На днях компания Trend Micro, работающая в сфере кибер-безопасности, опубликовала результаты своего исследования прокремлевской хакерской группы, стоящей за атаками на западные правительства и военные ведомства, а также на СМИ и парламентариев. Те же хакеры имели свои цели и внутри России – независимые журналисты, активисты, художники. The Insider пообщался с Trend Micro и выяснил, как работает кремлевская хакерская группировка, кто становится ее мишенями и как можно попытаться защитить себя от хакерской атаки.
Группа кремлевских хакеров, прозванная Pawn Storm (Пешечный штурм), действует по крайней мере с 2007 года, однако пристальное внимание компания Trend Micro стала уделять им только летом прошлого года. С того момента компания смогла проанализировать более десятка тысяч хакерских атак Pawn Storm. Группа использует три основных сценария атаки: первый это, так называемый spear phishing — отправка сообщений, содержащих документы Microsoft Office с внедренной вредоносной программой SEDNIT/Sofacy. Второй сценарий – использование специально подготовленных эксплойтов, то есть вредоносных программ, использующих уязвимости на сайтах или в программах, установленных в вашем компьютере. Третий тип атак — отправка фишинговых писем, которые перенаправляют на поддельные страницы входа в систему портала Outlook Web Access или предлагают поменять пароль к Gmail.
Вот наиболее значимые из их атак:
Июнь 2014 – получили доступ к сайту польского правительства
Сентябрь 2014 – атаковали крупного поставщика ядерного топлива в США посредством фальшивых страниц Outlook для его сотрудников. Аналогичная атака была предпринята на сайты военных ведомств США и Европы (конкретные примеры Trend micro не называет).
Так выглядела фейковая страница Outlook
Декабрь 2014 года – атаковали корпоративные аккаунты 55 сотрудников крупной американской газеты, используя взломанный аккаунт военного корреспондента этой газеты (очевидно, имеется в виду New York Post у которой хакеры также увели твиттер и опубликовали там ряд ложных новостей, в частности сообщение о том, что одна из противокорабельных ракет, принадлежащих КНР, поразила американский сверхтяжелый атомный авианосец USS George Washington. После этого появилась вторая «новость», которая касалась проведения главой Федеральной резервной система США экстренного совещания, по итогам которого было якобы объявлено о введении отрицательной процентной ставки).
Январь 2015 – атаковали трех популярных YouTube-блогеров посредством фишинговой атаки (подробнее о фишинге). Атака произошла четыре дня спустя после того как эти блогеры интервьюировали Барака Обаму в Белом доме. Как удалось выяснить Trend Micro целью хакеров были вовсе не сами блогеры, а Белый дом. Это старый хакерский трюк – не сразу атаковать цель, а сначала получить доступ к менее защищенному аккаунту человека, коммуницирующего с вашей целью. Так было сделано и в случае с газетой, описанном выше, когда вначале был взломан аккаунт военного корреспондента, а затем от его лица распространялась вредоносная программа.
В марте стало известно, что хакеры и правда получили доступ к компьютерам Белого Дома и Госдепартамента. Хакерам удалось завладеть конфиденциальной информацией, в том числе касающейся графика президента США Барака Обамы. Впрочем, представители администрации США заверили, что никаких секретных данных взломщики получить не смогли.
Февраль 2015 – были пойманы на использовании вредоносных шпионских приложений для iOS. Также атаковали сотрудника НАТО в Украине посредством фейковой страницы Outlook
Апрель 2015 – атаковали сайты правительств и военных ведомств стран-членов НАТО. Для реализации этой атаки рассылалось письмо с темой «Южный газовый коридор» (европейский проект, нацеленный на то, чтобы снизить зависимость от российского газа), где стояла гиперссылка, выглядящая как ссылка на нормальный новостной сайт. Стоило пользователю кликнуть на эту ссылку, и срабатывал скрипт, который предлагал пользователю скачать плагин HTML5, чтобы посмотреть новость. Вместе с плагином скачивалась и вредоносная программа.
Так выглядело письмо хакеров о “Южном газовом коридоре»
В июне стало известно, что российским хакерам удалось взломать компьютерную систему Пентагона. Хакеры взломали незасекреченную систему обмена электронной корреспонденцией, получив доступ к данным около 4 тыс. сотрудников военного ведомства.
Июнь 2015 – взломали базу данных бундестага, немецкого парламента, получив доступ ко всем находящимся там компьютеров. Замена системы обойдется бундестагу в несколько миллионов евро. Как выяснилось, программный код хакеров был написан на кириллической клавиатуре.
Как сообщает Trend Micro, группа Pawn Storm также активно атаковала и российских оппозиционеров, независимых журналистов и художников. Среди жертв атаки упоминаются журналисты Slon.ru, The New Times, телеканала «Дождь», Новой газеты, «Руси сидящей» и других изданий. Pawn Storm удалось взломать и корпоративную сеть лаборатории Касперского.
