Шість років тому нідерландські таємні агенти, як повідомлялося, проникли в зловмисну групу хакерів, що діяли в офісній будівлі поблизу Кремля. Згідно з публікацією в газеті «de Volkskrant», нідерландські агенти вламалися в камеру безпеки, яка контролювала людей, що входили у будинок у Москві. Як повідомляється, вони також спостерігали хакерів у 2016 році, коли ті вламувалися у сервери Демократичної партії США.
Хакерів, які стали відомими як «APT-29», «The Dukes», або ж більш поширено як «Cozy Bear» (приємний ведмідь – ред.), пов’язували з російськими агентствами безпеки. Згідно зі звітом, нідерландські знахідки були передані чиновникам США та імовірно стали ключовим доказом для висновків американських органів влади про те, що Кремль проводив ворожі кібер-операції, щоб вламатися у політичні партії США під час президентських виборів 2016-го.
Перемотуємо до 2020-го: хакери «Cozy Bear» повернулися – однак для тих, хто за ними спостерігає, вони ніколи нікуди не йшли.
Британські, американські та канадські розвідувальні агентства звинуватили «Cozy Bear» 16 липня у використанні шкідливих програмних забезпечень і фішингу в цілях маніпуляції дослідників в університетах, приватних компаніях та інших місцях.
«Абсолютно неприпустимо»
За даними агентств, метою хакерів було вкрасти дослідження щодо створення вакцини від хвороби, викликаної новим коронавірусом, COVID-19.
«APT-29 імовірно буде далі націлюватись на організації, котрі працюють у сфері дослідження та розробки вакцини від COVID-19, оскільки вони намагаються відповісти на додаткові розвідувальні запитання, пов’язані з пандемією», мовиться у заяві британського Національного центру кібербезпеки (NCSC) опублікованій разом із агентствами Канади та США.
«Це абсолютно неприпустимо, що російські розвідувальні служби атакують тих, хто бореться з пандемією коронавірусу», – сказав британський міністр закордонних справ Домінік Рааб.
Кремлівський прессекретар Дмитро Пєсков назвав звинувачення «неприпустимими».
«Ми можемо сказати тільки одне: Росія ніяк не пов’язана з цими замахами», – повідомив він журналістам.
У згаданій заяві NCSC не повідомляється, на які компанії та організації були націлені замахи та чи справді були вкрадені специфічні дані. Голова Центру заявив, що замахи були виявлені у лютому і, що не було ознак про викрадення даних.
Проте, за його словами, хакери експлуатували вразливість комп’ютерних серверів, щоб отримати «початкові точки опори» і використали нетипові шкідливі програмні забезпечення, котрі публічно не пов’язані з жодною кампанією, раніше приписаною до групи.
Припускається, що всі основні розвідувальні агентства Росії спроможні до наступальних кібернетичних дій одного чи іншого виду.
Досконалі прийоми
Дослідники у сфері кіберзахисту кажуть, що «Cozy Bear» скоріш за все пов’язаний зі Службою зовнішньої розвідки РФ (СЗР), можливо, в координації з головною службою безпеки країни ФСБ.
Згідно з дослідниками, група існує щонайменше з 2008 року і націлювала свої дії на компанії, університети, дослідницькі центри та уряди всього світу.
Група відома за використання досконалих прийомів втручання у комп’ютерні мережі для збирання інформації, що допомагає кремлівським політикам ухвалювати рішення.
Проте за нею не спостерігали розголошення чи витоку вкраденої інформації, що відрізняє групу від конкуруючого розвідувального агентства, чиє хакерство та кібер-операції були найчастіше оприлюднені за останні роки – йдеться про військову розвідувальну службу, відому як ГРУ.
Хакери ГРУ, відомі як «Fancy Bear» (химерний ведмідь –ред.) або «APT-28», були звинувачені не тільки у зламуванні комп’ютерних систем, але також у розкраданні та розголошуванні інформації, намагаючись знеславити жертву. Розвідувальні служби США звинуватили хакерів ГРУ у крадіжці документів чиновників Демократичної партії США у 2016 році, а також у їхньому розголошенні напередодні президентських виборів у листопаді.
