Пробуждение «уютного медведя»: российских хакеров обвинили во взломе компьютеров трех стран ЕС
Группировка связываемых с российскими властями хакеров Cozy Bear («уютный медведь»), которая в 2016 году совместно с другой группировкой, Fancy Bear, обошла цифровую защиту Национального комитета Демократической партии, теперь взломала серверы посольства одного из членов Евросоюза в США. Об этом в четверг сообщили эксперты в сфере цифровой безопасности из компании-разработчика антивирусного программного обеспечения ESET. Специалисты отмечают, что взломщики также получили доступ к компьютерам в министерствах иностранных дел трех европейских стран.
В ESET не уточняют, какие страны пострадали. Но новый доклад стал редким свидетельством деятельности Cozy Bear и показателем нового всплеска активности российских спецслужб в условиях геополитической нестабильности в преддверии выхода Великобритании из Европейского союза и президентских выборов 2020 года в США. Также были обнаружены три новых типа вредоносных программ, что говорит о том, что группировка продолжает наращивать свой хакерский арсенал.
По мнению Маттье Фау, руководителя данного исследования в ESET, последние атаки доказывают, что хакеры Cozy Bear, избегавшие внимания СМИ несколько лет, до сих пор активны: «В прошлом году они занимались фишингом, но как о создателе вредоносных программ о них ничего не было слышно с конца 2016-го — начала 2017 года».
Фау допускает, что группировка пыталась украсть документы и электронные письма, хотя перехватить похищенную информацию ему не удалось.
При атаках российские хакеры используют инфраструктуру известных американских компаний. На платформах Twitter, Evernote и Reddit взломщики оставляли зашифрованные сообщения, которые позднее использовались зараженными компьютерами для выхода на связь с сайтом хакеров. «Они применяют методы стеганографии, чтобы каналы связи с главным контролирующим сервером затерялись в коде картинок или других файлов», — объясняет Фау.
Неясно, как взломщики Cozy Bear выходят на компьютеры дипломатов. Никакого метода первичного заражения в ESET не обнаружили. Работа исследователей осложняется также тем, что неизвестен точный момент начала атак — они могли идти уже месяцы и даже годы.
«Мы не видим полной картины происходящего, поэтому жертв может быть в разы больше», — говорит Фау.
Перевод Антона Бундина