Хакерите, ударили българските избори, вероятно са атакували и Клинтън

Руската група за кибершпионаж Fancy Bear/Sofacy е един от главните заподозряни за пробива в компютрите на американската Демократическа партия

Едната от двете руски хакерски групи, обвинени за пробива в компютрите на Демократическата партия на САЩ и предизборния щаб на кандидат-президента Хилъри Клинтън, е основен заподозрян и за кибератаката срещу българската държавна комуникационна инфраструктура по време на местните избори у нас миналата есен. Става дума за организацията Fancy Bear, известна още с имената Sofacy, APT28, Pawn Storm, Strontium и Sednit. Данни за участието й са изнесени пред представители на политическите сили от контрараузнаването по време на Консултативния съвет по национална сигурност (КСНС) на 10 ноември миналата година.

По информация на "Капитал" разработката за Fancy Bear е предоставена на страната ни преди миналогодишното заседание на КСНС от партньорска спецслужба. За групата се твърди, че работи по поръчка на руските официални власти. След атаката срещу щаба на Клинтън Fancy Bear директно бяха обвинени, че са структура на руското военно разузнаване ГРУ. Това, разбира се, е недоказуемо твърдение, но групата има интересен подбор на цели.

По време местните избори в България миналата година и през седмицата след това хакери, най-вероятно принадлежащи към Fancy Bear, извършиха масирана кибератака от типа "разпределен отказ от услуга" или Distributed Denial of Service (DdoS), която задръсти българския интернет с огромни количества паразитен трафик. Основна цел бяха информационните системи на Централната избирателна комисия (ЦИК), на служба ГРАО, на МВР и на външно министерство, които временно бяха извадени от строя.

Вчера пък излезе нов доклад на фирмата за онлайн-сигурност ThreadConnect, който също потвърждава първоначалните подозрения, че Fancy Bear е замесена в атаката срещу американската Демократическа партия и щаба на Клинтън. Освен нея, в кибератаката също така е участвала още една хакерска група, наречена Cozy Bear. За нея пък се твърди, че работи за руското външно разузнаване ФСБ. Данните за кибероперацията се потвърждават от независими доклади на още три фирми за онлайн-сигурност - CrowdStrike, Mandiant и Fidelis. В момента разследването по случая е възложено на ФБР.

Интересното в случая е, че според проверяващите органи Fancy Bear и Cozy Bear са действали независимо една от друга. Понякога активностите на двете хакерски групи дори са се припокривали. Независимо от това действията в компютрите на Демократическата партия са останали незабелязани в продължение на месеци – хакерите от Fancy Bear са успели да проникнат в системата през април, а на Cozy Bear – през миналото лято. Действията на двете групи са локализирани и неутрализирани едва миналия месец.

Веднага след като информацията за пробива в компютрите на Демократическата партия стана публично известна, а фримите за киберсигурност насочиха подозренията си към Русия, отговорност за онлайн-атаката пое хакер с прякор Guccifer 2.0. Той твърди, че действа независимо, че няма връзка с руските служби за сигурност и че е румънец. При опит на онлайн-медиата Vice да се свърже с него на майчиния му език обаче хакерът връща отговор, пълен с елементарни грешки. Специалистите на ThreadConnect пък са проследили активностите на въпросния онлайн-потребител до руска услуга за криптирана VPN-комуникация.

Мечки в българския интернет

Групата Fancy Bear би трябвало да е особен интерес за българските правоохранителни органи, тъй като действията й на българска земя датират далеч преди кибератаката срещу местните избори. Според доклад на фирмата за онлайн-сигурност Bitdefender хакерската група е имала инсталирани ботове на български машини, с които е сканирала милиони мрежови устройства за потенциални онлайн-уязвимости. Това се случва в периода 10-14 февруари 2015 г., когато се провеждат мирните преговори в Минск по повод конфликта в Източна Украйна. А голямата част от сканираните машини съвсем случайно се оказват... украински.

Иначе първите данни за действия на Fancy Bear/Sofacy са от 2007 г., а най-известните й операции са срещу Белия дом, НАТО, германския парламент, бившата "частна армия" Blackwater (в момента преименувана на Academi) и френската телевизионна мрежа TV5Monde.

Според доклад на компанията за мрежова сигурност FireEye въпросната група, за разлика от китайските хакери, не се занимава с кражба на интелектуална собственост или пък с източване на финансови данни и банкови сметки. За сметка на това събира информация от разузнавателно, отбранително и геополитическо естество. Групата използва основно три вектора на атака, за да разпространява своя шпионски софтуер: фишинг писма с прикачени файлове, клонинги на популярни сайтове и пробиви в сигурността на Java и Flash. Според специалистите по компютърна сигурност от 2007 г. насам Fancy Bear/Sofacy систематично е подобрявала версиите на своите вредителски софтуери (malware), като повече от половината от тях съдържат елементи на руски език. Също така около 89% от засечените хакерски продукти на групата са компилирани в рамките на стандартното работно време в часовата зона, в която се намират Москва и Санкт Петербург.