Офтоп
Никита Лихачёв

ESET рассказала о неполном списке целей хакеров Fancy Bear

www.welivesecurity.com

Хакеры Fancy Bear, прославившиеся в 2016 году атаками на Демократическую партию США и ВАДА, имели гораздо более широкий список целей, среди которых были украинские политики, организации при НАТО, журналисты из Восточной Европы, члены партии «Парнас» и участники хакерской группировки «Анонимный интернационал» («Шалтай-Болтай»). Об этом говорится в отчёте словацкой компании ESET, специализирующейся на кибератаках.

В ходе изучения деятельности Fancy Bear ESET обнаружила публичный аккаунт на сайте Bit.ly, через которые хакеры сокращали ссылки для фишинговых писем. В таких письмах они от имени Google предупреждали о возможном нарушении приватности и обманом заставляли пользователя ввести свой пароль на специально сгенерированной странице.

В этом публичном аккаунте, обнаруженном ESET, нашли порядка 4400 сокращённых ссылок. В основном хакеры работали по будним дням, следует из статистики сервиса.

В список целей, по адресам которых рассылались фишинговые письма вошли посольства ряда стран, включая Бразилию, Колумбию, КНДР, Аргентину, Индию, Ирак, Киргизию, ОАЭ и Узбекистан. Помимо этого хакеры посылали их в министерства обороны Аргентины, Бангладеш, Южной Кореи, Турции и Украины.

Специалистам ESET удалось идентифицировать и некоторые личные адреса на Gmail. Они принадлежали членам партии «Парнас», группировки «Анонимный интернационал», российским политическим диссидентам, чеченским организациям, журналистам из Восточной Европы, политическим лидерам и главам полиции Украины, а также преподавателям, посещающим российские университеты. Имена целей не опубликованы.

Как пояснил TJ специалист ESET, работавший над массивом, среди целей Fancy Bear был в том числе главный редактор TJ Никита Лихачёв. На его личную почту фишинговое письмо высылалось четыре раза с 16 марта по 20 мая 2015 года. Часть целей хакеров уже публиковала в августе 2015 года компания Trend Micro.

В ESET отметили, что список целей скорее всего неполный, так как помимо найденного ими публичного аккаунта Bit.ly скорее всего существуют и другие приватные аккаунты. В исследовании ESET хакерскую группировку называют Sednit, однако у неё есть и другие названия: Pawn Storm, APT28, Sofacy, Tsar Team, Strontium и TG-4127.

В компании не стали вдаваться в подробности, кто может стоять за Fancy Bear, лишь сославшись на старое исследование компании Crowdstrike. В нём утверждалось, что при взломе серверов Демократической партии США действовали две группировки хакеров, относящиеся к российским спецслужбам.

20 октября стало известно, что ESET отказали во включении её антивируса в реестр российского ПО. Согласно заявлению Минкомсвязи, ведущего этот реестр, у ООО «ИСЕТ Девелопмент» не было сертификата на разработку ПО с функциями защиты конфиденциальной информации. По мнению министра Николая Никифорова, ESET могла создать дочернюю российскую структуру специально, чтобы претендовать на попадание в реестр.

По мнению представителей четырёх известных компаний в сфере IT-безопасности — Trend Micro, F-Secure, Threat Connect и Electronic Frontier Foundation — хакеры из Fancy Bear также связаны с попыткой взлома российских журналистов и активистов.