«Ничего святого». Российских хакеров обвиняют в атаках на Вселенский патриархат


Совместное расследование The New York Times и Associated Press (оно опубликовано в газете NYT под заголовком «Ничего святого») установило, что хакерская группировка Fancy Bear, которая считается связанной с Кремлем, долгое время пыталась взломать электронную почту ключевых фигур Вселенского патриархата православной церкви в Константинополе, а также представителей других религиозных групп.

Авторы расследования предполагают, что эти атаки, проведенные в 2015 и 2016 году, были попыткой помешать обретению автокефалии Украинской православной церковью Киевского патриархата, то есть фактическому «разводу» российской и украинской православных церквей. Действия хакеров, видимо, не увенчались успехом: процедуры, связанные с предоставлением автокефалии УПЦ, были запущены Вселенским патриархатом весной 2018 года. Ожидалось, что о создании в Украине единой поместной православной церкви может быть объявлено 28 июля в день празднования 1030-й годовщины Крещения Киевской Руси, но соответствующего заявления не последовало. Тем не менее, украинские власти ожидают получения УПЦ автокефалии до конца 2018 года.

В основе расследования лежат данные, полученные компанией Secureworks (входит в структуру Dell Technologies ): это список из 4700 электронных адресов, которые подверглись фишинговым атакам. Среди них оказались адреса нескольких людей из ближайшего окружения главы Константинопольского патриархата Вселенского патриарха Варфоломея I (сам 78-летний патриарх не пользуется электронной почтой), в том числе Варфоломея (Самариса) , главного секретаря патриарха; митрополита Галльского Эммануила (Адамакиса) и митрополита Прусского Элпидофора (Ламбрианиадиса) . Все они, как утверждают авторы расследования, имеют отношение к обсуждению перспективы предоставления автокефалии УПЦ. По данным Secureworks, хакеры пытались взломать аккаунты священнослужителей на почтовом сервисе gmail.com. Любопытно, что атаке подвергся и пресс-секретарь Московского патриархата Александр Волков .

Среди других мишеней хакеров: Джон Джиллинойс , глава Православной церкви в Америке (текст фишингового письма, полученного им якобы от службы поддержки Google, можно увидеть здесь), духовное управление мусульман Украины “Умма”, Украинская греко-католическая церковь, Йосиф Зисельс , глава Ассоциации еврейских общин и организаций Украины, и несколько представителей протестантского духовенства в России.

Предоставленные Secureworks данные касаются попыток взломов, проведенных в 2015 и 2016 годах. Однако авторы расследования отмечают, что собранные материалы указывают на то, что атаки на Вселенский патриархат продолжаются и сейчас. В качестве примера в расследовании приводится текст электронного письма, которое пришло на несколько адресов православного духовенства 16 октября 2017 года от имени Никоса-Георгаса Папахристо – по данным NYT, к тому моменту только что назначенного официальным представителем Вселенского патриархата. К письму был приложен файл, якобы содержащий “некоторые предложения по выстраиванию связей с общественностью и прессой”. В действительности при открытии файла компьютер получателя заражался вирусом.

Авторы расследования отмечают, что настоящего отправителя этого зараженного письма не удалось установить ни Secureworks, ни другой компании, работающей в области информационной безопасности, – Crowdstrike. В расследовании также не объясняется, как именно Secureworks смогли атрибутировать другие хакерские атаки на адреса священнослужителей. Но за всеми ними, как утверждают авторы расследования, стояли хакеры из Fancy Bear .​

Группировке Fancy Bear приписывается ряд хакерских атак на государственные, военные и общественные организации в различных странах начиная с середины 2000-х годов. Среди них кибератака на Национальный комитет Демократической партии США в июне 2016 года, атака на Всемирное антидопинговое агентство WADA в том же 2016 году, попытки взломов информационных систем Белого дома, НАТО, Бундестага ФРГ, избирательного штаба нынешнего президента Франции Эммануэля Макрона , атаки на украинских политиков, журналистов и многие другие.

Название “Fancy Bear” придумал специалист по кибербезопасности и сооснователь фирмы CrowdStrike Дмитрий Альперович , эмигрировавший в США из России в 1994 году. Именно компания CrowdStrike в числе первых выступила с заявлением, что за хакерами из Fancy Bear стоят российские спецслужбы. Позже с тем, что хакеры из Fancy Bear могут быть связаны с Кремлем, согласились еще несколько западных компаний, занимающихся кибербезопасностью. В июле 2018 года Большое федеральное жюри присяжных США утвердило обвинение, связывающее некоторые атаки, приписываемые Fancy Bear, с военнослужащими воинских частей ГРУ номер 26165 и 74455 (расследование Радио Свобода установило, что такие части действительно входят в состав ГРУ и по роду деятельности могут быть связаны с информационными технологиями).

Офис компании Secureworks в американской Атланте

Одно из последних обвинений в адрес Fancy Bear прозвучало 20 августа, когда президент Microsoft Брэд Смит в сообщении официального блога заявил, что компания предотвратила попытку хакерской атаки на республиканские аналитические центры International Republican Institute и Hudson Institute .

Злоумышленники зарегистрировали набор интернет-доменов, отдаленно напоминающих официальные домены этих организаций (например, «my-iri.org» вместо «iri.org» и «hudsonorg-my-point.com» вместо «hudson.org»). Microsoft через суд добился перевода фальшивых доменов на себя. По мнению компании, их предполагалось использовать для получения логинов, паролей и других личных данных сотрудников аналитических центров, которые могли зайти на подставные сайты, спутав их с настоящими.

В записи блога президент Microsoft заявил, что атака готовилась хакерской группировкой Strontium , ”также известной, как Fancy Bear или ATP28 ”. Никаких данных о том, как компании удалось атрибутировать организаторов атаки, а также о том, что именно содержалось на сайтах с поддельными доменами до их перевода на Microsoft, в записи Брэда Смита нет. В ответ на запрос Радио Свобода пресс-служба Microsoft заявила, что компании нечего добавить к информации, содержащейся в записи в блоге. Заметная часть этого поста посвящена новому антивирусному продукту Microsoft, который “предоставит современную киберзащиту всем кандидатам и избирательным штабам на федеральном и местном уровне, а также аналитическим центрам и политическим организациям, которые, как мы уверены, являются сейчас мишенью для атаки” в преддверии так называемых “промежуточных выборов”, которые состоятся в США в ноябре 2018 года.

  • Радио СвободаОригинал публикации – на сайте Радио Свобода

    Подписаться

Предыдущая Из семи украинских школ, которые были до аннексии Крыма, не осталось ни одной – активист
Следующая «Ничего святого». Российских хакеров обвиняют в атаках на Вселенский патриархат

Нет комментариев

Комментировать

Ваш e-mail не будет опубликован. Обязательные поля помечены *