Издание Washing Post и киберкриминалисты компании CrowdStrike сообщают, что группа так называемых «правительственных хакеров», известная под названиями Fancy Bear, Sofacy, APT28, Sednit, Pawn Storm или Strontium, взломала серверы Национального комитета Демократической партии США (Democratic National Committee, DNC). Якобы злоумышленники сумели получить доступ к множеству конфиденциальных данных, в числе которых была и информация о главном конкуренте демократов: кандидате в президенты США от республиканской партии Дональде Трампе.
Специалисты полагают, что группа APT28 работает в тесном контакте с ГРУ. Данной группировке приписывают атаки на военные базы НАТО, польское правительство, правительство США, германский Бундестаг, французский телеканал TV5 и так далее.
Исследователи CrowdStrike, которые занимаются расследованием случившегося, пишут, что хакеры проникли в сеть DNC еще в апреле 2016 года и использовали малварь X-Agent. По данным экспертов, внедрение вредоноса позволило злоумышленникам удаленно выполнять произвольные команды на зараженных машинах, похищать файлы и перехватывать нажатия клавиш. Благодаря использованию утилиты X-Tunnel, хакеры создали защищенное соединение со своими управляющими серверами, при помощи которого и передавались все данные.
Изданию Washing Post киберкриминалисты рассказали, что помимо прочего APT28 похитили документы, в которых содержалось аналитическое досье на Дональда Трампа. Судя по всему, демократы проводили глубокое исследование бекграунда конкурента, и взломщики украли собранный ими компромат.
В ходе расследования специалисты CrowdStrike выявили в сети Национального комитета Демократической партии присутствие еще одной группы хакеров. Исследователи утверждают, что это тоже российская «правительственная группировка», известная как Cozy Bear, СozyDuke или APT29. Данная группа якобы работает с ФСБ и ранее была замечена в атаках на почтовую систему Белого дома США, Министерство иностранных дел США и Объединенный комитет начальников штабов.
Исследователи считают, что APT29 скомпрометировала серверы DNC еще летом 2015 года и использовала малварь SeaDaddy, тоже получив возможность удаленно выполнять произвольные команды на зараженных машинах. Хакеры похищали учетные данные при помощи малвари Mimikatz, и им удалось получить доступ к письмам сотрудников DNC и их приватным чатам.
При этом эксперты уверены, что группировки действовали порознь. Каждая из хакерских команд внедрилась в сеть самостоятельно и выполняла собственные задачи.
«Работа любой иностранной разведки заключается в сборе данных об их потенциальном противнике», — говорит Шон Генри (Shawn Henry), глава CrowdStrike. — «Для России мы является таким противником. Их работа — это просыпаться каждое утро и собирать информацию о политиках, практиках и стратегиях правительства США. Это можно делать разными способами. [Хакинг] является одним из наиболее полезных способов, так как он позволяет собрать просто кладезь данных».
Reuters сообщает, что пресс-секретарь президента РФ Дмитрий Песков опровергает заявления Washing Post и CrowdStrike. Он уверяет, что российские власти непричастны к взлому базы данных Национального комитета:
«Я полностью исключаю возможность того, что правительство или правительственные органы были связаны с этим».
Фото: SCYTHER5, iStock
