Пробуждение «уютного медведя»: российских хакеров обвинили во взломе компьютеров трех стран ЕС

Фото Getty Images
Фото Getty Images
Хакеры, взломавшие систему безопасности Национального комитета демократической партии США, снова активизировались, утверждают исследователи из ESET

Группировка связываемых с российскими властями хакеров Cozy Bear («уютный медведь»), которая в 2016 году совместно с другой группировкой, Fancy Bear, обошла цифровую защиту Национального комитета Демократической партии, теперь взломала серверы посольства одного из членов Евросоюза в США. Об этом в четверг сообщили эксперты в сфере цифровой безопасности из компании-разработчика антивирусного программного обеспечения ESET. Специалисты отмечают, что взломщики также получили доступ к компьютерам в министерствах иностранных дел трех европейских стран.

В ESET не уточняют, какие страны пострадали. Но новый доклад стал редким свидетельством деятельности Cozy Bear и показателем нового всплеска активности российских спецслужб в условиях геополитической нестабильности в преддверии выхода Великобритании из Европейского союза и президентских выборов 2020 года в США. Также были обнаружены три новых типа вредоносных программ, что говорит о том, что группировка продолжает наращивать свой хакерский арсенал.

По мнению Маттье Фау, руководителя данного исследования в ESET, последние атаки доказывают, что хакеры Cozy Bear, избегавшие внимания СМИ несколько лет, до сих пор активны: «В прошлом году они занимались фишингом, но как о создателе вредоносных программ о них ничего не было слышно с конца 2016-го — начала 2017 года».

Фау допускает, что группировка пыталась украсть документы и электронные письма, хотя перехватить похищенную информацию ему не удалось.

При атаках российские хакеры используют инфраструктуру известных американских компаний. На платформах Twitter, Evernote и Reddit взломщики оставляли зашифрованные сообщения, которые позднее использовались зараженными компьютерами для выхода на связь с сайтом хакеров. «Они применяют методы стеганографии, чтобы каналы связи с главным контролирующим сервером затерялись в коде картинок или других файлов», — объясняет Фау.

Неясно, как взломщики Cozy Bear выходят на компьютеры дипломатов. Никакого метода первичного заражения в ESET не обнаружили. Работа исследователей осложняется также тем, что неизвестен точный момент начала атак — они могли идти уже месяцы и даже годы.

«Мы не видим полной картины происходящего, поэтому жертв может быть в разы больше», — говорит Фау.

Перевод Антона Бундина