Приблизно місяць тому українська кіберкоманда CERT-UA опублікувала повідомлення про масову розсилку фішингових листів, в яких містилися посилання на завантаження шкідливих файлів. Детальний аналіз кібератаки надав всі підстави вважати, що вона була проведена на замовлення спецслужб північного сусіда, найбільш вірогідно — хакерами з групи Fancy Bear, яка, за всіма ознаками, працює на російську владу. Та як виявилося, це далеко не перша цільова кібератака з боку РФ. Історія почалася як мінімум на 3 роки раніше, коли близько півтисячі українських діячів протягом року «бомбардували» електронними листами, що містили шкідливі посилання.

Звідки про це відомо

Детальна інформація про цілі, атаковані хакерською групою Fancy Bear, надійшла від компанії Secureworks, дочірнього підприємства Dell Technologies, яке спеціалізується на кібербезпеці. Всього з березня 2015 року по травень 2016 року було атаковано 4705 електронних адрес. Хакери надсилали на вказані електронні скриньки фішингові листи або ж листи, які містили заражені файли.

Дані про такі кібератаки Secureworks передав міжнародному інформаційному агентству Associated Press, де їх аналізом зайнявся журналіст Рафаель Саттер (Raphael Satter). Він проаналізував увесь перелік і виявив серед них щонайменше 554 українських адресата. У межах цієї групи 213 цілей — журналісти, активісти та інші діячі громадянського суспільства, 159 — державні діячі (державні службовці, дипломати та депутати), ще 75 — військовослужбовці (військові аташе, старші офіцери чи добровольці). Решта — працює у приватних бізнес-структурах, або ж їх не можна легко класифікувати в той чи інший спосіб.

Рафаель Саттер спробував зв’язатися з усіма жертвами атаки російських хакерів, щоб отримати додаткову інформацію. Так, він розіслав на українські поштові скриньки з вищезгаданого переліку лист наступного змісту:

«Мене звати Рафаель Саттер. Я – журналіст міжнародного інформаційного агентства Associated Press. Я пишу Вам, щоб повідомити, що Ваша електронна адреса наразилася на кібератаку хакерської групи, відомої під назвою Fancy Bear. Дані, які отримали я та мої колеги від компанії Secureworks, свідчать про те, що ці хакери намагалися проникнути до Вашої поштової скриньки в період з березня 2015 року до травня 2016 року. Діяльність Fancy Bear дуже співпадає з інтересами російської влади. Якщо Ви відповісте на цей лист, ми зможемо надати деталі того, як це угрупування намагалося вкрасти Ваші повідомлення».

Кого саме атакували

Аналіз обраних цілей говорить про те, що хакери атакували зовсім не випадкових людей. Майже всі вони займалися певною політичною чи суспільною діяльністю. Так, нам вдалося зв’язатися з трьома жертвами вищезгаданих кібератак — Анатолієм Дробахою, Олександром Чендековим і Анатолієм Пінчуком — та детально вияснити, як відбувалась атака.

Анатолій Дробаха приймав участь у мінімум 4 волонтерських проектах. Перший стосувався організації школи пілотів і розробки дронів-розвідників, які в перші роки АТО доволі успішно використовувалися Національною гвардією України.

Гвардійці, випускники школи пілотів, здають екзамен

Презентація програми школи колишньому командувачу військ НАТО в Європі Уеслі Кларку

Крім того, він брав участь в поїздці українських політиків та активістів в США в 2014 році з метою донести до представників американського уряду реальну інформацію про збройну агресію РФ в Україні.

Також він був керівником проекту по постачанню для українського Уряду, спецслужб та ЗСУ засобів секретного зв’язку — спеціалізованих телефонів з шифруванням трафіку.

«Зірка» світової криптографії Філ Зімерман передає криптотелефони для використання українським урядом

Це одним волонтерським проектом з медичного забезпечння ЗСУ, в якому брав активну участь А. Дробаха, було створення у 2014 році медичної інформаційної системи «е-Здоров’я».

За даними Secureworks, Анатолій Дробаха отримав щонайменше 8 фішингових листів в період з 16 березня 2015 року по 18 листопада того ж року. Листи маскувались під повідомлення системи безпеки Google, а при спробі реєстрації, паролі мали пересилатися до центру збору інформації на підставному сервері http://bit.ly. Втім російські хакери не змогли досягти успіху під час тих атак, тож використали інші засоби.

