Исследователи в области кибербезопасности компании Trend Micro проанализировали первый этап президентских выборов во Франции и обнаружили доказательства причастности известной хакерской группировки Fancy Bear к фишинговой кампании, направленной против кандидата Эммануэля Макрона, сообщает Motherboard.
Международные СМИ считают, что Fancy Bear якобы тесно связана с российскими спецслужбами и действует по их указке. Кроме того, именно им приписывают взлом электронной почты Демократической партии во время выборов в США в 2016 году.
Вычислили по IP
За последние два месяца хакеры из Fancy Bear зарегистрировали по меньшей мере четыре разных сайта в попытке запустить фишинговую кампанию против Макрона, который оказался победителем в первом раунде выборов во Франции.
В списке поддельных ресурсов значатся onedrive-en-marche.fr, portal-office.fr, accounts-office.fr и mail-en-marche.fr. Все они по названию напоминают настоящий сайт политической партии Эммануэля Макрона En Marche («На марше»), который находится по адресу en-marche.fr.
Это типичная приманка, используемая киберпреступниками для привлечения невнимательных пользователей, которые кликают по неправильной ссылке и становятся жертвами мошенников.
Все четыре фейковых сайта были зарегистрированы на один и тот же электронный адрес johnpinch@mail.com. Исследователи по кибербезопасности попытались связаться с владельцем почты, но он не отреагировал на запрос.
Еще одна компания ThreatConnect, занимающаяся проблемами IT-шпионажа, также обнаружила несколько доказательств причастности Fancy Bear. В частности, она указала на использование IP-адреса 194.187.249.135, который отмечен министерством внутренней безопасности США как используемый русскими хакерами, и еще несколько IP-адресов, зарегистрированных на хостинговом сервисе THCservers, который ранее задействовала печально известная кибергруппировка.
Кроме того, эксперты ThreatConnect нашли еще один поддельный сайт en-marche.co, предположительно связанный с вышеуказанными четырьмя веб-ресурсами.
Найденные совпадения подозрительно указывают на причастность Fancy Bear. Тем не менее представитель компании заявил, что без доступа к подлинным фишинговым сообщениям невозможно точно установить, кто именно стоял за хакерской атакой.
Сообщается, что атаки были довольно мощными, но утечки данных удалось избежать.
Ведущий вирусный аналитик Avast Михал Салат подтвердил в беседе с «Газетой.Ru», что возможно выследить хакеров по методу взлома как и в случае атаки на Макрона, так как злоумышленники часто оставляют интернет-следы — IP-адреса или зарегистрированные доменные имена, используемые для проведения атаки.
Эксперт отметил, что в этой истории есть несколько намеков, указывающих на Fancy Bear. «Однако, это может быть дело рук другой хакерской группы, которая использует стиль работы Fancy Bear, чтобы замести следы», — подчеркнул аналитик Avast.
Могут повторить
В Trend Micro сообщают, что заметили подозрительную активность 15 марта, когда хакерская группа начала рассылку электронных писем участникам кампании Эммануэля Макрона. В этих письмах содержались ссылки на фейковые сайты, которые должны были обманным путем получить пароли от пользователей и позже использовать их в мошеннической схеме.
Ранее пресс-секретарь президента России Дмитрий Песков назвал абсурдными обвинения в адрес властей России в причастности к кибератакам на штаб движения «На марше».
«Не может идти и речи о какой-либо причастности официальной Москвы к этим атакам, имели они место или не имели. Любые обвинения официальной Москвы в возможной причастности (к этим атакам) — они абсурдны», — заявил Песков.
Кроме того, он добавил, что Россия никогда не вмешивалась и не будет вмешиваться в выборы в других государствах мира.
По информации New York Times, диджитал-директор кампании Макрона Мунир Маджуби заявил в интервью, что у него нет доказательств причастности России ко взломам, но тактика и выбранное время фишинговых атак вызвали опасения, что Россия попытается повторить то, что, по мнению США, произошло во время президентской кампании Клинтон.
«Фишинговые страницы были сделаны просто идеально. Они выглядят как настоящий сайт. Это означает, что для их создания нужны необходимые ресурсы: талантливые люди, деньги, опыт и желание», — добавил Маджуби.
Мишки вышли из-под контроля
За последние пару месяцев хакеров из Fancy Bear обвинили сразу в нескольких взломах в разных странах. Министерство обороны Дании заявило, что группировка «российских хакеров» взламывала почты сотрудников ведомства в период с 2015 по 2016 год. Как гласит отчет датской разведки, за атаками стоят именно Fancy Bear, также известные как ATP28.
Министерство иностранных дел Великобритании тоже подвергалось атакам «хорошо обеспеченных ресурсами» хакеров на протяжении нескольких месяцев 2016 года.
Сообщается, что финская компания F-Secure назвала этих хакеров Callisto — в честь героини древнегреческой мифологии, которую Зевс превратил в медведицу, что также является отсылкой к Fancy Bear.
В число европейских стран, пострадавших от атак киберпреступников, вошла и Германия. Глава Федерального ведомства по информационной безопасности страны Ансе Шоенбом заявил, что Германия успешно отразила целых две атаки Fancy Bears в 2016 году — одна была направлена на сервер партии канцлера Ангелы Меркель, а вторая — на банк данных бундестага.