Хакерская группа, стоящая за нападением на демократов в США, в последние годы получила доступ и к электронной почте сотрудников датского министерства обороны. Информацию могли использовать для шантажа сотрудников с целью сделать их агентами, полагает разведывательная служба Дании. Министр обороны Клаус Йорт Фредериксен (Claus Hjort Frederiksen) заявляет, что «мы столкнулись с критической ситуацией».
Подконтрольная государству группа российских хакеров на протяжении 2015 и 2016 годов взламывала системы датского министерства обороны и получала доступ к электронной почте ряда тщательно отобранных сотрудников, которых хакеры использовали для получения информации.
За взломами стоит группа ATP 28, которую еще называют Fancy Bear, — по словам нескольких спецслужб, она имеет прямые связи с правительством президента Путина и является одной из тех двух ведущих хакерских групп, которые в прошлом году получили незаконный доступ к почтовым учетным записям демократов в США.
Информация, имеющаяся во взломанных письмах сотрудников обороны, относится к так называемой несекретной информации, но в недавно завершенном отчете, посвященном хакерскому нападению, с которым Berlingske имела возможность ознакомиться, Центр кибербезопасности разведывательной службы пишет, что атака все равно представляет собой серьезную угрозу безопасности Дании — в том числе потому, что Россия может использовать эту информацию для вербовки агентов в министерстве.
«Данные могут использоваться для попыток вербовки, давления и для планирования дальнейшего шпионажа», — говорится в отчете.
Кроме того, хакеры могут использовать инфицированные почтовые аккаунты для рассылки почты, чтобы расширить зону взлома и дать хакерам доступ к более секретной информации, гласит отчет.
Центр кибербезопасности передал отчет министру обороны Клаусу Йорту Фредериксену, потрясенному атакой, которая, по его словам, была спланирована российским государством.
«То, что происходило, было очень хорошо спланировано. Это не какие-то мелкие хакерские группки, которые делают все ради развлечения. Это связано со службой разведки или с центральными элементами российского правительства, и у нас все время идет бесконечная борьба с целью держать их на расстоянии», — говорит Клаус Йорт Фредериксен.
Мы столкнулись с критической ситуацией
Он не захотел назвать имена лиц, подвергшихся атаке, так как эта информация конфиденциальна.
Йорт подчеркивает то, о чем также явствует отчет, а именно: речь не идет о доступе к информации сверхсекретного характера, скажем, о системах вооружений, так как до этой информации добраться через интернет нельзя.
Данные, которые хакерским путем были получены о демократах в США — за чем, как выяснилось, стояла Россия, — позднее попали в прессу во время предвыборной кампании, и касались они конфиденциальной информации о Хиллари Клинтон. После этого действующий тогда президент Барак Обама выслал из США 35 российских дипломатов.
До сих пор неясно, будет ли иметь место такое же распространение информации, полученной в результате хакерского взлома датской обороны, говорит Клаус Йорт Фредериксен.
«Никто из нас не может знать, как хакеры используют эти данные. Но и в системе незасекреченных данных встречаются ссылки и упоминания тех или иных фактов и обстоятельств, информация о которых может быть распространена. Они атакуют многими разными способами, и это происходит на очень сложном уровне. Это значит, что мы столкнулись с критической ситуацией», — говорит он.
Отчет: МИД тоже под ударом
Атака происходила следующим образом: хакеры несколькими волнами отправляли сотни электронных сообщений отдельным тщательно выбранным сотрудникам обороны в так называемых фишинговых письмах. Например, сотрудники получали письмо, которое выглядело так, словно было послано внутренним отправителем, но с сообщением о том, что нужно обновить систему.
После ввода секретного кода хакеры получали доступ к паролю и могли брать любую информацию с почтового аккаунта.
Несколько раз хакеры пробовали направлять на министерства обороны и иностранных дел атаки другого типа, пытаясь взять под контроль компьютеры и серверы. В том числе они использовали сложные программы, которые собирали тысячи потенциальных паролей доступа.
Но это им не удалось, говорится в отчете.
Отчет: недостаточная защита министерства обороны
Из отчета также следует, что атаки стало возможными потому, что не были вовремя реализованы новые меры безопасности, направленные против хакеров, пытающихся добраться до несекретных писем. Это не было сделано, несмотря на то, что ситуация с безопасностью изменилась и использование электронной переписки возросло, говорится в отчете.
