Линки доступности

Бывшие послы CША рассказали «Голосу Америки», что стали мишенями хакерских атак


Дипломаты, политики, журналисты и правозащитники стали жертвами атак киберпреступников, предположительно связанных с российскими спецслужбами. Мы поговорили с некоторыми из атакованных людей.

Американские послы Джон Хербст, Майкл Макфол, Стив Пайфер, оппозиционный политик Илья Пономарев, российские журналисты и правозащитники, издания «Проект» и организация «Первый отдел» стали жертвами массированный хакерской атаки группировок Coldriver и Coldwastrel.

«Голос Америки» поговорил с людьми, пострадавшими от атак, а также с представителем организации Access Now, сообщившей об атаках и связавшей киберпреступников с российскими спецслужбами.

Использование сервиса Proton в атаках

По словам российского оппозиционного политика Ильи Пономарева, несколько месяцев назад он получил письмо якобы от экс-посла США в России Майкла Макфола, с которым он периодически общается.

«Это письмо визуально никаким образом не отличалось от других его писем, сказал Пономарев в беседе с «Голосом Америки». – Я поверил в то, что это его письмо, поскольку визуально оно никаким образом не отличалось от других его писем. Это означает, что те люди, которые это делали, они видели другие его письма. В письме была ссылка на якобы доклад Макфола по Украине, который он намерен прочитать в Китае (в апреле 2024 года Макфол читал лекции китайским студентам – прим. Г.А.), а также просьба проверить, не напутал ли он что-то».

Илья Пономарев
Илья Пономарев

Майкл Макфол подтвердил «Голосу Америки», что стал мишенью атаки хакеров, однако на момент публикации материала не ответил на уточняющие вопросы о деталях произошедшего.

29 марта 2024 года в соцсети Х Макфол публично предупредил о кибератаке. «Если вы получили электронное письмо от моего помощника вчера или с этого адреса - John.E.Herbst <***16@protonmail.com> – с просьбой прочитать «стратегический документ по России», не открывайте его. Это хакерская атака».

Скриншот со страницы Майкла Макфола в соцсети Х
Скриншот со страницы Майкла Макфола в соцсети Х

Джон Хербст (John Herbst), бывший посол США в Украине и директор Евразийского центра Атлантического cовета, заявил «Голосу Америки», что сталкивается с атаками российских хакеров на протяжении последних 10 лет.

«[Кремлю] с самого начала не нравилось то, что я делал, потому что я указывал на то, что они проводят незаконное вторжение в Украину. Думаю, это началось ещё в 2014 году», – сказал Хербст в интервью «Голосу Америки».

Хербст подчеркнул, что мишенью российских хакеров являются люди, которые занимают публичную позицию, направленную на противодействие агрессивной внешней политике Москвы: «Поэтому неудивительно, что такие люди, как Стив Пайфер, Майкл Макфол или я получаем знаки внимания со стороны ФСБ, ГРУ и других».

Джон Хербст, бывший посол США в Украине, директор Евразийского центра Атлантического cовета
Джон Хербст, бывший посол США в Украине, директор Евразийского центра Атлантического cовета

По словам Хербста, связанные с российскими спецслужбами хакеры пытаются выяснить, чем занимаются бывшие послы.

«Я не хочу преувеличивать то внимание, которое они нам уделяют, но у них такой огромный аппарат безопасности, что они поручают какому-нибудь низкоуровневому сотруднику следить за такими людьми, как я, – говорит Хербст. – То, что связывало мой случай с Майком Макфолом или Стивом Пайфером – что это была попытка “ловли на живца”. Они проверяли, смогут ли они заставить кого-то из них написать что-то конфиденциальное мне, что могло бы быть компрометирующим».

Стив Пайфер
Стив Пайфер

Стив Пайфер не ответил на запрос «Голоса Америки» с просьбой прокомментировать подробности хакерской атаки.

Атакуя журналистку издания «Проект», хакеры также знали, с кем она может вести переписку

Илья Пономарев ответил на письмо от псевдо-Макфола, однако не успел скачать вредоносный файл, поскольку был в самолете, и с телефона это делать было неудобно.

«Когда я открыл на компьютере, я обратил внимание, что адрес, с которого он мне это послал, это не его обычный адрес Стэнфордского университета, это было что-то совсем другое. Будучи айтишником, я посмотрел IP-адрес файла в письме, убедился в том, что это фишинг. После чего передал информацию компетентным органам, чтобы они уже дальше этим вопросом занялись», – сказал Пономарев.

