А для достижения своих целей в Кремле не гнушаются никакими средствами. Даже если ценой вопроса станет задержка создания вакцины, способной спасти сотни тысяч жизней.
Канадская разведка заявила о выявленных кибератаках на лаборатории, занимающиеся поисками вакцины от коронавируса. Подобные случаи с целью похищения информации также одновременно произошли в Великобритании и США.
Хотя хакерские атаки, в том числе и на медицинские центры, дело не новое, однако этот случай является особым. Спецлужбы в один голос заявляют, что с высоким уровнем достоверности за атаками стоит группа APT29, также известная как Cozy Bear или the Dukes, которая работает на разведку России.
Первые официальные обвинения
В то время как страны интенсивно работают над изобретением вакцины для защиты здоровья, «кое-кто демонстрирует свои эгоистические интересы и безответственное поведение». Так министр иностранных дел Великобритании Доминик Рааб отреагировал на информацию о российских кибератаках.
Конечно, в РФ все обвинения сразу опровергли. Представитель Путина Дмитрий Песков отказался от причастности российских властей к деятельности хакерской группы, заявив об отсутствии доказательств.
Тем не менее, канадские спецслужбы идентифицировали, что были применены вредоносные программы WellMess и WellMail, которые использовались в атаках и на другие объекты в мире на протяжении всего периода пандемии, имеют российский след.
Уже не впервые канадские лаборатории, проводящие исследования по разработке антикоронавирусной вакцины, подвергаются кибератакам. Например, в мае национальные органы безопасности заметили попытки взлома баз данных таких компаний, однако не сообщили, удалось ли определить, кто стоял за этими атаками.
Однако официальное обвинение России произошло впервые, ее и раньше подозревали в причастности к подобным атакам, наряду с Китаем, Ираном и КНДР.
Предыдущие косвенные обвинения не имели большого резонанса и последствий. Но как будет развиваться ситуация дальше и перейдут ли Канада, США и Великобритания к более активным действиям, увидим уже в ближайшее время.
Атаки на лаборатории
В течение всего периода пандемии covid-19 применялся ряд подобных атак на медицинские лаборатории и исследовательские центры с целью шпионажа и похищения данных по разработке вакцины.
Самая большая проблема состоит в том, что разработка вакцин достаточно дорогостоящий и долговременный процесс, поэтому часто лаборатории объединяются в сети с цифровыми средствами связи и в следствии этого становятся удобными объектами для кибератак.
Еще в марте ВОЗ заявляла, что злоумышленники предпринимали попытки проникнуть в систему через е-мейл фишинг паролей, который является одним из наиболее популярных способов (около 90% всех киберпреступлений совершаются через е-мейл фишинг). Более четырехсот пятидесяти активных мейлов и паролей ВОЗ были похищены с целью проникновения в базы данных.
Это не повлияло на работу самой системы, которая имела обновление, но нанесло ущерб предыдущей системе, которая все еще использовалась для коммуникации с партнерами и персоналом, вышедшим на пенсию.
Иная ситуация сложилась в Университетской больницы Брно, являющейся крупнейшим центром тестирований на коронавирус в Чешской Республике.
Вследствие прямой кибератаки в марте 2020 года больница на два дня была отрезана от доступа к обмену информации с национальной базой данных. Также кибератаки подверглась соседняя детская больница и роддом.Чешские службы безопасности так и не смогли установить, кто стоял за атакой и была ли похищена какая-то информация.
В апреле США обвинили Китай в попытках проникнуть в систему исследовательских центров, которые занимаются разработкой вакцины от коронавируса.
Одна из самых влиятельных компаний в сфере кибербезопасности, FireEye, заявила, что именно китайская хакерская группа APT41 осуществляла эту крупнейшую за последние годы кибератаку. Ее удалось частично отбить благодаря активному противодействию Агенства национальной безопасности США и Киберкомандования США.
В мае атаки на медицинские и исследовательские центры произошли во многих странах мира. Например, в Израиле была предпринята масштабная атака на вебсайты, которая коснулась и некоторой сети лабораторий. Службы безопасности заявили, что это была именно попытка остановить разработку вакцины, а не просто похитить информацию. Подобные ситуации возникли в Австралии, Франции, Испании и других странах.
