Xakep #305. Многошаговые SQL-инъекции
В конце июля 2018 года вице-президент Microsoft, Том Берт (Tom Burt) выступил на мероприятии Aspen Security Forum, где рассказал о том, что в текущем году специалисты компании обнаружили и помогли властям США предотвратить атаки, направленные как минимум против трех кандидатов в Конгресс. Ответственность за эти атаки, предположительно, лежит на российских «правительственных хакерах».
Дело в том, что осенью 2018 года в США пройдут так называемые «промежуточные выборы» — это выборы в Сенат и Палату представителей, а также губернаторские выборы в ряде штатов.
Теперь, спустя месяц, представители Microsoft заявили, что раскрыли еще одну попытку вмешательства в грядущие выборы. На этот раз компании удалось обнаружить готовящуюся фишинговую кампанию, за которой якобы стояли работающие на ГРУ хакеры из группировки APT28, также известной под названиями Fancy Bear, Pawn Storm, Strontium, Sofacy, Sednit и Tsar Team.
Президент Microsoft Брэд Смит (Brad Smith) сообщил, что сотрудники Digital Crimes Unit выполнили предписание суда и перехватили управление шестью доменами, созданными группировкой:
- my-iri.org;
- hudsonorg-my-sharepoint.com;
- senate.group;
- adfs-senate.services;
- adfs-senate.email;
- office365-onedrive.com.
Первый и второй домены пытаются имитировать настоящие домены Международного республиканского института и Института Хадсона. Еще три домена — это попытка подделать различные ресурсы, связанные с ИТ-инфраструктурой Сената. Предполагается, что все они должны были стать частью узконаправленных фишингововых кампаний, хотя конкретные цели хакеров идентифицировать не удалось, и злоумышленники так и не успели воспользоваться доменами по назначению.
Смит сообщает, что за последние два года Microsoft «закрыла» уже 84 домена, так или иначе связанных с APT28 и фальшивыми сайтами, создаваемыми группой.
Нужно отметить, что каких-либо доказательств и технических подробностей заявление Microsoft не содержит. Специалисты ограничиваются общими словами о том, что схема действий хакеров зеркально повторяет паттерны, которые ранее наблюдались во время атак на президентские выборы в США в 2016 году и прошлогодние президентские выборы во Франции.
Обвинения Microsoft уже прокомментировали представители МИД РФ и пресс-секретарь президента РФ Дмитрий Песков.
«Мы не знаем, о каких хакерах говорится [в заявлении компании], в чем заключается влияние на выборы, — заявил Песков. — Из Америки мы слышим подтверждения о том, что никакого влияния на выборы не было.
О ком именно идет речь? Что является доказательствами и на основании чего делаются выводы вот такой категории - мы не понимаем. Такие данные отсутствуют. Соответственно мы к таким утверждениям и относимся».
«Жаль, что крупной международной компании, к тому же давно, активно и успешно работающей на российском рынке, приходится участвовать в захватившей Вашингтон охоте на ведьм,— говорится в сообщении Министерства иностранных дел. — Это их выбор. Нам же придется сделать необходимые выводы».