Иллюстративное фото
Иллюстративное фото

Собеседник уточнил, что сначала сам факт того, что «Макфол» написал ему с почтового ящика сервиса Proton, не вызвал у него особенных подозрений: «У меня тоже есть адрес на Proton, для каких-то, значит, конфиденциальных переписок». Пономарев отметил, что злоумышленники могут подделывать адреса на этом почтовом сервере, меняя одну букву, и визуально это читается как обычный почтовый адрес.

«Его используют, потому что он полностью анонимный. По Proton нельзя проследить IP-адрес, так что, когда ты используешь Proton, это тупик, его дальше раскопать невозможно.

По словам журналистки издания «Проект» Полины Махольд, в ее случае хакеры также использовали социальную инженерию и почтовый сервис Proton. Атака произошла в ноябре прошлого года.

Скриншот с сайта издания «Проект»
Скриншот с сайта издания «Проект»

«Мне пришло письмо от “коллеги” из другого медиа, с которым мы до этого делали совместный проект, с просьбой взглянуть на новый потенциальный проект или что-то в этом духе, – рассказала Махольд в беседе с «Голосом Америки». – Мы какое-то время переписывались, и когда уже дело дошло до открытия файла, я обнаружила, что все-таки что-то очень подозрительное происходит, потому что ссылка из файла вела на Proton Drive якобы, но в домене было что-то совершенно другое».

Собеседница «Голоса Америки» подчеркнула, что позвонила коллеге, который подтвердил, что это злоумышленник вел переписку от его имени. Информация была передана в Citizen Lab, где установили, что за атакой стояли хакеры, вероятнее всего связанные с ФСБ.

По данным организаций Access Now и Citizen Lab, представивших доклад об изощренных хакерских атаках, в случае с Махольд и Пайфером за атаками стояла группировка Coldriver, предположительно связанная с ФСБ России.

Здание ФСБ в Москве. Архивное фото
Здание ФСБ в Москве. Архивное фото

«Пора перестать секретничать, и начать делиться информацией», призывают пострадавших от атак в «Первом отделе»

О вероятной связи хакеров с российскими спецслужбами говорит в беседе с «Голосом Америки» и Дмитрий Заир-Бек, глава правозащитного проекта «Первый отдел». Эта организация участвовала в подготовке доклада: сотрудник «Первого отдела» одним из первых подвергся хакерской атаке.

«Мы стали первыми, поскольку мы защищаем людей по делам о госизмене и шпионаже», – говорит Заир-Бек.

Почерк атаки был похож на методику, описанную другими жертвами.

«Одному из наших сотрудников пришло письмо с адреса, имитирующего адрес одного из наших партнеров. В письме была ссылка, которая ведёт на фишинговый сайт», – объяснил Заир-Бек.

По словам собеседника «Голоса Америки», в случае с «Первым отделом» атака велась группировкой Coldwastrel.

«Они такие “троечники” мира хакеров. Задумка такая же, как и у группы Coldriver, просто они меньше внимания каким-то мелким деталям уделяли, – говорит Дмтрий Заир-Бек. – То, что они “троечники”, не значит, что они менее эффективные. Они выбирают человека, который, с их точки зрения, с одной стороны, обладает наибольшим объемом информации, которая их интересует, а с другой стороны, наиболее уязвим».

Заир-Бек подчеркнул, что в реальности речь идет о двузначном количестве организаций, которые были мишенями киберпреступников: «А чем больше людей атаковано успешно, тем больше людей будет атаковано успешно в будущем, потому что, получив доступ к почтовому адресу человека можно от его имени уже эти фишинговые письма рассылать».

Глава «Первого отдела» призвал других жертв атак «перестать секретничать»: «При всей массовости этих атак очень важно делиться этой информацией. Понятно, что это, безусловно, вопрос вашей безопасности и безопасности ваших сотрудников. Но хотя бы своих ближайших коллег предупредить об этом необходимо».

Access Now: хакеры уже обладают информацией о своих жертвах при попытках атак

Попасться на удочку хакеров может даже человек, весьма осведомленный в вопросах цифровой безопасности, говорит Наталья Крапива, эксперт компании Access Now, являющейся соавтором доклада о хакерских атаках.