Упоминается также и «бывший премьер-министр», но помощник Михаила Касьянова Константин Мерзликин сообщил The Insider, что почта политика не взламывалась. Возможно, имелся в виду бывший вице-премьер Борис Немцов, которого хакеры атаковали постоянно.
Как сообщила The Insider Мария Алехина, также оказавшаяся среди жертв Pawn Storm, ее почту взломали, вероятно, подобрав пароль: «У меня было ощущение, что мою почту собираются взломать, поэтому пароли я меняла постоянно, но они были достаточно простые, чтобы я могла их запомнить. И однажды я отошла от компьютера буквально минут на десять, и за это время хакеры успели не только поменять мой пароль, но и привязать его к другому телефонному номеру. К счастью, у нас есть знакомые в Google, так что довольно быстро удалось почту восстановить».
Trend Micro сообщает, что не всегда жертвы атак Pawn Storm противостояли власти. Среди жертв были и Apostol Media Group Тины Канделаки, и некий «высокопоставленный член Единой России» (о ком идет речь – не очень ясно, в последнее время среди видных единороссов объектами хакерских атак оказывались Александр Хинштейн и Сергей Железняк, но в обоих случаях взлом отличался по своему харакетру от типичного для Pawn Storm)
Кого именно имели в виду в Trend Micro, когда говорили о «российских активистах» — неясно, но то, что оппозиционеры постоянно сталкиваются с такого рода фишинговыми атаками — хорошо известный факт. Так, например, в 2013 году ряд членов «Партии 5 декабря» (Сергей Давидис, Денис Билунов и Константин Янкаускас) обнаружили, что в их почтовых ящиках стоит переадресация на какой-то неизвестный им адрес. Им также приходили письма от Pawn Storm, хотя неизвестно, стояла ли именно эта группа за взломом их почты.
Наконец, объектами атак, как сообщает Trend Micro, становились «сторонники Порошенко» и украинские силовые ведомства. Конкретные имена, опять же, не сообщаются.
The Insider пообщался с главным экспертом Trend Micro в области кибер-угроз Фейке Хакебордом (Feike Hacquebord) и узнал, почему группа называется Pawn Storm, какие ухищрения она использовала и как от нее можно защититься.
— Как вы впервые узнали о проекте Pawn Storm?
— Мы начали активно расследовать деятельность Pawn Storm в августе 2014 года. Мы и до этого замечали активность этой группы, но только в августе стали пристально ее изучать.
— Откуда появилось название Pawn Storm?
— Мы сами ввели этот термин, он идет от шахмат и означает «пешечный штурм», когда игрок делает много ходов перед тем как достичь своей истинной цели (в случае с хакерами это значит получить доступ к наиболее ценным мишеням). Иногда они могут атаковать довольно большое количество людей ради того, чтобы добраться до кого-то одного. Так было, например, с популярными видео-блогерами, бравшими интервью у Барака Обамы, которых тоже атаковали хакеры из Pawn Storm.
— А как вам удалось понять, что те атаки хакеров, которые вы упоминаете, связаны между собой?
— Те 12 тысяч атак, которые мы исследовали, явно произведены одной группой. К сожалению, я не могу сообщить детали того, как можем это определять.
— Можно ли как-то убедительно доказать участие Кремля в деятельности этих хакеров?
Единственная гипотеза которую мы пока не можем опровергнуть, это то, что за хакерами стоит Россия
— Лично я не могу сказать точно, вовлечен ли Кремль или нет, хотя у меня есть веские основания полагать, что как минимум часть из участников этой группы – из России. Зато мы можем точно понять, кто точно не стоит за этими атаками. К примеру, кто-то может сказать, что за ними стоит США, чтобы опорочить Россию. Но это мы может отмести сразу, потому что Pawn Storm активно атакует американские военные организации и американские компании, продающие ядерное топливо для атомных электростанций. Кто-то может предположить, что за атаками стоит Иран, но у нас есть также ряд контраргументов против этого. Единственная гипотеза которую мы пока не можем опровергнуть, это то, что за хакерами стоит Россия. Контраргументы против нее тоже есть, но немного – например то, что одной из мишеней хакеров был один российский военный атташе, работающий в стране НАТО и один высокопоставленный член «Единой России». Это хотя и странно, но может объясняться тем, что Pawn Storm этим людям не доверяет, я не знаю. Мы заметили, что среди мишеней хакеров было много россиян, но преобладающее большинство из них работаю в сфере медиа, искусства, программирования или являются активистами. Может и вас тоже атаковали, проверьте свою почту. <В почте The Insider обнаружилось 13 фишинговых писем, отправленных под видом службы безопасноcти Google, 12 из них компания Trend Micro однозначно определила как письма отправленные Pawn Storm>
Пример фишингового письма от Pawn Storm, который получила редакция The Insider
— Одной из жертв стала Apostol Media Group Тины Канделаки, которая тесно работает с государственными корпорациями, в том числе оборонными предприятиями. Атаковали саму компанию или кого-то из ее представителей?
