Доступность ссылки

«Ничего святого». Российских хакеров обвиняют в атаках на Вселенский патриархат


Вселенский патриах Варфоломей I
Вселенский патриах Варфоломей I

Совместное расследование The New York Times и Associated Press (оно опубликовано в газете NYT под заголовком "Ничего святого") установило, что хакерская группировка Fancy Bear, которая считается связанной с Кремлем, долгое время пыталась взломать электронную почту ключевых фигур Вселенского патриархата православной церкви в Константинополе, а также представителей других религиозных групп.

Авторы расследования предполагают, что эти атаки, проведенные в 2015 и 2016 году, были попыткой помешать обретению автокефалии Украинской православной церковью Киевского патриархата, то есть фактическому "разводу" российской и украинской православных церквей. Действия хакеров, видимо, не увенчались успехом: процедуры, связанные с предоставлением автокефалии УПЦ, были запущены Вселенским патриархатом весной 2018 года. Ожидалось, что о создании в Украине единой поместной православной церкви может быть объявлено 28 июля в день празднования 1030-й годовщины Крещения Киевской Руси, но соответствующего заявления не последовало. Тем не менее, украинские власти ожидают получения УПЦ автокефалии до конца 2018 года.

В основе расследования лежат данные, полученные компанией Secureworks (входит в структуру Dell Technologies): это список из 4700 электронных адресов, которые подверглись фишинговым атакам. Среди них оказались адреса нескольких людей из ближайшего окружения главы Константинопольского патриархата Вселенского патриарха Варфоломея I (сам 78-летний патриарх не пользуется электронной почтой), в том числе Варфоломея (Самариса), главного секретаря патриарха; митрополита Галльского Эммануила (Адамакиса) и митрополита Прусского Элпидофора (Ламбрианиадиса). Все они, как утверждают авторы расследования, имеют отношение к обсуждению перспективы предоставления автокефалии УПЦ. По данным Secureworks, хакеры пытались взломать аккаунты священнослужителей на почтовом сервисе gmail.com. Любопытно, что атаке подвергся и пресс-секретарь Московского патриархата Александр Волков.

Среди других мишеней хакеров: Джон Джиллинойс, глава Православной церкви в Америке (текст фишингового письма, полученного им якобы от службы поддержки Google, можно увидеть здесь), духовное управление мусульман Украины “Умма”, Украинская греко-католическая церковь, Йосиф Зисельс, глава Ассоциации еврейских общин и организаций Украины, и несколько представителей протестантского духовенства в России.

Предоставленные Secureworks данные касаются попыток взломов, проведенных в 2015 и 2016 годах. Однако авторы расследования отмечают, что собранные материалы указывают на то, что атаки на Вселенский патриархат продолжаются и сейчас. В качестве примера в расследовании приводится текст электронного письма, которое пришло на несколько адресов православного духовенства 16 октября 2017 года от имени Никоса-Георгаса Папахристо – по данным NYT, к тому моменту только что назначенного официальным представителем Вселенского патриархата. К письму был приложен файл, якобы содержащий “некоторые предложения по выстраиванию связей с общественностью и прессой”. В действительности при открытии файла компьютер получателя заражался вирусом.

Авторы расследования отмечают, что настоящего отправителя этого зараженного письма не удалось установить ни Secureworks, ни другой компании, работающей в области информационной безопасности, – Crowdstrike. В расследовании также не объясняется, как именно Secureworks смогли атрибутировать другие хакерские атаки на адреса священнослужителей. Но за всеми ними, как утверждают авторы расследования, стояли хакеры из Fancy Bear.​

Группировке Fancy Bear приписывается ряд хакерских атак на государственные, военные и общественные организации в различных странах начиная с середины 2000-х годов. Среди них кибератака на Национальный комитет Демократической партии США в июне 2016 года, атака на Всемирное антидопинговое агентство WADA в том же 2016 году, попытки взломов информационных систем Белого дома, НАТО, Бундестага ФРГ, избирательного штаба нынешнего президента Франции Эммануэля Макрона, атаки на украинских политиков, журналистов и многие другие.

Название “Fancy Bear” придумал специалист по кибербезопасности и сооснователь фирмы CrowdStrike Дмитрий Альперович, эмигрировавший в США из России в 1994 году. Именно компания CrowdStrike в числе первых выступила с заявлением, что за хакерами из Fancy Bear стоят российские спецслужбы. Позже с тем, что хакеры из Fancy Bear могут быть связаны с Кремлем, согласились еще несколько западных компаний, занимающихся кибербезопасностью. В июле 2018 года Большое федеральное жюри присяжных США утвердило обвинение, связывающее некоторые атаки, приписываемые Fancy Bear, с военнослужащими воинских частей ГРУ номер 26165 и 74455 (расследование Радио Свобода установило, что такие части действительно входят в состав ГРУ и по роду деятельности могут быть связаны с информационными технологиями).

Офис компании Secureworks в американской Атланте
Офис компании Secureworks в американской Атланте

Одно из последних обвинений в адрес Fancy Bear прозвучало 20 августа, когда президент Microsoft Брэд Смит в сообщении официального блога заявил, что компания предотвратила попытку хакерской атаки на республиканские аналитические центры International Republican Institute и Hudson Institute.

Злоумышленники зарегистрировали набор интернет-доменов, отдаленно напоминающих официальные домены этих организаций (например, "my-iri.org" вместо "iri.org" и "hudsonorg-my-sharepoint.com" вместо "hudson.org"). Microsoft через суд добился перевода фальшивых доменов на себя. По мнению компании, их предполагалось использовать для получения логинов, паролей и других личных данных сотрудников аналитических центров, которые могли зайти на подставные сайты, спутав их с настоящими.

В записи блога президент Microsoft заявил, что атака готовилась хакерской группировкой Strontium, ”также известной, как Fancy Bear или ATP28”. Никаких данных о том, как компании удалось атрибутировать организаторов атаки, а также о том, что именно содержалось на сайтах с поддельными доменами до их перевода на Microsoft, в записи Брэда Смита нет. В ответ на запрос Радио Свобода пресс-служба Microsoft заявила, что компании нечего добавить к информации, содержащейся в записи в блоге. Заметная часть этого поста посвящена новому антивирусному продукту Microsoft, который “предоставит современную киберзащиту всем кандидатам и избирательным штабам на федеральном и местном уровне, а также аналитическим центрам и политическим организациям, которые, как мы уверены, являются сейчас мишенью для атаки” в преддверии так называемых “промежуточных выборов”, которые состоятся в США в ноябре 2018 года.

FACEBOOK КОММЕНТАРИИ:

В ДРУГИХ СМИ




Recommended

XS
SM
MD
LG