Пока специалисты выясняют, какая именно группа российских хакеров стоит за атакой на правительство Германии, список целей растет. Подробности - в материале DW.
Фото: picture-alliance/dpa/J. Stratenschulte
Реклама
Новость о том, что предположительно российские хакеры атаковали два министерства Германии, остается в СМИ одной из главных. По данным на пятницу, 2 марта, известно о внедрении неизвестных кибершпионов в министерство иностранных дел и Минобороны. При этом пострадала правительственная сеть Бонн - Берлин, которая считается хорошо защищенной. Взлом был совершен в конце 2016 года, обнаружен в конце 2017-го, локализован, но пока не ликвидирован. Сообщается, что обнаружить проблему Германии помогла спецслужба партнерского государства.
Новые подозрения
Цель шпионажа - МИД ГерманииФото: dpa Zentralbild
Приоритетной остается версия о российских хакерах. Вначале предполагалось, что речь идет о группе, известной под названиями APT28, Fancy Bear или Sofacy Group. Это одна из двух групп (вторую называют APT29), которые спецслужбы и эксперты в США обвиняют во взломе сети руководства Демократической партии перед выборами президента 2016 года.
По новым данным СМИ, структуры правительства ФРГ взломали хакеры из другого коллектива. Сначала его называли Snake, теперь - Turla, и его тоже связывают с российскими спецслужбами. Но и хакеры из APT28 не раз засветились в Германии. Как пишет в пятницу сайт Spiegel Online, помимо прочего эта группа в 2016 году взломала Фонд "Наука и политика" (SWP), который консультирует правительство. На их счету якобы и взлом Международного паралимпийского комитета, штаб-квартира которого расположена в Бонне.
Россия последовательно отрицает причастность государства к хакерским атакам, но президент ранее не исключил, что ими из патриотических соображений могут заниматься отдельные граждане. "Хакеры - люди свободные, как художники", - сказал Владимир Путин.
Что такое APT
APT - английская аббревиатура Advanced Persistent Threat, что можно перевести как "продвинутая, длительная угроза". Так называют хакерские атаки на критические и чувствительные цели, например правительства.
Хакеров из группы APT28 подозревают в связях с Миноброны РФ Фото: DW/E. Samedova
Согласно оценкам Федерального ведомства по охране конституции, деятельность группы APT28 прослеживается "как минимум с 2004 года". По данным других источников - с 2007 года. Американские компании по кибербезопасности, CrowdStrike и FireEye, знакомы с этой группой по расследованиям, заказанным их клиентами, среди которых крупные концерны из аэрокосмической области, обороны и энергетики, а также правительства. Обе фирмы полагают, что APT28 связана с российской военной разведкой - ГРУ МО РФ.
Дмитрий Гальперович, член совета директоров компании CrowdStrike, в июне 2016 года описывал обе группы, APT28 и APT29, как "одного из лучших противников" среди государственных, преступных и террористических хакерских групп, с которыми его компании ежедневно приходится иметь дело. По его словам, их методы работы разведки "превосходны", а "операционная безопасность не имеет равных". Вывод - "оба противника занимаются масштабным политическим и экономическим шпионажем в пользу правительства РФ".
От Грузии до Германии
Бенджамин Рид, менеджер по анализу шпионажа компании FireEye, говорит, что его фирма отслеживает APT28 около пяти лет. По его словам, есть несколько аспектов, указывающих на российский след. "Мы считаем, что они получают государственную поддержку, потому что создание их шпионских программ требует значительных ресурсов, - говорит Рид. - Кроме того, на это указывает выбор целей - МИДы, министерства обороны, НАТО, ОБСЕ. В ранних версиях вирусов мы обнаружили следы русского языка, поэтому можно предположить, что их авторы были русскими. Наконец, их условия работы в основном совпадают по времени с Москвой".
В опубликованном на сайте фирмы докладе FireEye перечисляет случаи атак группы APT28: МВД и МО Грузии, правительства стран Евросоюза, а также структуры по всему миру: от Армении и Узбекистана до Японии, Мексики и Канады. Германия попала под удар в 2015 году, когда хакеры из группы APT28 похитили информацию из внутренней сети бундестага. По данным Федерального ведомства по охране конституции, весной 2017 года они же атаковали политические фонды, близкие к правящим в ФРГ партиям.