— Это я комментировать не могу. Я включил «Апостол» в число мишеней, когда писал в блоге, потому что как исследователь я не могу игнорировать «контраргументы», против той версии, что российские власти спонсируют атаки. Так что я согласен, что это странно, и я не знаю почему Apostol Media Group была атакована. Это может быть и потому что Pawn Storm – параноики, которые никому не доверяют. И все же контраргументы против интерпретации о вовлеченности Кремля довольно слабые.
— Что подразумевает по собой кибер-атака Pawn Storm? Что они делают чаще всего, взламывают почту, или заражают компьютер вирусами и т.д.?
— Чаще всего речь идет о получении конфиденциальной информации. Иногда ее получают с помощью фишинга, иногда через вредоносные программы, которые могут быть инсталлированы через приложения к почте или через уязвимости в интернет-сайтах.
— Как много людей вовлечены в Pawn Storm и могут ли они представлять серьезную опасность для правительств других стран?
— Pawn Storm обладает существенными ресурсами и как минимум несколько человек вовлечены в эту группу непосредственно. Атаки хорошо подготовлены и с деньгами у группы явно проблем нет, но уровень профессионализма у них разный – некоторые производят впечатление новичков, некоторые – довольно профессиональны. Они действительно могут быть опасны, как для отдельных людей, так и для иностранных правительств и оборонных предприятий. Так, например, им удалось разрушить сеть французской медиа-корпорации TV5, это обошлось телеканалу в 5 миллионов евро. Также хакерам удалось взломать компьютеры немецкого парламента, что, конечно, поднимает вопросы в Германии о степени их защищенности. Похоже также, что Pawn Storm получил доступ к электронной почте представителей военных ведомств и правительств стран НАТО. Так, например, Pawn Storm создал фейковые сервера электронной почты по меньшей мере трех военных ведомств стран НАТО. Учитывая их изощренные уловки в области социальной инженерии, весьма вероятно, что им удалось получить доступ к почте НАТОвских военных. Также Pawn Storm использовал по меньшей мере 6 уязвимостей нулевого дня в этом году, включая уязвимость Java, которую мы обнаружили в июле 2015 года.
— Ваша компания Trend Micro и сама подвергалась нападению Pawn Storm?
— Не совсем так. Мы не подвергались их атакам, но они указали на одном из своих сайтов наш IP. На этом сайте располагался эксплойт, который они использовали, чтобы атаковать свои цели. Поскольку там был указан наш IP, мы получили определенный трафик от людей, который кликали на их ссылки в фишинговых письмах, но его объем был небольшой. Разумеется, люди который кликали на те фишинговые ссылки не заразились, потому что наш сайт не содержит никаких эксплойтов, они получили просто сообщение «Страница не найдена».
— А почему они вами заинтересовались?
— Это произошло после того как мы опубликовали информацию об уязвимости нулевого дня Java (уязвимость нулевого дня – это та, которая еще не устранена). Мы работали с Oracle, чтобы устранить эту уязвимость. Возможно, то, что мы раскрыли ее стоило Pawn Storm немало денег, так как такие уязвимости обычно очень дорогие. Поэтому понятно, что они хотели нам отомстить, но это было довольно иррационально, так как это никак не помогло атакам Pawn Storm. Наоборот, это дало нам больше информации о том, как они проводят свои операции.
— Вы как-то взаимодействуете с правоохранительными органами? Пример так называемого «хакера Хелла», осужденного в Германии, показывает, что это может быть эффективно.
— Да, мы работаем с правоохранительными органами по всему миру в борьбе с киберпреступлениями. И если мы получим от каких-то органов предложение о сотрудничестве по поводу Pawn Storm, мы готовы к взаимодействию.
— Что бы вы посоветовали тем активистам и организациям, которые хотят защитить себя от такого рода атак?
— Это нечестная битва, так как хакеров владеют огромными ресурсами. Однако вы все же можете попытаться защитить себя:
— используйте двухфакторную аутентификацию для почты. А еще лучше – используйте физический ключ безопасности, как это предлагает google.
— используйте шифрование почты (PGP)
— шифруйте свой жесткий диск
— используйте антивирус
— Используйте виртуальные машины
— Используйте Tor
P.s. The Insider настоятельно советует всем тем, кто считает что может представлять интерес для хакеров, помимо прочих мер предосторожности проверить, не стоит ли на их почте переадресация на другой email, которую они сами не устанавливали.