Наряду с обнародованными фактами взлома французской телесети TV5MONDE или структур Белого дома, в отношении ряда нападений, которые еще не раскрыты и по ним проводится расследование, уже ясно – нити ведут к российским хакерам. Им приписывают нападение на Варшавскую фондовую биржу, Палату представителей США, немецкий сталелитейный завод, доменной печи которого был нанесен серьезный ущерб, и на The New York Times.
Американские официальные лица опасаются, что любая попытка российского правительства использовать уязвимости в критически важной инфраструктуре Запада, как мировые фондовые биржи, электросети, аэропорты и пр., может привести к эскалации конфликта. Хакерские атаки России вызывают у чиновников НАТО не меньшую тревогу, чем действия России в Сирии.
Варшавская фондовая биржа является лишь одним из примеров повышенной киберактивности. Хакеры, осуществившие атаку в октябре прошлого года, назвали себя исламскими боевиками, которые возмущены тем, что Польша поддержала бомбардировки позиций «Исламского государства» (запрещенного в России по решению суда). Однако источники, близкие к расследованию, утверждают, что действовала группа хакеров, связанная с российским правительством.
Их целью было давление на НАТО за позицию альянса по поводу действий России в Восточной Украине. Этой же хакерской группировке приписывается и нападение на серверы TV5MONDE. Нападение на биржу не затронуло торговую платформу, но побудило польское правительство начать обновление компьютерных систем в государственных учреждениях, в финансовом секторе и больницах, отметил источник Bloomberg.
В начале 2014 года в результате действий хакеров была повреждена доменная печь на сталелитейном заводе компании ThyssenKrupp в Германии. Вредоносную программу, обнаруженную в системе предприятия, связывали с деятельностью российских спецслужб, но разведка США не увязала этот случай с российскими властями. Представитель ThyssenKrupp Килиан Рётцер вообще отрицал, что такой инцидент вообще имел место, как и другие компании, имеющие доменные печи в Германии. О происшествии на сталелитейном производстве сообщило в ноябре 2014 года Федеральное управление по информационной безопасности ФРГ (BSI), не назвавшее, однако, ни пострадавшее предприятие, ни предполагаемых виновников, напоминает Bloomberg.
По сведениям осведомленных источников агентства, хакерам удалось проникнуть в компьютер, управлявший доменной печью, и установить на нем вредоносную программу, которая заставила печь перегреться и расплавиться. В результате производству был причинен «значительный ущерб», поскольку злоумышленники дистанционно нейтрализовали функцию выключения печи. На всю операцию хакерам потребовалось несколько недель. Следы деятельности злоумышленников, оставленные в компьютерной системе завода, указывали на российский источник кибератаки. Но связывать атаку с российскими властями разведка США не стала.
В апреле 2015 года та же самая хакерская группировка, что взломала Варшавскую фондовую биржу, нарушила работу французского телеканала TV5MONDE. Телеканал не мог выйти в эфир два дня, а восстановление работоспособности компьютерных систем, по оценке его руководства, обошлось в €15 млн. Сообщения, что телесеть взломана исламскими хакерами, не более чем прикрытие российских злоумышленников, отмечает агентство. Эта же хакерская группировка недавно проникла в систему электронной почты Палаты представителей Конгресса США, получив доступ к переписке законодателей.
По информации компании Trend Micro, эта группировка известна среди специалистов по ИБ как APT28, Fancy Bear, или Pawn Storm, и объединяет лучших российских хакеров. Более того, ряд экспертов считают, что APT28 может оказаться подразделением ФСБ, эту группировку связывают со взломами политических оппонентов президента России Владимира Путина.
По данным источников Bloomberg, хакеры из APT28 стояли за кибератакой на газету The New York Times в прошлом году. Злоумышленники завладели почтовым аккаунтом корреспондента издания в Вашингтоне и через него пытались атаковать еще 50 сотрудников газеты. Но хакерам не удалось проникнуть в компьютерную сеть издания.
Летом 2015 года была произведена массовая рассылка зараженных электронных писем структурам правительства США. За этим инцидентом, также стояли две хакерские группировки из России. По данным представителя компании Trend Micro Тома Келлерманна, целями злоумышленников одной случае стали две тысячи высокопоставленных чиновников, включая, по крайней мере, одного члена кабинета президента Барака Обамы, а также личная электронная почта членов их семей.
Американские власти озабочены возможностью широкомасштабного конфликта с Россией вследствие ее попыток использовать уязвимости в стратегических объектах инфраструктуры, таких как мировые фондовые биржи, энергосети и аэропорты, для оказания давления на Запад. За последние 18 месяцев российские хакеры усилили слежку за энергосистемами и системами энергоснабжения в США, Канаде и Европе, что рассматривается властями как провокационный шаг. Представители властей США расценивают такие действия как предупреждение, об этом они сообщили Bloomberg на условиях анонимности.
В наблюдении за инфраструктурой используется программа Havex, которая также была обнаружена в системе поврежденной доменной печи в Германии. Сотрудники западных спецслужб полагают, что в случае с нападениями на TV5Monde и польскую биржу, речь может идти о российской контртеррористической операции. Хакеры представлялись группировкой CyberCaliphate, ассоциирующейся с Исламским государством, и пытались выявить реальных хакеров-исламистов.
По оценке спецслужб США, хакеры из России работают непосредственно на правительство страны или же действуют с одобрения властей. При этом Россия является одной из немногих стран, где сотрудники спецслужб используют такую маскировку в киберпространстве, которую не в состоянии распознать даже в АНБ США, пишет Bloomberg. По мнению вице-президента компании Fidelis Cybersecurity Майка Буратовски, уровень подготовки российских специалистов настолько высок, что их присутствие можно обнаружить, только если они сами этого захотят.
Группировка APT28 не раз упоминалась в СМИ в связи с попытками получить информацию о переговорах США и их союзников по поводу санкций и с организацией кибератак на банки. Группировке APT29, которая также считается российской, ранее приписали проникновение в компьютерные сети Белого дома и Госдепартамента.
«APT29 используют самые сложные методы взлома, которые мы видели», – отметила Лора Галант, глава департамента разведки компании FireEye, она специализируется на спонсируемом государством шпионаже. – «Тот факт, что мы подробно говорим о различных российских группах, довольно примечателен, – сказал она. – Китая всегда было много подобных групп, которые отличались методами проведения атаки и выбором жертв. И сегодня мы начинаем классифицировать и рассматривать российские группы подобным образом. За последние годы число таких групп возросло, а события на Украине дали больше исходных данных о потенциально спонсируемых государством группах».
Пресс-секретарь президента России Дмитрий Песков отверг все предположения о причастности Кремля к хакерским атакам. В АНБ и Министерстве внутренней безопасности США отказались комментировать описанные инциденты и говорить о возможных действиях России в киберпространстве. Представитель Агентства внутренней безопасности Польши заявил, что информация о взломе Варшавской биржи является секретной и отказался от дальнейших комментариев.
