Компания Microsoft во второй раз за шесть месяцев выявила связанную с российским правительством операцию, направленную против влиятельных аналитических центров, занимающих критическую позицию в отношении России.
Об этом компания сообщила в своем блоге.
Речь идет об атаках с использованием методики «адресного фишинга», когда хакеры рассылают фальшивые письма с целью заманить людей на сайты, которые выглядят аутентичными, но на деле позволяют злоумышленниками проникнуть в корпоративные компьютерные системы своих жертв.
Как утверждает Microsoft, атаки были связаны с хакерской группировкой APT28 – подразделением российской военной разведки, причастной к вмешательству на выборах в США в 2016 году.
Мишенью хакеров стали более 100 европейских сотрудников Германского фонда Маршалла, германского отделения Аспенского института и Немецкого общества внешней политики – влиятельных организаций, занимающихся вопросами трансатлантической политики.
Атаки происходили в октябре-декабре 2018 года, в преддверии выборов в Европарламент в мае этого года. Они свидетельствуют о непрерывной агрессивной кампании со стороны российских агентов с целью подрыва демократических институтов в странах, которые они считают противниками.
Это уже второй раз за последние шесть месяцев, когда Microsoft публично сообщает о своих усилиях по противодействию группировке APT28, которую также иногда называют Strontium или Fancy Bear (Microsoft использует исключительно название Strontium).
Незадолго до промежуточных выборов в США Microsoft обезвредила фишинговые операции, направленные против влиятельных консервативных организаций и американского Сената. Тогда APT28 создала поддельные сайты, имитирующие сайты этих организаций и собственность Microsoft. Хакеры также выдавали себя за коллег пострадавших.
«Атаки, которые мы наблюдали недавно, вкупе с другими атаками, которые мы обсуждали в прошлом году, наводят на мысль о постоянных усилиях, направленных против демократических организаций, – говорится в сообщении в блоге компании. – Они подтверждают предупреждения европейских лидеров об уровне угрозы, который нам следует ожидать в Европе в этом году».
В связи с предыдущей попыткой обезвредить хакеров Microsoft сообщала, что ей удалось использовать новую юридическую стратегию для отключения поддельных доментов.
Компания получила судебный ордер о переводе доменных имен на свои собственные сервера, заявив, что поддельные сайты являются нарушением прав интеллектуальной собственности компании, после чего закрыла их.
На этот раз, однако, Microsoft не пыталась получить судебный ордер для блокировки хакеров. При этом компания не уточнила, почему она не пошла на это.
Директор Германского фонда Маршалла по коммуникациям Эндрю Колб заявил, что он не удивлен тем, что его организация стала мишенью для России.
«Примерно два года мы проводим программу, которая посвящена конкретно авторитарному вмешательству в Интернете, и во многих случаях это означало наблюдение за действиями России, – сказал Колб. – Мы в какой-то мере предполагали, что можем стать объектом подобных атак в любое время».
При этом Колб заметил, что в этот раз он впервые смог связать атаку с конкретной российской хакерской группировкой. «Для нас это напоминание о том, что мы должны об этом знать», – добавил он.