Американские послы Джон Хербст, Майкл Макфол, Стив Пайфер, оппозиционный политик Илья Пономарев, российские журналисты и правозащитники, издания «Проект» и организация «Первый отдел» стали жертвами массированный хакерской атаки группировок Coldriver и Coldwastrel.
«Голос Америки» поговорил с людьми, пострадавшими от атак, а также с представителем организации Access Now, сообщившей об атаках и связавшей киберпреступников с российскими спецслужбами.
Использование сервиса Proton в атаках
По словам российского оппозиционного политика Ильи Пономарева, несколько месяцев назад он получил письмо якобы от экс-посла США в России Майкла Макфола, с которым он периодически общается.
«Это письмо визуально никаким образом не отличалось от других его писем, сказал Пономарев в беседе с «Голосом Америки». – Я поверил в то, что это его письмо, поскольку визуально оно никаким образом не отличалось от других его писем. Это означает, что те люди, которые это делали, они видели другие его письма. В письме была ссылка на якобы доклад Макфола по Украине, который он намерен прочитать в Китае (в апреле 2024 года Макфол читал лекции китайским студентам – прим. Г.А.), а также просьба проверить, не напутал ли он что-то».
Илья Пономарев
Майкл Макфол подтвердил «Голосу Америки», что стал мишенью атаки хакеров, однако на момент публикации материала не ответил на уточняющие вопросы о деталях произошедшего.
29 марта 2024 года в соцсети Х Макфол публично предупредил о кибератаке. «Если вы получили электронное письмо от моего помощника вчера или с этого адреса - John.E.Herbst <***16@protonmail.com> – с просьбой прочитать «стратегический документ по России», не открывайте его. Это хакерская атака».
Скриншот со страницы Майкла Макфола в соцсети Х
Джон Хербст (John Herbst), бывший посол США в Украине и директор Евразийского центра Атлантического cовета, заявил «Голосу Америки», что сталкивается с атаками российских хакеров на протяжении последних 10 лет.
«[Кремлю] с самого начала не нравилось то, что я делал, потому что я указывал на то, что они проводят незаконное вторжение в Украину. Думаю, это началось ещё в 2014 году», – сказал Хербст в интервью «Голосу Америки».
Хербст подчеркнул, что мишенью российских хакеров являются люди, которые занимают публичную позицию, направленную на противодействие агрессивной внешней политике Москвы: «Поэтому неудивительно, что такие люди, как Стив Пайфер, Майкл Макфол или я получаем знаки внимания со стороны ФСБ, ГРУ и других».
Джон Хербст, бывший посол США в Украине, директор Евразийского центра Атлантического cовета
По словам Хербста, связанные с российскими спецслужбами хакеры пытаются выяснить, чем занимаются бывшие послы.
«Я не хочу преувеличивать то внимание, которое они нам уделяют, но у них такой огромный аппарат безопасности, что они поручают какому-нибудь низкоуровневому сотруднику следить за такими людьми, как я, – говорит Хербст. – То, что связывало мой случай с Майком Макфолом или Стивом Пайфером – что это была попытка “ловли на живца”. Они проверяли, смогут ли они заставить кого-то из них написать что-то конфиденциальное мне, что могло бы быть компрометирующим».
Стив Пайфер
Стив Пайфер не ответил на запрос «Голоса Америки» с просьбой прокомментировать подробности хакерской атаки.
Атакуя журналистку издания «Проект», хакеры также знали, с кем она может вести переписку
Илья Пономарев ответил на письмо от псевдо-Макфола, однако не успел скачать вредоносный файл, поскольку был в самолете, и с телефона это делать было неудобно.
«Когда я открыл на компьютере, я обратил внимание, что адрес, с которого он мне это послал, это не его обычный адрес Стэнфордского университета, это было что-то совсем другое. Будучи айтишником, я посмотрел IP-адрес файла в письме, убедился в том, что это фишинг. После чего передал информацию компетентным органам, чтобы они уже дальше этим вопросом занялись», – сказал Пономарев.
