Американская компания Area 1, занимающаяся вопросами кибербезопасности, пояснила, что российские хакеры, связанные с российской военной разведкой (Главным управлением Генерального штаба Вооруженных сил России, также известного под аббревиатурой ГРУ), атаковали осенью 2019 года две дочерних компании украинского газового концерна Burisma и еще одну компанию, которая ранее вела бизнес с украинским концерном.
На прошлой неделе Area 1 опубликовала отчет, в котором говорилось, что в ноябре 2019 года российские военные хакеры пытались похитить электронную почту с сервера украинской энергетической компании, в совете директоров которой ранее состоял Хантер Байден, сын экс-вице-президента Джо Байдена.
Калифорнийская компания, занимающаяся кибербезопасностью, распознала попытки кибератаки на серверы Burisma и связала их с ГРУ. Та же хакерская группировка, известная под названиями Fancy Bear или АРТ28, взломала сервер Национального комитета Демократической партии в 2016 году, пытаясь нарушить ход президентских выборов.
В отчете Area 1 говорится, что ГРУ атаковало две дочерние компании Burisma – KUB Gas LLC и Esko Pivnich, а также сервер компании CUB Energy Inc. Последняя ранее вела бизнес с Burisma. Хакеры использовали схожие по названию домены с целью обмануть сотрудников, которые вводили на фейковых сайтах пароли от своей служебной почты.
Как Burisma, так и ее дочерние компании использовали один и тот же почтовый сервер, пояснили в Area 1. Это означает, что взлом почты любой из компаний подвергал риску все остальные юридические лица, входящие в концерн.
В отчете приводится информация, на основании которой Area 1 определила, что созданием «подставных» доменов занимались хакеры, связанные с ГРУ. Авторы отчета указывают на схожесть цифровых «ловушек», установленных киберпреступниками для получения паролей. Сооснователь Area 1 Блейк Дарке говорит, что информация, собранная его подчиненными, указывает на причастность к операции офицера ГРУ, работающего в Москве. Его личность пока установить не удалось.
Однако Дарке подчеркнул: «Мы на 100% уверены», что за попыткой взлома стояло ГРУ.
Независимый исследователь Кайл Эмке из фирмы ThreatConnect в Вирджинии, рассмотревший устройство хакерских доменов, помеченных Area 1, говорит, что на основании полученной им информации можно говорить о «сравнительной уверенности» в том, что за атаками стояла российская военная разведка.
По словам Эмке, хакеры, взломавшие серверы Burisma, использовали те же методы, которыми пользуются российские киберпреступники, связанные с ГРУ, однако у эксперта нет всей полноты информации, чтобы говорить о стопроцентной уверенности.
Джон Халтквист, директор по анализу разведывательных данных из компании FireEye, сказал в интервью Reuters, что домены, обнаруженные Area 1, «согласуются» с другими известными действиями хакеров из АРТ28.
Представители американского разведсообщества выпустили предупреждение о том, что Россия работает над кибервмешательством в выборы в ноябре 2020 года.