Как это делается
По данным американских компаний по кибербезопасности, хакерские группы обладают широким набором инструментов, среди которых - шпионские программы для разных операционных систем, в том числе Linux, OSX, iOS, Android и Windows. "Часто они используют так называемый фишинг, отправляя электронное письмо с прикрепленным шпионским файлом", - говорит Бенджамин Рид из FireEye. - Такие письма содержат темы, интересные для жертвы, например, торговое соглашение". По словам Рида, после установки на компьютер жертвы программа незаметно и методично ищет нужную информацию, отправляя ее хакерам.
В докладе FireEye описана атака на МВД Грузии в 2013 году. Хакеры из APT28 замаскировали шпионскую программу под документ в формате Excel, содержащий список автомобильных номеров. Затем программа пыталась установить контакт с внутренним почтовым сервером министерства, чтобы использовать его для отправки данных через менее защищенный канал. При этом в заглавии на грузинском языке речь шла об автономерах.
Уловимые, но с трудом
Вольфганг Кляйнвехтер (Wolfgang Kleinwächter) отмечает, что, несмотря на якобы российский след, о котором пишут СМИ Германии, доказать его будет сложно. "Любой может создать сеть ботов и сделать так, будто это кто-то другой", - говорит немецкий эксперт по интернету, бывший профессор университета в датском Орхусе. Кляйнвехтер отмечает, что, когда в атаке подозревают россиян, китайцев или северокорейцев, этому склонны быстро верить. Но, по его словам, это может быть и кто-то другой.
Даже если предположить, что за атаками в ФРГ стоят россияне, то "они будут это отрицать", как отрицали хакерские атаки в 2007 году в Эстонии, говорит Кляйнвехтер. Эксперт отмечает, что атаковать через интернет относительно легко, а защищаться - "трудно и дорого". По его словам, это "было и остается игрой в кошки-мышки" и напоминает времена холодной войны.
Смотрите также:
Взлом сетей правительства ФРГ - дело рук хакеров из России?
02:24
This browser does not support the video element.
Взломай меня полностью: громкие кибератаки и утечки данных последних лет
Сообщения о взломах, утечках личных данных и хакерских атаках появляются регулярно. Многих хакеров подозревают в связях со спецслужбами РФ. Но не только. Фотогалерея DW - о самых резонансных случаях.
Фото: picture-alliance/dpa/W. Kumm
Жертва российских хакеров - SolarWinds
Американский IT-гигант Microsoft сообщил о новой волне хакерских атак из России. По данным Microsoft, именно хакеры из группировки Nobelium стояли за серьезной кибератакой в 2020 году на производителя программного обеспечения SolarWinds. В результате проникновения злоумышленников в системы этой компании пострадали не менее 40 государственных структур США и неизвестное число частных фирм.
Фото: BRENDAN MCDERMID/REUTERS
Личные данные немецких политиков оказались в Сети
Как стало известно 4 января, в конце 2018 года в Twitter появились ссылки на личные данные - в том числе, паспортные и кредитных карт - 994 немецких политиков, актеров, журналистов, музыкантов. Уже 6 января по подозрению в совершении взлома арестовали 20-летнего ученика гимназии в Гессене. По данным полиции, он много времени проводил у компьютера, однако специального образования у него нет.
Фото: picture-alliance/U.Baumgarten
Российские "мишки"
За последние годы новости о хакерах и кибератаках стали уже обыденностью. Зачастую авторство взломов приписывается нескольким группам хакеров - Cozy Bear (дословно "уютный медведь", известна еще как APT29), Fancy Bear ("модный медведь", APT28) и Energetic Bear ("энерегетический медведь"), которые связывают с российскими спецслужбами. Улики косвенные, но с каждым разом их становится все больше.
Фото: S. Elkin
Атаки на энергосети США и Германии
Летом 2018 года стало известно об атаках хакерской группировки Energetic Bear на энергосети США и Германии. По оценкам американских спецслужб, в США взломщики даже дошли до этапа, когда могли включать и выключать электричество и вывели из строя потоки энергии. В ФРГ же хакерам удалось проникнуть в сети лишь нескольких компаний до того, как немецкие спецслужбы взяли ситуацию под контроль.
Фото: picture-alliance/dpa/J. Stratenschulte
США обвинили ГРУшников в кибератаках
13 июля 2018 года Минюст США (на фото - офис ведомства в Вашингтоне) обвинил 12 граждан РФ в попытке вмешаться в выборы американского президента в 2016 году. По версии следствия, сотрудники Главного разведывательного управления (ГРУ) Генштаба вооруженных сил России участвовали во взломе компьютерных систем Демократической партии и предвыборного штаба Хиллари Клинтон.
