В американских спецслужбах эту хакерскую группировку называют APT28, канадские безопасники — Sednit, эксперты по ИБ компании Trend Micro из Лос-Анжелеса в своих отчетах отчётах называют данную хакерскую команды Pawn Storm — по названию шахматной стратегии «пешечный штурм». На самом деле псевдонимы этого хакерского сообщества значительно больше. Но под всеми ними злоумышленники проводят операции, направленные на таргетинг военных, государственных, политических и медиа-организаций западных стран. Причем, ни одного случая кибершпионаже в экономических целях, кражи персональных данных или взлома банковских счетов за Pawn Storm за 8 лет их деятельности нет. Одним словом, это хакеры политического профиля.
В первом квартале 2015 года после полугодового молчания кибервоины Pawn Storm вновь активизировались. Ими были предприняты массированные атаки на правительственные учреждения, прежде всего в странах-членах НАТО в Европе, Азии и на Ближнем Востоке. Как отмечают эксперты по ИБ, для этого они запустили новые серверы управления бот-сетями и применили новые URL-адреса, содержащие вредоносное ПО.
Свои атака хакеры Pawn Storm ведут через засылаемый на почту организации вирус под видом новостных или событийных ссылок, например, о ситуации со строительством газопровода «Южный поток» или с обзором российско-украинских взаимоотношений. Именно таким образом несколько месяцев назад хакерам удалось внедрить свое вредоносное ПО на серверы диссидентского чеченского портала «Кавказ-Центр», болгарской газеты «Стандарт Ньюз», сайта Al-Wayi News, TV5 Monde («Русская служба RFI», Франция). По такой же схеме атакам подверглись сайты госорганов Грузии, Венгрии, Польши, США, структур НАТО и ОБСЕ, а также промышленного сектора этих стран. В частности, пару месяцев назад кибератаке подверглись 4 оборонных предприятия Франции.
Технический директор европейского отделения компании сетевой безопасности FireEye Иоги Шандирамани в своем комментарии насчет деятельности Pawn Storm, обратил внимание, что «их метод работы всегда один и тот же. Они посылают мейл с вирусами на личный аккаунт в Gmail или Yahoo. Получатель попадается, кликая на ссылку, и выдает свои профессиональные идентификаторы, которые тотчас же захватываются атакующими».
Тщательным расследованием хакерской активности этой группировки на протяжении нескольких лет фирма Trend Micro Inc. из Лос-Анджелеса, которая специализируется на ИБ. Один из безопасников данной компании в своем блоге отметил: «Группа использует три полноценных сценария атаки: первый это spear phishing, этот сценарий предполагает отправку поддельных сообщений, содержащих документы Microsoft Office с внедренным вредоносным ПО SEDNIT/Sofacy. Второй сценарий предусматривал использование специально подготовленных эксплойтов нападения на веб-сайты правительства стран, членов ЕС. Третья часть атаки включала отправку фишинговых писем, которые перенаправляют на поддельные страницы входа в систему портала Outlook Web Access. Атаки кампании Pawn Storm были направлены против военных, правительства и медиа-организаций в США и стран союзников.
При этом мы выяснили, что группа атаковала также и российских диссидентов, и оппозиционеров Кремля, украинских активистов и военные организации Украины. Учитывая цели, можно предположить, что атаки могут быть связан российским правительством». Более того, в одном из многочисленных отчетов Trend Micro по расследованию деятельности Pawn Storm указано, что во вредоносном коде хакеров были обнаружены фразы на русском языке и время сборки, которое соответствовало часовым поясам Москвы и Санкт-Петербурга. Именно это и стало поводом для признания хакеров агентами Кремля, хотя никаких прямых доказательств этому нет.
Сегодня основным инструментом этой группировки хакеров является недавно обнаруженный эксплойт нулевого дня среды выполнения Oracle Java 8 Update 45. Именно эта уязвимость Java использовалась хакерами для кибератак против правительств стран-участниц НАТО и их агентуры. А в середине июля, вопреки своим установкам, группировка Pawn Storm атаковала компанию Trend Micro, которая, как видно, подошла в своем расследовании слишком близко к неким нежелательным для злоумышленников выводов. Иначе говоря, вместо очередной серии кибератак на Белый дом, военные учреждения США или оппозиционные России силы хакеры осуществили в отношении своих разоблачителей предупредительный акт мести.
Сначала специалисты по ИБ из Trend Micro заметили, что предназначенный для хостинга эксплоита к уязвимости нулевого дня в Java URL-адрес, с помощью которого вредоносное ПО заражало целевую систему, был модифицирован таким образом, что DNS-запрос вел через домен ausameetings[.]com к IP-адресу Trend Micro: 216.104.20.189. Просто хакеры, не взломывая и не компрометируя ресурсы компании, перенаправили DNS-запрос на IP-адрес Trend Micro, что надо расценивать, как своеобразное предупреждение Pawn Storm — безопасникам. Однако, судя по пресс-релизу, Trend Micro не собирается останавливаться, а значит, вполне логично предположить, что следующая атака хакеров будет более жесткой и ощутимой.