«ГРУ мала декілька підрозділів, у тому числі підрозділи 26165 і 74455, причетні до кібернетичних операцій, що включали в себе підроблені оприлюднення документів, вкрадених шляхом комп’ютерних втручань», написав улипні 2018-го тодішній спецпрокурор США Роберт Мюллер в обвинувальному акті проти 12 офіцерів ГРУ. «Ці підрозділи проводили масштабні кібернетичні операції з метою втручання в президентські вибори США 2016-го».
Трьома місяцями пізніше американські прокурори у Пітсбурзі, що в Пенсилванії, випустили обвинувальний акт щодо «Fancy Bear», звинувачуючи декількох із тих самих офіцерів у веденні чотирирічної хакерської кампанії проти міжнародних спортивних та антидопінгових організацій, керівного органу всесвітнього футболу, Організації із заборони хімічної зброї та інших груп.
Один із офіцерів ГРУ, названих в акті Мюллера, був згаданий німецькими розвідувальними службами як головний відповідальний за хакерську атаку на Бундестаґ у 2015 році.
Проте на відміну від ГРУ та хакерів «Fancy Bear», ніколи не було публічної ідентифікації певних хакерів «Cozy Bear» чи кримінальних справ проти них.
Американська компанія кібербезпеки «Crowdstrike», яка першою публічно документувала втручання в Національний комітет демократичної партії, заявила у першому звіті, що хакери від «Cozy Bear» і «Fancy Bear» проникнули у мережу комітету, очевидно незалежно одне від одного.
Незрозумілі мотиви
Незрозумілі мотивації хакерів «Cozy Bear» проникати у дослідницькі організації, проте, як і багато інших країн, Росія намагається створити вакцину для стримання COVID-19, і крадіжка наукових даних може надати російським дослідникам перевагу.
Росія повідомила про 765 000 підтверджених випадків. Проте офіційна смертність незвично низька і зростаюча кількість фахівців у тій країні та за кордоном кажуть, що влада навмисно занижує кількість померлих.
Раніше західні розвідувальні та правоохоронні органи неодноразово попереджали про злоякісні здібності російських хакерів, підтримуваних владою. У США влада намагалася здійснювати арешти та екстрадиції десятків росіян за різними звинуваченнями у сфері кібернетики навколо світу.
Як у актах Мюллера, влада США використовувала кримінальні звинувачення, щоб пролити світло на зв’язок між російськими державними службами та звичайними кіберзлочинцями – і щоб сигналізувати російським органам влади, що американські розвідувальні служби за ними стежать.
До прикладу, обвинувальний акт Мюллера виявив певні грошові перекази, котрі нібито були здійснені ГРУ, використовуючи криптовалюту біткойн для закупівлі ємності серверів та інших інструментів для своїх хакерських дій.
Станом на 2019 рік, ці зусилля не мали великого ефекту у сповільненні діяльності хакерів, що фінансуються державами, не тільки Росією, але і Північною Кореєю, Іраном, Китаєм та іншими.
«Попри вражаючі звинувачення проти декількох названих державних акторів, їхня діальність не йде на спад», – повідомив «Crowdstrike» у звіті про загрози в 2019 році.
Гліб Павловський, російський політичний консультант та колишній чільний кремлівський радник, применшив західні звинувачення.
«Ми говоримо про щоденну діяльність усіх секретних служб, особливо що стосується гарячих тем, як от секрети вакцини», – сказав Павловський в інтерв'ю телеканалові «Настоящее время», створеному Радіо Свобода за участі «Голосу Америки». «Звісно ж, що їх усіх крадуть. Звичайно, красти – недобре, але секретні служби існують для того, щоб красти».
Деякі законодавці у Конгресі США сигналізували, що ці знахідки можуть надати поштовх для нових санкцій проти Росії.
«Вже має бути ясно, що хакерські зусилля Росії не зупинилися після виборів 2016-го», – заявив Марк Ворнер, чільний демократ Розвідувального комітету Сенату США.
