США
Министерство финансов США объявило наложении санкций на ФГУП «Центральный научно-исследовательский институт химии и механики» (ЦНИИХМ), так как российский исследовательский институт подозревают в связи с разработкой малвари Triton, предназначенной для атак на промышленное оборудование.
Напомню, что в 2018 году эксперты компания FireEye опубликовали детальный отчет, рассказывающий о Triton (он же Trisis или HatMan), который атаковал объекты критической инфраструктуры, включая саудовское предприятие нефтехимического профиля, принадлежащее компании Tasnee (по данным СМИ).
Впервые Triton был обнаружен в конце 2017 года. Тогда сообщалось, что малварь используется для атак на контроллеры систем инструментальной безопасности Triconex (Triconex Safety Instrumented System, SIS) производства Schneider Electric. Эти решения нужны для мониторинга различных процессов на фабриках, предприятиях и так далее, и безопасного восстановления или завершения работы оборудования в случае возникновения каких-либо сбоев и потенциально опасных ситуаций.
Аналитики компаний FireEye, Dragos и Symantec писали, что Triton используется для фактических атак, однако не раскрывали названия пострадавших организаций и стран, где те базируются. При этом аналитики FireEye были стойко убеждены, что за созданием Triton стоят хорошо финансируемые «правительственные хакеры», обладающие всеми необходимыми ресурсами для проведения подобных атак. А в 2018 году в FireEye пришли к выводу, что московский ЦНИИХМ имеет какое-то отношение к этим атакам.
Заявление Министертсва финансов гласит, что с тех пор малварь не раз применялась против других компаний. Кроме того, хак-группа, стоящая за этим вредоносным ПО (известная под названиями TEMP.Veles или Xenotime), якобы была замечена за «сканированием и изучением по меньшей мере 20 электроэнергетических компаний в Соединенных Штатах на предмет уязвимостей».
Наложенные теперь санкции запрещают американским компаниям каким-либо образом сотрудничать с ЦНИИХМ, а также направлены на конфискацию любых активов института, размещенных в США.
ЕС
Евросоюз, в свою очередь, ввел новые санкции против России в связи со взломом систем немецкого парламента (Бундестага), произошедшем 2015 года.
Напомню, что весной текущего года немецкая прокуратура выдала ордер на арест 29-летнего россиянина Дмитрия Сергеевича Бадина, которого обвинили в этой атаке. Немецкие правоохранители считают, что Бадин является офицером ГРУ, а также участником «правительственной» хак-группы ATP28 (она же Fancy Bear, Sofacy, Strontium, Grizzly Steppe и так далее), где он занимался кибершпионажем.
Тогда местные СМИ писали, что в период с апреля по май 2015 года APT28 проникла во внутреннюю сеть Бундестага. Для компрометации хакеры использовали фишинговые письма, якобы направленные о лица ООН, чтобы обманом вынудить сотрудников парламента открыть вредоносный файл, якобы повествовавший о том, что участие России в украинском конфликте повергло экономику страны в хаос. Этот документ заразил компьютеры сотрудников Бундестага малварью, что позволило злоумышленникам проникнуть в сеть парламента, насчитывающую более 5600 машин, включая административные системы.
Ссылаясь на неназванные источники, немецкая газета Sueddeutsche Zeitung сообщала, что власти Германии сумели связать инструменты и малварь, использованные в этой атаке, лично с Дмитрием Бадиным, тогда состоявшим в рядах APT28.
Интересно, что ранее власти США связывали уже связывали Бадина и еще 11 предполагаемых офицеров ГРУ с атаками 2016-2018 годов на Национальный комитет Демократической партии США, Комитет по выборам в конгресс Демократической партии США, отдельных членов предвыборного штаба Хилари Клинтон, ВАДА и так далее. Из-за этого Бадин входит в список самых разыскиваемых ФБР киберпреступников.
Теперь власти ЕС наложили санкции не только на Дмитрия Бадина, но и еще и на Игоря Костюкова — нынешнего главу ГУ Генштаба. Официальные лица ЕС заявили, что Костюков руководит 85-м Главным центром специальных служб ГРУ, а также известным подразделение 26165, которое, по сути, и является хак-группой APT28.
«Эта кибератака была нацелена на информационную систему парламента и несколько дней влияла на ее работу. Был украден значительный объем данных, затронуты почтовые ящики нескольких политиков, а также канцлера Ангелы Меркель», — заявили в ЕС.
Фигурантам санкционного списка запретили въезд на территорию Евросоюза и Великобритании, а их активы в этих странах заморозили.