«Речь идет о почтовой системе, которая используется для незасекреченной переписки. Поэтому для нее применяются более низкие стандарты безопасности, чем для остальных систем министерства обороны, и, соответственно, именно там хакерам легче проникнуть в систему. Это система более старого поколения, и анализы показали, что показатели безопасности могли бы быть и лучше», — говорит Клаус Йорт Фредериксен.
Berlingske: Но ведь мы говорим о безопасности министерства обороны. Приемлемо ли, что там такой недостаток контроля?
Клаус Йорт Фредериксен: Мы предприняли соответствующие меры, и защита этой системы была значительно улучшена. Но необходимо также обозначить, что киберугрозы имеют такой характер и уровень сложности, что здесь крайне сложно что-то гарантировать наверняка.
— Имело ли произошедшее какие-то последствия для кого-то в обороне?
— Нет.
— И в руководстве тоже?
— Нет, безопасность усилена, и введены новые процедуры.
Уровень угрозы «очень высок»
В январе министр обороны в интервью с Berlingske называл угрозу Дании, исходящую от подконтрольных государству российских хакерских групп, «пугающей».
Разведывательная служба вскоре после этого опубликовала свой отчет об угрозах за 2016 год, согласно которому угроза в сфере кибершпионажа и и киберпреступности со стороны иностранных держав получила максимальную оценку — «очень высокая».
Кроме того, некоторые другие западные службы разведки предостерегали, что хакерские атаки со стороны России представляют собой все возрастающую угрозу и могут повлиять на парламентские выборы 2017 года во Франции, Норвегии и Германии.
Атака на министерство обороны — доказательство масштабной и серьезной киберугрозы, говорит Томас Лунд-Сёренсен (Thomas Lund-Sørensen), руководитель Центра кибербезопасности.
«Вот очень конкретный пример того, что это не просто теории и домыслы, когда мы говорим о большой и серьезной угрозе шпионажа против Дании, — говорит о и добавляет, — Это была не засекреченная система, она не касается вооружений или чего-то в этом роде. Поэтому эту область министерство обороны не защищало больше других, но даже информация, не имеющая непосредственного значения для обороны, может содержать данные, которые можно так или иначе использовать. Например, для того, чтобы подготовить направленные хакерские атаки против людей, представляющих собой более важную цель».
Berlingske: В отчете сказано, что данные могут использоваться для давления и вербовки сотрудников. С каким-нибудь сотрудником связывались с таким целями?
Томас Лунд-Сёренсен: Это я комментировать не могу.
Риск более серьезных атак в ближайшие годы
Он также считает, что атака на министерство обороны стало предупреждением, что действия хакеров могут в будущем принять еще более угрожающий характер для нашей безопасности. В то же время Центр кибербезопасности не относит потенциальные атаки на ключевые элементы инфраструктуры, такие как электрические, нефтяные и газовые системы снабжения, к числу основных угроз.
Но разведка допускает, что все может измениться в ближайшие годы, говорит обеспокоенный Клаус Йорт Фредериксен.
«Риск того, что киберугроза будет усиливаться, больше, чем возможность настоящей войны. Но это не менее опасно, ведь если кому-то удастся взломать инфраструктуру, это подорвет доверие граждан к нашему контролю ситуации в будущем. Что, если кто-то взломает в систему выплаты пенсий и уничтожит ее? Или систему записи и хранения информации в больницах? Или парализует электро- и газоснабжение? Ведь начнется паника», — говорит министр обороны.
Berlingske: Что вы предприняли в адрес России в связи с этой атакой?
Клаус Йорт Фредериксен: Мы совершенно ничего не предприняли. Они же не признают, что они это сделали, и раньше никогда не признавали, так что это было бы наивно.
— Но ведь у вас есть отчет, который свидетельствует, что датская оборона была взломана группой, контролируемой российским государством, не следует ли вам потребовать объяснений от российских властей, как минимум от посла, и сказать, что мы не собираемся с этим мириться?
— Мне даже не хочется за это приниматься, ведь я и так знаю, каков будет ответ. Да, такова она, ежедневная борьба с этими хакерами.
Он будет обсуждать свежие данные с заинтересованными сторонами осенних переговоров по новому оборонному соглашению на период с 2018 по 2022 год, кроме того, он отметил, что правительство инициировало проверку безопасности министерств и ведомств.
«К настоящему моменту я пробыл министром обороны еще не очень долго, но должен сказать, что на меня произвел очень, очень большое впечатление реальный масштаб этих хакерских атак. И то, как часто каждый день мы им подвергаемся. Это дает основания для серьезного беспокойства», — говорит Клаус Йорт Фредериксен.