Иллюстративное фото
Собеседник уточнил, что сначала сам факт того, что «Макфол» написал ему с почтового ящика сервиса Proton, не вызвал у него особенных подозрений: «У меня тоже есть адрес на Proton, для каких-то, значит, конфиденциальных переписок». Пономарев отметил, что злоумышленники могут подделывать адреса на этом почтовом сервере, меняя одну букву, и визуально это читается как обычный почтовый адрес.
«Его используют, потому что он полностью анонимный. По Proton нельзя проследить IP-адрес, так что, когда ты используешь Proton, это тупик, его дальше раскопать невозможно.
По словам журналистки издания «Проект» Полины Махольд, в ее случае хакеры также использовали социальную инженерию и почтовый сервис Proton. Атака произошла в ноябре прошлого года.
Скриншот с сайта издания «Проект»
«Мне пришло письмо от “коллеги” из другого медиа, с которым мы до этого делали совместный проект, с просьбой взглянуть на новый потенциальный проект или что-то в этом духе, – рассказала Махольд в беседе с «Голосом Америки». – Мы какое-то время переписывались, и когда уже дело дошло до открытия файла, я обнаружила, что все-таки что-то очень подозрительное происходит, потому что ссылка из файла вела на Proton Drive якобы, но в домене было что-то совершенно другое».
Собеседница «Голоса Америки» подчеркнула, что позвонила коллеге, который подтвердил, что это злоумышленник вел переписку от его имени. Информация была передана в Citizen Lab, где установили, что за атакой стояли хакеры, вероятнее всего связанные с ФСБ.
По данным организаций Access Now и Citizen Lab, представивших доклад об изощренных хакерских атаках, в случае с Махольд и Пайфером за атаками стояла группировка Coldriver, предположительно связанная с ФСБ России.
Здание ФСБ в Москве. Архивное фото
«Пора перестать секретничать, и начать делиться информацией», призывают пострадавших от атак в «Первом отделе»
О вероятной связи хакеров с российскими спецслужбами говорит в беседе с «Голосом Америки» и Дмитрий Заир-Бек, глава правозащитного проекта «Первый отдел». Эта организация участвовала в подготовке доклада: сотрудник «Первого отдела» одним из первых подвергся хакерской атаке.
«Мы стали первыми, поскольку мы защищаем людей по делам о госизмене и шпионаже», – говорит Заир-Бек.
Почерк атаки был похож на методику, описанную другими жертвами.
«Одному из наших сотрудников пришло письмо с адреса, имитирующего адрес одного из наших партнеров. В письме была ссылка, которая ведёт на фишинговый сайт», – объяснил Заир-Бек.
По словам собеседника «Голоса Америки», в случае с «Первым отделом» атака велась группировкой Coldwastrel.
«Они такие “троечники” мира хакеров. Задумка такая же, как и у группы Coldriver, просто они меньше внимания каким-то мелким деталям уделяли, – говорит Дмтрий Заир-Бек. – То, что они “троечники”, не значит, что они менее эффективные. Они выбирают человека, который, с их точки зрения, с одной стороны, обладает наибольшим объемом информации, которая их интересует, а с другой стороны, наиболее уязвим».
Заир-Бек подчеркнул, что в реальности речь идет о двузначном количестве организаций, которые были мишенями киберпреступников: «А чем больше людей атаковано успешно, тем больше людей будет атаковано успешно в будущем, потому что, получив доступ к почтовому адресу человека можно от его имени уже эти фишинговые письма рассылать».
Глава «Первого отдела» призвал других жертв атак «перестать секретничать»: «При всей массовости этих атак очень важно делиться этой информацией. Понятно, что это, безусловно, вопрос вашей безопасности и безопасности ваших сотрудников. Но хотя бы своих ближайших коллег предупредить об этом необходимо».