Олександр Чендеков, технічний директор Ukrspecsystems, відзначає, що атака на його поштову скриньку проводилася наприкінці лютого-початку березня 2015 року. На той час він вже півроку працював у кількох волонтерських проектах, пов'язаних з безпілотними літальними апаратами. Одного разу Олександр отримав листа, дуже схожого на сповіщення від сервісу Gmail, де в нього є поштова скринька. В листі містилася інформація про те, що нібито тільки що було здійснено спробу отримати доступ до скриньки з закордонної IP-адреси і тому треба терміново змінити пароль до облікового запису Google. «На щастя я мав досвід роботи у сфері інформаційної безпеки і відразу запідозрив, що то фішингова атака. Спочатку був деякий сумнів, але коли листи схожого характеру почали надходити знову, я остаточно зрозумів, що це фішинг. Я спробував самостійно з'ясувати, хто ж здійснює таку атаку, але моїх знань і вільного часу не вистачило, щоб знайти хоч одну зачіпку, яка вказала б на джерело. На той час я вже завершував участь у волонтерському проекті з побудови серії безпілотних літальних апаратів для сил АТО, який фінансував Анатолій Дробаха. І дуже схоже, що моя поштова скринька була атакована саме через участь у тому проекті. Широкого розголосу про можливі кібератаки з боку РФ на той момент не було, тому я навіть не знав, куди варто звернутися зі скаргою на ті кібератаки. Та раптом вже на початку 2018 року мені подзвонила людина з іноземного номеру і перепитала, чи маю я таку-то поштову скриньку. Це була саме моя email-адреса. Як виявилося, дзвонив журналіст з Associated Press, що досліджував кібератаку».

Комплекс БПЛА приймає замовник — перша бригада НГУ

Пілоти проекту БПЛА на польових заняттях на базі НГУ в Нових Петрівцях

На думку Олександра Чендекова, рівень обізнаності українських військових в галузі ІТ на той момент не дозволив би їм виявити цю атаку, тому, скоріш за все, вона стала вельми результативною для зловмисників. Єдиним компенсуючим фактором може бути те, що наші військові дуже мало використовують електроні засоби комунікації, і в цих каналах не так багато дійсно критичної інформації.

Анатолій Пінчук, президент ВГО «Українська стратегія», також займався волонтерськими проектами в безпековій сфері, зокрема питаннями військової допомоги з боку США.

Зустріч україньских волонтерів та представників уряду США у Вашингтоні

Він відзначив, що певні кібератаки на його поштову скриньку відбуваються постійно (фактично кожного місяця приходять листи з підозрілими вкладеними файлами чи веб-посиланнями). Але в 2015 році атака була вельми незвичайна, оскільки відбувалась через захоплення контролю над IP-адресою (що неможливо лише програмними засобами, без використання спеціального обладнання). Коли зловмисники спробували зайти на його поштову скриньку Gmail, Анатолій отримав відповідне попередження на смартфон. Він негайно зробив спробу поміняти пароль скриньки з комп’ютера — та доступ було заблоковано. Тоді він спробував поміняти пароль зі смартфону — також без результату. І тільки коли Анатолій відключив домашню Wi-Fi-мережу та зайшов на сайт Gmail зі смартфона через мобільний інтернет, то таки зміг змінити пароль. Як потім виявилося, мала місце спроба викрасти інформацію з його поштової скриньки. І якби не запобіжний захід з боку сервісу Google, який повідомив про всі підозрілі дії з поштою, то все могло б закінчитися набагато гірше. Анатолій пов’язує цю кібератаку зі своєю волонтерською діяльністю.

Не тільки в Україні

Російський телеведучий Павло Лобков перебував у студії, готуючись до свого шоу, коли на його телефон надійшло дуже неприємне повідомлення: деякі з його найбільш конфіденціальних листів щойно були опубліковані в інтернеті. Пізніше розслідування Associated Press встановило, що Лобков був атакований хакерською групою Fancy Bear у березні 2015 року, за дев'ять місяців до того, як його повідомлення просочилися в інтернет. Він був одним з принаймні 200 журналістів, видавців і блогерів, поцілених хакерами з середини 2014 року і до недавнього часу.

Попередні звіти Associated Press показали, що Fancy Bear використовували фішингові електронні листи, щоб скомпрометувати лідерів російської опозиції, українських політиків та американських розвідників, а також керівника виборчої кампанії Хілларі Клінтон Джона Подеста та більш ніж 130 інших членів Демократичної партії.

Крім того, як виявилося, російські кібершпигуни намагалися викрасти промислові секрети військових дронів та інших важливих американських оборонних технологій. За допомогою фішинга вони отримали доступ до електронних скриньок десятків людей, які працюють над розробкою супертехнологічного військового дрону.

Непомітна війна

За чотири роки ми звикли, що війна іде на сході, з вибухами та пострілами. Але є також інша непомітна на перший погляд війна — у кіберпросторі. Тут ніхто не стріляє, але кінцеві підсумки також можуть бути дуже болючими. Російські хакери проводять приховані спецоперації в тилу, проти волонтерів, журналістів та політичних діячів. І можна з впевненістю сказати, що подібні атаки будуть продовжуватися і далі. Ворог жорсткий та досвідчений. Він воює гібридною зброєю — фейковими новинами, хакерськами атаками, викраденням данних, а не тільки кулями та снарядами.