Такая активность не удивляет. Тот, кто разработает вакцину первым, не только получит репутационные бонусы, но и значительный финансовый успех. А это значит, что любая информация и результаты исследований являются востребованными для богатых игроков на фармацевтическом рынке.
В то время как правительства, частный бизнес и международные организации тратят значительные средства на разработку вакцин, некоторые правительства не стесняются не только воровать информацию, но и блокировать разработку с целью получения личных дивидендов.
Однако если китайские кибератаки известны прежде всего своей направленностью на экономический шпионаж, то их российские коллеги чаще замечены в политическом контексте.
Российский след
Если же в эту историю действительно замешана хакерская группа под названием the Dukes, то это может получить интересный оборот. Дело в том, что эта группа не является новичком на рынке киберпреступности и е-шпионажа. В той или иной комбинации она действует как минимум с 2008 года, занимаясь сбором данных для российской разведки.
О работе на РФ свидетельствует не только «антизападный» характер операций, но и наличие в кодах текста об ошибках (error message) информации на русском языке, а также время их основной активности — промежуток между девятью и девятнадцатью часами по московскому времени.
Именно деятельность the Dukes связывают со вмешательством в выборы США в 2016 году, в частности — с похищением информации Национального комитета Демократической партии США.
Финская компания-разработчик программного обеспечения F-Secure в своем аналитическом отчете утверждает, что самые первые операции the Dukes, которые удалось идентифицировать, состоялись еще в ноябре 2008 года под названием «alkavkaz.com20081105» и «cihaderi.net20081112».
Российские хакеры представляли некоторые сайты как чеченские информационные центры, которые должны были информировать о «новостях всемирного джихада», и распространяли вредоносные программы при попытке воспользоваться сайтом.
В 2009 году был осуществлен ряд кампаний против министерства обороны Грузии и министерств иностранных дел Турции и Уганды, и самое главное — аналитических центров, базирующихся в США, информационного центра НАТО в Грузии, а также правительственных институтов в Польше и Чехии.
Атаки осуществлялись через рассылку электронных писем, к которым были прикреплены специально созданные документы в формате Microsoft Word и PDF, которые запускали троянские программы при открытии.
Эти кампании демонстрируют явное политическое ангажирование «герцогов», поскольку, как считается, они касались сбора информации о размещении американской базы противовоздушной обороны в Польше и радара в Чехии.
Начиная с 2013 года, фишинг электронных ящиков через заражение PDF-файлов стал самым распространенным способом хакерских атак.
Отчет F-Secure констатирует, что заражения произошли в более чем двадцати девяти странах, среди которых крупнейшими целями стали некоторые правительственные учреждения на Украине, Бельгии, Венгрии, Португалии, Чехии и США.
Однако чаще всего кампании против Украины проводились накануне Евромайдана в 2013 году. Наиболее резонансные случаи связанные с получением МИД Украины письма от посольства Нидерландов, «инфицированием» письма заместителя МИД Украины о праздновании 100-летия с начала Первой мировой войны и рассылкой зараженного PDF-документа «ukraine's Search for a Regional Foreign Policy».
Тезис о разведывательном направлении этой хакерской группы подтверждает тот факт, что их активность на Украине происходила до российской агрессии. Как только Россия перешла к прямым военным действиям на Украине, the Dukes прекратили свою работу, зато работу начали другие группы — например Operation Pawn Storm.
Поэтому вполне можно предположить, что, кроме сбора данных относительно потенциальной вакцины, нынешние атаки имеют не столько коммерческие, как разведывательные цели, связанные с изучением слабых мест, которые можно использовать для вмешательства в политические процессы.
Получение статуса спасителя мира от covid-19 крайне необходимо РФ для продвижения тезисов о необходимости возвращения западных стран к диалогу и для снятия санкций.
А для достижения своих целей в Кремле не гнушаются никакими средствами. Даже если ценой вопроса станет задержка создания вакцины, способной спасти сотни тысяч жизней.