Access Now: хакеры уже обладают информацией о своих жертвах при попытках атак
Попасться на удочку хакеров может даже человек, весьма осведомленный в вопросах цифровой безопасности, говорит Наталья Крапива, эксперт компании Access Now, являющейся соавтором доклада о хакерских атаках.
«Группировки Coldriver и Coldwastrel используют довольно сложную социальную инженерию, очень хорошее понимание контекста. Они знают, как в целом организация устроена, какие люди отвечают за финансы, HR, политику, и так далее. То есть знают, какому сотруднику или сотруднице послать этот (фишинговый) имейл, – говорит Крапива. – Они также понимают, с кем эти организации взаимодействуют и по каким вопросам. Мы видели примеры использования существующих отношений между российской и американской правозащитной организацией».
Скриншот с сайта Access Now
По словам собеседницы «Голоса Америки», хакеры знали, что одна из организаций ждет определенный документ, заявку на грант. И под видом этого документа ровно той сотруднице, которая его ожидала, был послан вредоносный PDF-файл.
Из этого можно сделать вывод, что хакеры уже обладают определенным набором информации на момент попытки атаки на своих жертв, говорит Крапива. Вопрос о том, насколько успешными были атаки хакеров, остается открытым.
По словам Крапивы, сейчас «нет прямых доказательств связи между заражением компьютера вредоносным файлом и попытками отравления в отеле или же последующим признанием организации “иноагентом”».
Иллюстративное фото
Ранее сообщалось, что Джон Хербст, подтвердивший атаку на свой компьютер, и еще как минимум один человек, которого атаковали российские хакеры (руководитель крупной правозащитной организации) в последние годы испытывали симптомы, схожие с отравлением нервно-паралитическими веществами.
СМИ сообщали как минимум о нескольких случаях отравлений критиков Кремля – как и в случае с хакерскими атаками, речь идет о правозащитниках, журналистах, американских дипломатах.
СМОТРИТЕ ТАКЖЕ: Атлантический совет прокомментировал ситуацию с возможным отравлением Джона ХербстаОсобенностью этих хакерских атак является то, что их целью – как обычно работают спецслужбы – является сбор информации, и совсем не обязательно, что она будет использована сразу против жертвы, подытоживает Крапива.
«Ели есть основания думать, у хакеров был доступ, что люди нажали и ввели свой логин где-то, то конечно же, мы рекомендуем, насколько возможно оповестить партнеров, сотрудников об этом, – подчеркивает Наталья Крапива. – Возможно, если есть какие-то планы конкретные, если намечается конференция, если злоумышленники получили информацию, где вы остаетесь, в каком отеле, мы рекомендуем принять меры и поменять планы. Мы не советуем оставлять, например, будучи на конференциях, свои компьютеры или какую-то важную информацию».
Доклад: хакеры, связанные с российской разведкой, атакуют критиков Кремля
Как сообщал «Голос Америки», доклад, подготовленный группами по защите цифровых прав Citizen Lab и Access Now, был опубликован 14 августа. В докладе анализируются атаки прокремлевских хакеров с 2022 по 2024 годы, направленные на проживающих в изгнании российских оппозиционеров, сотрудников американских аналитических центров, экс-послов США в России, Украине и Беларуси, политических деятелей и ученых, сотрудников некоммерческих организаций США и ЕС, а также медийные организации.
СМОТРИТЕ ТАКЖЕ: Доклад: прокремлевские хакеры развернули глобальную компанию интернет-шпионажаНекоторые из этих лиц находятся в России, что подвергает их еще большей опасности, отмечают эксперты. Авторы также подчеркивают, что жертвы хакерской операции могли выбираться с целью получения доступа к их контактам.
Целью фишинговых атак является попытка заставить пользователя кликнуть на вредоносную ссылку или ввести свои данные – логин и пароль – на фальшивом сайте.
В результате хакеры получают доступ к конфиденциальной информации жертвы, включая переписку, список контактов, в ряде случаев финансовую информацию и прочее.