом партии "Единая Россия", а также рок-звезда и сотрудники изданий Slon.ru, "Дождь", The New Times, "Новая газета" и "Русь сидящая". Конкретные имена и фамилии в отчете не указаны.

Цели Pawn Storm в России

Цели Pawn Storm в России

Помимо оппозиционных СМИ в списке есть и сотрудники "Апостол Медиа" - компании, владельцем которой является нынешний гендиректор "Матч ТВ" Тина Канделаки, и Mail.Ru Group.

Список

Кроме того, хакеры следили за обычными гражданами.

Trend Micro не удалось выяснить причину слежки. Аналитики компании предполагают, что целью могло быть снижение "потенциальных угроз" в РФ.

Изначально группировка следила за иностранными организациями и политическими деятелями. При этом ключевое внимание они уделяли Украине, обратив внимание также на членов НАТО, Бундестага и Белого дома, а также военных атташе и представителей посольств. Их целями были объекты, сосредоточенные за пределами России. И только после тщательного анализа специалисты обнаружили объекты внутри страны.

Страны, за которыми следила группировка Pawn Storm

Страны, за которыми следила группировка Pawn Storm

Trend Micro уточняет, что для сбора информации о деятельности Pawn Storm понадобилось проведение анализа порядка 12 тысяч "фишинговых атак", которые хакеры осуществили в период с 2014 по 2015 год. Кибер-преступники атаковали такие сервисы, как Gmail, Yahoo, Hushmail, Outlook, и другие провайдеры на Украине, в Иране, Норвегии и даже в Китае.

В июле 2015 года Pawn Storm организовала атаку на пользователей почтового сервиса Yahoo.

pawn-storm-targets4В письме, которое рассылалось адресатам, хакеры под видом сотрудников Yahoo запрашивали их разрешение на переотправку писем. Аргументировали они свою просьбу тем, что якобы за несколько дней до того произошел некий сбой. Таким образом члены группировки получали доступ к e-mail, чьи логины поддерживали протокол OAuth. После этого злоумышленники получали возможность использовать их для процесса аутентификации на других сайтах. Ссылка вела на действующий сайт, так что пользователи ничего не подозревали об обмане.

Политический профиль хакерской группировки Pawn Storm

Хакеры Pawn Storm известны также как APT28, Sofacy group, Tsar Team, Sedit и Fancy Bear. В июле 2015 года они совершили кибератаку на компанию Trend Micro, которая успешно расследует их преступления. По мнению экспертов, их действия стали предупредительным актом мести. Хакеры заметили, что расследование Trend Micro зашло слишком далеко и они близки к тому, чтобы докопаться до нежелательной для распространения информации, касающейся политических процессов на межгосударственном уровне. Эксперты тогда утверждали, что находят признаки, которые демонстрируют их принадлежность к российским спецслужбам, действующим по заданию Кремля.

Американские спецслужбы называют хакерскую группировку APT28, канадские службы безопасности — Sednit, эксперты по интернет-безопасности компании Trend Micro (Лос-Анжелес) в своих отчетах отчётах именуют данную хакерскую команду Pawn Storm — по названию шахматной стратегии «штурм пешек».

На самом деле, число псевдонимов, под которыми действует группировка, гораздо больше. Злоумышленники проводят под ними атаки, направленные на таргетинг военных, государственных, политических и медиа-организаций западных стран и, как теперь выяснилось, и России. При этом, подчеркивают специалисты, неизвестно ни одного случая кибершпионажа в экономических целях, кражи персональных данных или взлома банковских счетов 8 лет деятельности Pawn Storm. Таким образом, заключают эксперты, деятельность группировки носит исключительно политический профиль. 

В первом квартале 2015 года киберпреступники прервали полугодовое молчание и предприняли массированные атаки на правительственные учреждения, прежде всего в странах-членах НАТО в Европе, Азии и на Ближнем Востоке. Эксперты по интернет-безопасности утверждали, что для осуществления этих целей хакеры запустили новые серверы управления бот-сетями и использовали новые URL-адреса, содержащие вредоносное ПО.

Свои атаки хакеры Pawn Storm проводят через засылаемый на почту организаций вирус под видом новостных или событийных ссылок, например, о ситуации со строительством газопровода «Южный поток» или с обзором российско-украинских взаимоотношений. Именно таким образом несколько месяцев назад хакерам удалось внедрить свое вредоносное ПО на серверы диссидентского чеченского портала «Кавказ-Центр», болгарской газеты «Стандарт Ньюз», сайта Al-Wayi News, TV5 Monde («Русская служба RFI», Франция). По такой же схеме хакеры атаковали порталы госорганов Грузии, Венгрии, Польши, США, структур НАТО и ОБСЕ, а также промышленного сектора этих стран. В частности, пару месяцев назад кибератаке подверглись 4 оборонных предприятия Франции.

Тщательное расследование хакерской активности группировки на протяжении нескольких лет проводит фирма Trend Micro Inc. из Лос-Анджелеса. Один из специалистов этой компании отметил в своем блоге: "Группа использует три полноценных сценария атаки: первый это spear phishing, этот сценарий предполагает отправку поддельных сообщений, содержащих документы Microsoft Office с внедренным вредоносным ПО SEDNIT/Sofacy. Второй сценарий предусматривал использование специально подготовленных эксплойтов нападения на веб-сайты правительства стран, членов ЕС. Третья часть атаки включала отправку фишинговых писем, которые перенаправляют на поддельные страницы входа в систему портала Outlook Web Access. Атаки кампании Pawn Storm были направлены против военных, правительства и медиа-организаций в США и стран союзников". 

В своем пресс-релизе Trend Micro заявила, что не собирается останавливаться и будет продолжать следить за группировкой, таким образом, логично предположить, что хакеры могут совершить следующую атаку после обнародованных данных и  она может оказаться еще более жесткой.