«Группировки Coldriver и Coldwastrel используют довольно сложную социальную инженерию, очень хорошее понимание контекста. Они знают, как в целом организация устроена, какие люди отвечают за финансы, HR, политику, и так далее. То есть знают, какому сотруднику или сотруднице послать этот (фишинговый) имейл, – говорит Крапива. – Они также понимают, с кем эти организации взаимодействуют и по каким вопросам. Мы видели примеры использования существующих отношений между российской и американской правозащитной организацией».

Скриншот с сайта Access Now
Скриншот с сайта Access Now

По словам собеседницы «Голоса Америки», хакеры знали, что одна из организаций ждет определенный документ, заявку на грант. И под видом этого документа ровно той сотруднице, которая его ожидала, был послан вредоносный PDF-файл.

Из этого можно сделать вывод, что хакеры уже обладают определенным набором информации на момент попытки атаки на своих жертв, говорит Крапива. Вопрос о том, насколько успешными были атаки хакеров, остается открытым.

По словам Крапивы, сейчас «нет прямых доказательств связи между заражением компьютера вредоносным файлом и попытками отравления в отеле или же последующим признанием организации “иноагентом”».

Иллюстративное фото
Иллюстративное фото

Ранее сообщалось, что Джон Хербст, подтвердивший атаку на свой компьютер, и еще как минимум один человек, которого атаковали российские хакеры (руководитель крупной правозащитной организации) в последние годы испытывали симптомы, схожие с отравлением нервно-паралитическими веществами.

СМИ сообщали как минимум о нескольких случаях отравлений критиков Кремля – как и в случае с хакерскими атаками, речь идет о правозащитниках, журналистах, американских дипломатах.

Особенностью этих хакерских атак является то, что их целью – как обычно работают спецслужбы – является сбор информации, и совсем не обязательно, что она будет использована сразу против жертвы, подытоживает Крапива.

«Ели есть основания думать, у хакеров был доступ, что люди нажали и ввели свой логин где-то, то конечно же, мы рекомендуем, насколько возможно оповестить партнеров, сотрудников об этом, – подчеркивает Наталья Крапива. – Возможно, если есть какие-то планы конкретные, если намечается конференция, если злоумышленники получили информацию, где вы остаетесь, в каком отеле, мы рекомендуем принять меры и поменять планы. Мы не советуем оставлять, например, будучи на конференциях, свои компьютеры или какую-то важную информацию».

Доклад: хакеры, связанные с российской разведкой, атакуют критиков Кремля

Как сообщал «Голос Америки», доклад, подготовленный группами по защите цифровых прав Citizen Lab и Access Now, был опубликован 14 августа. В докладе анализируются атаки прокремлевских хакеров с 2022 по 2024 годы, направленные на проживающих в изгнании российских оппозиционеров, сотрудников американских аналитических центров, экс-послов США в России, Украине и Беларуси, политических деятелей и ученых, сотрудников некоммерческих организаций США и ЕС, а также медийные организации.

Некоторые из этих лиц находятся в России, что подвергает их еще большей опасности, отмечают эксперты. Авторы также подчеркивают, что жертвы хакерской операции могли выбираться с целью получения доступа к их контактам.

Целью фишинговых атак является попытка заставить пользователя кликнуть на вредоносную ссылку или ввести свои данные – логин и пароль – на фальшивом сайте.

В результате хакеры получают доступ к конфиденциальной информации жертвы, включая переписку, список контактов, в ряде случаев финансовую информацию и прочее.

  • 16x9 Image

    Алексей Горбачев

    Журналист «Голоса Америки», ведущий программы «Почему это важно?». В 2011–2018 году работал политическим обозревателем в Москве, где освещал акции протеста российской оппозиции, нарушения прав человека, ущемление свободы слова, репрессии против политических активистов и фальсификацию выборов. Лауреат американской стипендии имени Хьюберта Хамфри в сфере журналистики. Прошел обучение в школе журналистики и массовых коммуникаций имени Уолтера Кронкайта при Университете штата Аризона. До работы на «Голосе Америки» - участник гражданского форума «ЕС-Россия», программы Европейского центра «Солидарности» (Гданьск, Польша) и Московской школы гражданского просвещения (до 2013 г. - «Московская школа политических исследований»).  

Форум

XS
SM
MD
LG