Российских хакеров обвинили в атаке на французский канал от имени «Исламского государства»

Эксперты по кибербезопасности из фирмы FireEye, проанализировавшие апрельскую атаку на французский телеканал TV5Monde от имени «Исламского государства», обнаружили её связь с малоизвестной группировкой российских хакеров. Об этом сообщает BuzzFeed News.

Пресс-конференция TV5Monde в Париже, 9 апреля. Фото Томаса Самсона, AFP

По данным фирмы FireEye, инфраструктура, через которую осуществлялась атака на TV5Monde в апреле, схожа с той, которую обычно используют хакеры из российской группировки APT28.

Здесь есть общие показатели. Сайт «Киберхалифата», где появилась информация по атаке на TV5Monde, размещался на том же блоке IP-адресов, что и другая часть инфраструктуры APT28, и использовал тот же сервер и доменный регистратор, что и APT28 в прошлом.

Джен Видон, менеджер FireEye

Группировка APT28 известна и под другими названиями: Pawn Storm, Tsar Team, Sedit и Fancy Bear. FireEye наблюдала за ней продолжительное время: по словам представителей фирмы, APT28 отличается от других хакеров тем, что проводит взломы не ради финансовой выгоды, а для сбора полезной государству информации.

В отчёте от 27 октября 2014 года FireEye заявила, что скорее всего APT28 финансируется российским правительством. Это специалисты определили по косвенным признакам: атакам на сайты госорганов Грузии, Венгрии и Польши, журналистов, пишущих о Кавказе, а также на НАТО и ОБСЕ. Кроме того, во вредосном коде нашли использование русского языка, а время его сборки примерно соответствовало часовым поясам Москвы и Санкт-Петербурга.

Во вторник 9 июня французская газета L'Express рассказала о причастности российских хакеров со ссылкой на источники, близкие к расследованию атаки на телеканал. Следователи отказались от версии, что за произошедшим стоит «Исламское государство», и перешли к изучению группировки APT28. Газета также отметила ухудшение отношений между Францией и Россией в последнее время.

Нападание хакеров на TV5Monde произошло в ночь с 8 на 9 апреля. Тогда злоумышленникам удалось приостановить вещание телеканала на 18 часов. Премьер-министр Франции Мануэль Вальс (Manuel Valls) назвал это «неприемлемой атакой на свободу слова и самовыражения».

В фейсбуке TV5Monde взломщики разместили сообщение от имени якобы связанной с «Исламским государством» группировки «Киберхалифат» и опубликовали документы, якобы принадлежащие родственникам французских военнослужащих, участвующих в операции против исламистов в Сирии и Ираке. Хакеры также взломали Google+ телеканала, разместили там изображения с надписью «Je SuIS IS» (игра слов, примерно переводящаяся как «Я — “Исламское государство”»).