Российские шпионы создали фейковые учетные записи электронной почты Кейти Морли (Katie Morley), которая освещает в газете Telegraph тему защиты прав потребителей, и автора бестселлеров Хелен Рассел (Helen Russell), которая писала статьи для этой газеты. С помощью этих учетных записей россияне пытались проникнуть в компьютерные системы правительственной лаборатории по исследованию химического оружия Портон-Даун и Министерства иностранных дел Великобритании.
Одна из версий заключается в том, что российские шпионы выбрали этих двух журналисток — обе они блондинки, и обе они молоды, — в качестве ловушки для бюрократов Организации по запрещению химического оружия (ОЗХО), которые с большей вероятностью ответили бы на их электронные письма. Вполне возможно, что к электронным письмам были прикреплены фотографии журналисток, взятые из интернета.
Электронные письма, якобы написанные журналистками газеты Telegraph, были отправлены спустя месяц после того, как агенты ГРУ — российской военной разведки — пытались отравить полковника Сергея Скрипаля и его дочь Юлию в Солсбери, графство Уилтшир, 4 марта 2018 года.
Сначала агенты ГРУ отправили электронные письма в Организацию по запрещению химического оружия, которая базируется в Гааге и которая сотрудничала с британскими властями, помогая им определить вещество, примененное в ходе покушения, и выработать план ответных мер против виновных.
5 и 6 апреля в ОЗХО было отправлено в общей сложности 39 электронных писем, и еще три письма были отправлены в Портон-Даун и Министерство иностранных дел Великобритании.
В одном из писем, адресованном ОЗХО, в графе «Тема» значилось «Расследование отравления шпиона в Солсбери». В этом письме говорилось следующее: «Здравствуйте! Меня зовут Кейти Морли, и я представляю газету Telegraph. Наша команда провела независимое расследование дела об отравлении шпиона в Солсбери».
«Мы взяли интервью у одного из свидетелей и выяснили ранее неизвестные факты, которые могут помочь в расследовании». «Прежде чем мы опубликуем наши материалы, мы хотели бы проконсультироваться и обсудить с вами возможности сотрудничества». В конце этого электронного письма появляется довольно странная фраза: «С уважением, Кейти Морли, журналистка Telegraph».
В этом письме, отправленном в 11:55 утра 6 апреля, было вложение и предложение ознакомиться с подробностями материалов. «Вы можете просмотреть детали этого дела во вложении», — говорилось в тексте письма. По мнению представителей разведывательных агентств, эта атака была крайне незамысловатой, но она должна была застать беспечного чиновника ОЗХО врасплох.
В результате эта кибератака не дала никаких результатов. Никаких посягательств на компьютерные системы Telegraph зафиксировано не было. Разведывательное сообщество считает, что эта атака была проведена по приказу Владимира Путина, который был встревожен международной реакцией на применение агентами ГРУ вещества группы «Новичок» (вещества нервно-паралитического действия, разработанного в Советском Союзе) против полковника Сергея Скрипаля, бывшего офицера ГРУ, передававшего секретную информацию агентству MI6.
Эта кибератака была проведена воинской частью 74455 ГРУ. Это же подразделение совершало атаки, направленные против Зимних Олимпийских игр в Южной Корее 2018 года, Олимпийских игр в Токио 2020 (пока их не перенесли из-за пандемии covid-19), президентских выборов во Франции 2017 года, различных институтов на Украине и в Грузии, против американской фармацевтической компании и американских больниц. По некоторым оценкам, их атаки нанесли ущерб примерно в 1 миллиард долларов. Разведывательные агентства подозревают, что за журналисток газеты Telegraph выдавал себя офицер ГРУ, который в американском обвинительном акте назван Анатолией Сергеевичем Ковалевым.
29-летний Ковалев разыскивается ФБР за совершение целой серии преступлений, включая мошенничество с использованием электронных средств сообщения, сознательное нанесение ущерба защищенным компьютерам и хищение персональных данных при отягчающих обстоятельствах. Его обвиняют в том, что, выдавая себя за некоего немецкого журналиста, он предпринял такую же попытку взломать системы ОЗХО в то время, когда было совершено покушение на Скрипаля. По мнению источников, именно он несет ответственность за кражу персональных данных журналистов Telegraph.
На листовке ФБР о розыске Ковалева говорится, что к он может быть «вооружен и опасен», что он может сесть на международный рейс или попытаться сбежать. Однако считается, что он остается в России и что он вряд ли когда-либо покинет ее территорию, потому что за ее пределами ему грозит арест.
Подробности так называемых фишинговых атак на ОЗХО и британские агентства изложены в обвинительном акте, опубликованном Министерством юстиций США в октябре этого года, который стал результатом двухлетнего расследования попыток взломать системы организаций, проводивших расследования покушения на Скрипаля.
В обвинительном акте говорится, что агенты ГРУ начали рассылать свои «фишинговые» электронные письма 5 апреля. За два дня до этого лаборатория научно-технических оборонных исследований в Портон-Дауне сообщила, что ей удалось выяснить, что ядовитое вещество, примененное против полковника Скрипаля, — это «Новичок».
6 апреля, согласно обвинительному акту, агенты ГРУ провели «три связанных фишинговых атаки», направленные против ОЗХО, лаборатории научно-технических оборонных исследований в Портон-Даун и Министерства иностранных дел Великобритании. Агенты использовали «имя британской журналистки, работавшей на британскую новостную организацию», чтобы разослать 20 электронных писем на официальные адреса. Еще 19 писем были отправлены с другого фейкового аккаунта.
Эти аккаунты были зарегистрированы якобы от имени журналисток Telegraph. ОЗХО посоветовала злоумышленникам обратиться к британским властям и дала им три адреса электронной почты, которые тоже подверглись атакам.
Национальный центр кибербезопасности, который входит в состав Центра правительственной связи и который занимался расследованием этой хакерской атаки вместе с коллегами из ФБР, сообщил, что он хочет «разоблачить и дать отпор вредоносным атакам» ГРУ.
Пол Чичестер (Paul Chichester), директор по оперативным вопросам Национального центра кибербезопасности, сказал: «Хотя эта конкретная атака оказалась безуспешной, она служит важным напоминанием об онлайн-угрозах. Я призываю всех посетить наш сайт, чтобы узнать, какие практически шаги вы можете предпринять, чтобы обеспечить свою безопасность онлайн».