Что стоит за атакой на швейцарский почтовый домен?
Одна из самых надёжных и безопасных электронных почтовых служб в мире оказалась объектом изощренной кибератаки, направленной против экспертов и журналистов, ведущих расследования деятельности российских разведслужб.
Пострадавшие от кибератаки использовали электронную почту ProtonMailВнешняя ссылка, серверы которой находятся в Швейцарии, для обмена секретной информацией, связанной с расследованиями деятельности Главного управления Генерального штаба Вооружённых сил Российской Федерации (ГРУ). Сотрудникам ГРУ были предъявлены обвинения в причастности к катастрофе малазийского рейса МН17 над Украиной в 2014 году и в покушении на убийство Сергея Скрипаля и его дочери в Великобритании в прошлом году.
Компания ProtonMail, созданная в 2014 году группой бывших научных сотрудников Европейской организации по ядерным исследованиям (CERNВнешняя ссылка), позиционирует себя в качестве самого безопасного почтового сервиса благодаря использованию передовых технологий шифрования и защиты от хакерских атак.
В среду в компании стало известно о предпринятой попытке скомпрометировать ее пользователей. Компания связалась со швейцарскими властями с целью помочь закрыть домены, использовавшиеся для обмана клиентов, и предприняла меры по блокировке фишинговых электронных сообщений. В компании отметили, что её собственные системы и ПК-серверы не пострадали.
Исполнительный директор ProtonMail Энди Йен (Andy Yen) заявил Financial Times: «Начавшаяся [в среду] кампания с точки зрения сложности действительно относится к 1-2% кибератак самого высокого уровня сложности. Они заблаговременно знали, кто именно должен стать объектом этой атаки. Наши научные исследования говорят о том, что это была целенаправленная операция».
Швейцарская полиция в курсе
В воскресенье Федеральное ведомство полицииВнешняя ссылка Швейцарии сообщило швейцарскому информационному агентству Keystone-SDA, что ProtonMail проинформировала его о кибератаке.
Пресс-секретарь Федеральной полиции Лулзана Муслиу ( Lulzana Musliu) сообщила, что первоначальные мероприятия были проведены совместно с Федеральным отчетно-аналитическим центром обеспечения информационной безопасности (Melde- und Analysestelle Informationssicherung MELANIВнешняя ссылка).
Источник: Keystone-SDA
По словам Энди Йена, швейцарские домены были зарегистрированы для имитации пользовательского интерфейса ProtonMail, оплачиваемого через посредников с использованием анонимных биткоин-трансакций. Поддельные порталы входа в систему в этих доменах были затем синхронизированы с реальным процессом входа в ProtonMail для одновременного входа в систему, чтобы обманным путем заставить и пользователей отказаться от двухфакторных кодов аутентификации.
Письма, отправленные пользователям, были тщательно зашифрованы, но одновременно содержали редкую неисправленную ошибку программного кода в широко используемом открытом ПО, которую под силу обнаружить только хакерам, обеспеченным наиболее современными ресурсами.
«Бэллингкэт» под прицелом
Учетные записи, которые хакеры пытались взломать, принадлежали членам команды интернет-издания «Бэллингкэт» (Bellingcat), общедоступном сайте, публикующем результаты журналистских расследований, и некоей фирме по корпоративной разведке, сотрудники которой (а среди них есть и бывшие сотрудники разведки) используют ProtonMail для конфиденциальной работы по расследованию деятельности России.
В прошлом месяце, в пятую годовщину крушения над Украиной авиалайнера рейса MH17 «Малайзийских авиалиний», Bellingcat начал публикацию свежих материалов своих расследований о причастности России и ГРУ к этой катастрофе. Российское правительство последовательно отрицает свою причастность к делу о гибели рейса MH17.
Bellingcat также готовит к публикации дополнительную информацию о высокопоставленных сотрудниках ГРУ, которые, по мнению издания, координировали попытку отравления Сергея Скрипала в Солсбери в марте 2018 года. «Очевидно, что это связано с нашими расследованиями в отношении ГРУ», — сказал Кристо Грозев (Christo Grozev), специалист по безопасности, занимающийся расследованиями в Беллингкат. «Они уже давно пытаются получить доступ к нашим учетным записям электронной почты. Но в случае с ProtonMail это оказалось очень странно и неожиданно».
Пользователи ProtonMail, против которых была направлена фишинговая атака, были в недоумении, в частности, от того, как злоумышленникам вообще удалось получить информацию об именах пользователей и паролях учетных записей, учитывая, что многие используют обезличенные адреса, известные только узкому кругу доверенных контактов. «Предполагаю, что одна из учетных записей была взломана», — сказал Грозев. «Очевидно, что нам придется изменить учетные записи».
Грозев сказал, что не сомневается в том, что за этой кибератакой стоит Россия. В интервью Financial Times он сказал, что внимание Беллингкэт сейчас направлено на установление личности офицера ГРУ, руководившего попыткой убийства Скрипаля. «Именно это вызвало у них интерес», — сказал он.
Отсутствие конкретных доказательств
Однако конкретных доказательств, указывающих на причастность Москвы к хакерской атаке на ProtonMail, не так уж много. По словам К. Грозева, вполне вероятно, что кибератака была хакерской операцией самого ГРУ. Подразделение, известное на западе под никами Fancy Bear и APT28, несет ответственность за взлом переписки Хиллари Клинтон и членов Национального комитета Демократической партии в ходе президентской кампании в США в 2016 году.
«Направления деятельности и цели этой атаки [против ProtonMail] соответствуют тем, которые мы наблюдали у Fancy Bear в прошлом», — сказал Адам Мейерс (Adam Meyers), заместитель руководителя службы разведки в американской компании CrowdStrike, специализирующейся на кибербезопасности, которая впервые определила характер деятельности Fancy Bear. «Создается впечатление, что это классическая операция контрразведки… Bellingcat, безусловно, нанес большой ущерб деятельности ГРУ».
По словам Мейерса, Fancy Bear последнее время не заявлял о себе, но, судя по предварительным данным, его активность за последнее время как, например, атаки на ProtonMail, стала носить более тщательный и целенаправленный характер. «Конечно, сложно установить, кто стоит за кибератакой», — сказал Э. Йен.
«Выбор целей действительно дает основания утверждать, что это атака была осуществлена при поддержке государства. И тому есть многочисленные подтверждения, в особенности уровень сложности исполнения хакерской операции». Энди Йен отмечает, что учетные записи пользователей электронной почты ProtonMail полностью зашифрованы, поэтому им не о чем беспокоиться, если только они случайно не выдали свои пароли.
Copyright: The Financial Times Limited 2019.
Показать больше
Руководитель Labor Spiez: «Россия оказывала на нас давление»
Русскоязычную версию материала подготовил Игорь Петров
В соответствии со стандартами JTI
Показать больше: Сертификат по нормам JTI для портала SWI swissinfo.ch
Обзор текущих дебатов с нашими журналистами можно найти здесь. Пожалуйста, присоединяйтесь к нам!
Если вы хотите начать разговор на тему, поднятую в этой статье, или хотите сообщить о фактических ошибках, напишите нам по адресу russian@swissinfo.ch.