Предупреждение о том, что неопознанные хакеры взломали сеть агентства американского федерального правительства и украли его данные, само по себе достаточно тревожно. Но тревога еще больше усиливается, когда этих неопознанных взломщиков удается опознать. Скорее всего, эти хакеры входят в состав скандально известной команды кибершпионов, состоящих на службе российской военной разведки ГРУ.
На прошлой неделе Агентство по кибернетической и инфраструктурной безопасности опубликовало информационное сообщение о том, что в американское федеральное ведомство проникли хакеры. Оно не назвало ни взломщиков, ни пострадавшее ведомство, однако подробно рассказало о методах работы хакеров и о том, что они воспользовались новой и уникальной формой вредоносной программы при проведении своей операции по краже данных у этого агентства. Улики, найденные аналитиком из фирмы кибербезопасности «Драгос» (Dragos), и уведомление, направленное ФБР жертвам хакерской атаки, дает возможный ответ на вопрос о том, кто стоял за этим взломом. По всей видимости, это была команда хакеров Fancy Bear, которая работает на российское ГРУ. Эта группа, также известная под названием APT28, совершила немало противоправных действий, начиная с хакерских операций и организации утечек информации во время американской предвыборной гонки в 2016 году, и кончая нынешней масштабной кампанией сетевых взломов. Жертвами новых хакерских атак являются политические партии, консалтинговые фирмы и предвыборные штабы.
Улики, указывающие на АРТ28, в частности, основаны на уведомлении, направленном ФБР потенциальным жертвам хакерской кампании в мае этого года, с которым удалось ознакомиться журналистам из нашего издания. Там говорится, что АРТ28 выбрала в качестве объекта взлома американские сети, в том числе принадлежащие государственным ведомствам и образовательным учреждениям. В документе перечислено несколько IP-адресов, которыми пользовались хакеры при проведении операции. Аналитик «Драгос» Джо Словик (Joe Slowik) заметил, что один IP-адрес венгерского сервера, использованный в кампании АРТ28, совпадает с IP-адресом, указанным в уведомлении Агентства по кибернетической и инфраструктурной безопасности. Это свидетельствует о том, что APT28 использовала один и тот же венгерский сервер во время взлома, о котором предупредило Агентство по кибернетической и инфраструктурной безопасности. Он применялся во время как минимум одного взлома из числа тех, которые ФБР назвало успешными.
«Исходя из таких обстоятельств, как совпадение инфраструктуры, характера действий, связанных с событием, а также совпадение времени взлома, можно сказать, что это очень похоже на кампанию, начатую АРТ28 в этом году», — сказал Словик, который прежде руководил группой аварийного компьютерного реагирования в Национальной лаборатории в Лос-Аламосе.
Кроме уведомления ФБР, бдительный Словик нашел и вторую инфраструктурную связь. В прошлом году Министерство энергетики сообщило, что АРТ28 пыталась взломать сеть американского государственного ведомства с сервера в Латвии, и указало IP-адрес латвийского сервера. Тот же самый латвийский IP-адрес снова всплыл в информационном сообщении Агентства по кибернетической и инфраструктурной безопасности о хакерской операции. Вместе эти совпадающие IP-адреса создают общую инфраструктурную сеть, которая связывают данные операции воедино. «В двух случаях есть совпадения один в один», — говорит Словик.
Путаницу вызывает то, что некоторые из IP-адресов, упомянутых в документах ФБР, Министерства энергетики и Агентства по кибернетической и инфраструктурной безопасности, по всей видимости, совпадают с известными площадками киберпреступников. Словик отмечает некоторые российские мошеннические форумы и серверы, которыми пользуются банковские трояны. Но это значит, говорит он, что финансируемые государством хакеры, скорее всего, неоднократно используют инфраструктуру из разных стран, чтобы можно было правдоподобно отрицать свое участие. Журнал WIRED связался с Агентством по кибернетической и инфраструктурной безопасности, ФБР и Министерством энергетики, но получить комментарии не удалось ни у кого.
В информационном сообщении Агентства по кибернетической и инфраструктурной безопасности APT28 не упоминается, однако там шаг за шагом показано, как хакеры осуществляли взлом неназванного федерального ведомства. Они каким-то образом достали рабочие логины и пароли многих сотрудников, и через них вошли в сеть. Агентство по кибернетической и инфраструктурной безопасности признает, что ему неизвестно, как были получены эти данные, однако в информационном сообщении звучит предположение о том, что взломщики могли воспользоваться известной уязвимостью в виртуальных частных сетях компании «Палс Секьюр» (Pulse Secure), которыми широко пользуются федеральные органы власти.
Затем хакеры использовали инструменты командной строки, чтобы перемещаться между ведомственными компьютерами, а потом загрузили фрагмент вредоносного кода. После этого они при помощи кода получили доступ к файловому серверу агентства и перенесли наборы файлов на компьютеры, которыми управляли, сжав эти наборы в формате.zip, чтобы их было легче украсть.
Агентство по кибернетической и инфраструктурной безопасности не передало аналитикам образец хакерского трояна, однако специалист по сетевой безопасности Костин Райю (Costin Raiu) отмечает, что свойства вредоносного кода совпадают с другим образцом, который был загружен в исследовательское хранилище вредоносных программ VirusTotal откуда-то из Объединенных Арабских Эмиратов (ОАЭ). Проанализировав этот образец, Райю сделал вывод, что это по всей видимости уникальное изобретение, созданное из комбинации обычных хакерских инструментов Meterpreter и Cobalt Strike, но без очевидных привязок к известным хакерам, а затем замаскированное многочисленными слоями кодировки. «Такая защита делает его весьма интересным, — говорит Райю, возглавляющий международную исследовательско-аналитическую команду Касперского. — Это немного необычно и редко в том плане, что мы не смогли найти связи больше ни с чем».
Хакеры из АРТ28, известные своими взломами компьютеров Национального комитета Демократической партии и штаба Клинтон в 2016 году, угрожают выборам 2020 года. В этом месяце компания «Майкрософт» предупредила о том, что эта группа массово использует довольно простые методы взлома связанных с выборами организаций и штабов обеих партий. Компания отметила, что хакеры используют метод «рассеивания», вводя одинаковые пароли в аккаунты многих пользователей, и метод «грубой силы», пробуя много паролей в одном аккаунте.
Но если АРТ28 это действительно хакерская группа, о которой говорится в информационном сообщении Агентства по кибернетической и инфраструктурной безопасности, это свидетельствует о том, что она также способна проводить более изощренные и целенаправленные шпионские операции, говорит Джон Халтквист (John Hultquist), работающий директором по информационному обеспечению в фирме безопасности «Файр Ай» (FireEye), которая не подтвердила выводы Словика об APT28. «Это мощная сила, и они до сих пор способны получать доступ к секретам», — отмечает он.
АРТ28 уже давно проводит шпионские операции против государственных и военных объектов США, НАТО и восточноевропейских стран. В информационном сообщении Агентства по кибернетической и инфраструктурной безопасности, а также в выводах Министерства энергетики и ФБР о хакерских кампаниях этой группы отмечается, что эти шпионские операции продолжаются по сей день.
«Нет ничего удивительного в том, что русская разведка пытается проникнуть в американские структуры власти. Она всегда это делает, — говорит Словик. — Однако стоит отметить, что такая деятельность не просто продолжается, но продолжается успешно».