Фото: picture-alliance/dpa/J. Lo Scalzo
США и Великобритания обвинили РФ в масштабной кибератаке
ФБР, министерство внутренней безопасности США и британский Центр национальной компьютерной безопасности 16 апреля 2018 года заявили, что российские хакеры атаковали госструктуры и частные компании в попытке завладеть интеллектуальной собственностью и получить доступ к сетям своих жертв. Аналогичные обвинения в тот же день озвучила министр обороны Австралии Мариз Пейн.
Фото: Imago/T. Trutschel
Bad Rabbit поразил Россию и Украину
Новый вирус Bad Rabbit поразил 24 октября серверы нескольких российских СМИ. Кроме того, хакеры атаковали несколько государственных учреждений на Украине, а также системы киевского метрополитена, министерства инфраструктуры и аэропорта Одессы. Ранее атаки Bad Rabbit были зафиксированы в Турции и Германии. Эксперты считают, что вирус распространяется методом, схожим с ExPetr (он же Petya).
Фото: picture-alliance/dpa/O. Berg
Кибератака века
12 мая 2017 года стало известно, что десятки тысяч компьютеров в 74 странах подверглись кибератаке небывалого масштаба. Вирус WannaCry шифрует данные на компьютерах, хакеры обещают снять блокировку за выкуп в 300 долларов в биткоинах. Особо пострадали медучреждения Великобритании, компания Deutsche Bahn в ФРГ, компьютеры МВД РФ, Следственного комитета и РЖД, а также Испания, Индия и другие страны.
Фото: picture-alliance/dpa/P. Götzelt
Вирус Petya
В июне 2017 года по всему миру были зафиксированы атаки мощного вируса Petya.A. Он парализовал работу серверов правительства Украины, национальной почты, метрополитена Киева. Вирус также затронул ряд компаний в РФ. Зараженными оказались компьютеры в ФРГ, Великобритании, Дании, Нидерландах, США. Данных о том, кто стоял за распространением вируса, нет.
Фото: DW/M. von Hein
Атака на бундестаг
В мае 2015 года обнаружилось, что взломщики проникли во внутреннюю компьютерную сеть бундестага с помощью вредоносной программы ("трояна"). IT-эксперты обнаружили в этой атаке следы группы APT28. В пользу российского происхождения хакеров свидетельствовали, среди прочего, русскоязычные настройки вирусной программы и время проводимых ими операций, совпадавшее с московскими офисными часами работы.
Фото: picture-alliance/dpa/W. Kumm
Против Хиллари
В ходе предвыборной гонки за пост президента США хакеры дважды получали доступ к серверам Демократической партии кандидата Хиллари Клинтон. Американские спецслужбы и IT-компании установили, что летом 2015 года действовали представители Cozy Bear, а весной 2016-го - Fancy Bear. По мнению разведслужб США, кибератаки были санкционированы высокопоставленными российскими чиновниками.
Фото: Reuters/B. Snyder
Партия Меркель под прицелом
В мае 2016 года стало известно о том, что штаб-квартира партии Христианско-демократический союз (ХДС) канцлера ФРГ Ангелы Меркель подверглась хакерской атаке. IT-специалисты утверждали, что это взломщики из Cozy Bear пытались получить доступ к базам данных ХДС с помощью фишинга (рассылка писем со ссылками на сайты, не отличимые от настоящих), но попытки не увенчались успехом.
Фото: Imago/Reporters
Допинговый взлом
В сентябре 2016 года Всемирное антидопинговое агентство (WADA) сообщило о взломе своей базы данных. Группа Fancy Bear выложила в Сеть документы со списком атлетов, которым WADA разрешило использовать в связи с лечением заболеваний препараты из списка запрещенных (терапевтические исключения). Среди них были американские теннисистки Серена и Винус Уильямс и гимнастка Симона Байлз.
Фото: picture-alliance/ dpa/dpaweb
500 млн аккаунтов Yahoo
В феврале 2017 года Минюст США выдвинул обвинения в краже данных более 500 млн аккаунтов в Yahoo против двух офицеров ФСБ Дмитрия Докучаева и Игоря Сущина. Кибератака произошла в конце 2014 года. По версии обвинения, сотрудники ФСБ наняли для этого двух хакеров. Среди жертв взлома оказались российские журналисты, правительственные чиновники из России и США и многие другие.
