Малколм Нэнс - Заговор с целью взлома Америки

Атака TV5 Monde, также известная как The Cyber Caliphate False Flag # 2

Вечером 9 апреля 2015 года в 22:00 французский телеканал TV5 Monde подвергся кибератаке, в результате которой его трансляция была приостановлена, поскольку хакеры проникли в их внутренние системы и профили в социальных сетях. Сначала произошел сбой веб-сайта, затем перестали поступать электронные письма48. Хелен Земмур, директор по цифровым технологиям станции, сказала, что все произошло «синхронно». CNN сообщил: «Вскоре после начала атаки наша внутренняя компьютерная система вышла из строя, и за ней последовали другие программы».

Кибер-халифат переименовал испорченные страницы с пометкой «Je Suis ISIS», напоминая протестующий митинг сторонников Charlie Hebdo «Je Suis Charlie». Однако поддельный веб-сайт Cyber Caliphate на самом деле находился на сервере с IP-адресом APT28. Охранные фирмы уловили это, и начал формироваться консенсус, согласно которому нападение было совершено субъектом национального государства. Из-за сочетания заметного сходства с APT28 Cyber Caliphate был исключен как злоумышленник. Угроза была вне возможностей подражателей хакеров ИГИЛ.

Говоря более практическим языком, Вассим Наср на France24 заметил, что арабский язык утверждений едва ли соответствует настоящему арабскому. На France 24 он указал на неправильное использование языка в нескольких областях, в частности в фразах бисмиллах, распространенных в ИГИЛ, где «и» использовалось в манере, которую не использовал бы ни один арабский говорящий49. Скорее всего, они пришли из Google Translate. Неумышленные группы, связанные с ИГИЛ, по-прежнему взяли на себя ответственность за атаку, а их фанаты приписывают ее кибер-халифатской армии.

К следующему обеду канал и аккаунты в социальных сетях были восстановлены. Директор TV5 Ив Биго сказал, что безопасность недавно была проверена. Один ведущий CNN даже сказал: «Терроризм снова нацелен на свободу слова».

Никто не застрахован

20 мая 2015 года APT28 попал в Бундестаг Германии и начал кражу данных с серверов после запуска вредоносной программы Sofacy в своих системах. После атаки директор Бундестага Хорст Рисс посоветовал другим сотрудникам не открывать файлы или ссылки по электронной почте50. В августе 2015 года APT28 начал целенаправленный фишинг в EFF, Electronic Frontier Foundation. Группа попыталась использовать электронную почту для привлечения целей на поддельный сайт «electronicfrontierfoundation.org». Официальный сайт EFF находится по адресу «eff.org». Oracle установила нулевой день в Java.51

21 июля 2016 г., накануне Олимпийских игр в Рио-де-Жанейро, Всемирное антидопинговое агентство или ВАДА рекомендовало запретить всем российским спортсменам участвовать в Олимпийских играх 2016 г.52. ВАДА полагало, что на национальном уровне предпринимались систематические усилия по использовать и скрывать от агентства незаконные допинговые агенты. ВАДА пришло к компромиссу с олимпийской сборной России, в котором могли участвовать 70% российских спортсменов, а 110 - нет. Хотя казалось, что вопрос был решен, CYBER BEARS загрузили в WADA масштабную кампанию целевого фишинга FANCY BEAR.

15 августа 2016 года заинтересованные стороны в ВАДА были уведомлены о кампании по электронной почте, нацеленной на фишинг участников, заставляя их переходить по поддельным веб-сайтам, которые выглядели как официальные порталы ВАДА. Домены водопоя были недавно приобретены 8 августа 2016 года вместе с дополнительными доменами, не использовавшимися в забастовках, но, возможно, предназначенными для будущих целей. Домены были зарегистрированы на пользователей, как если бы они находились в Риве, Латвия. URL-адреса были «wada-awa.org» и «wada-arna.org», которые не были связаны с организацией.

FireEye и ThreatConnect53 связали APT28 с атакой WADA54. Однако, как и в случае с взломами DNC, TV5Monde и Варшавской фондовой биржи, на эту атаку внезапно претендовал кто-то другой. В данном случае претензия исходила из учетной записи Twitter под названием «Анонимная Польша» и под ником @anpoland. Как и Guccifer 2.0, этот новый канал в Твиттере не имел предыстории, что позволяет предположить, что это была марионетка, созданная специально для операции.

Целью нападения была спортсменка Юлия Степанова, чья электронная почта была взломана после того, как она выступила в качестве информатора о российском допинговом скандале. Она лично вызвала гнев Путина, который называл ее «Иудой». Неудивительно, что российские власти захотели отомстить, поскольку они давно проявляют государственную заинтересованность в успехах своих спортсменов, даже если они запрещены или спорными методами. Григорий Родченков был директором антидопинговой лаборатории, которая помогала российским спортсменам обманывать средства контроля ВАДА. Родченков утверждает, что сотруднику российской разведки было поручено наблюдать за его лабораторией, чтобы выяснить, что случилось с образцами мочи спортсмена55.

Многие другие российские взломы также нанесли ущерб правительственным, дипломатическим и гражданским веб-сайтам в Соединенных Штатах. В декабре 2014 года российские хакеры взломали аккаунт известного военного корреспондента США. В результате злоумышленники взяли контактную информацию из этого взлома и атаковали еще пятьдесят пять сотрудников крупной американской газеты56. В январе 2015 года три популярных блогера YouTube взяли интервью у президента Барака Обамы в Белом доме. Четыре дня спустя они стали жертвами фишинг-атаки Gmail.

Кампания Office Monkeys

В октябре 2014 года некоторые сотрудники Белого дома получили электронное письмо с видео-вложением zip-файла с исполняемым файлом. «Office Monkeys» - так было название, и в нем был не только видеоклип с изображением шимпанзе в костюме и галстуке, но и набор инструментов CozyDuke от APT29, оснащенный для открытия эксплойтов, необходимых для получения нужных данных.

Атака на Белый дом произошла в результате аналогичной бреши в Государственном департаменте всего за несколько недель до этого. В этом случае сотрудник щелкнул фальшивую ссылку в электронном письме, относящемся к «административным вопросам» 57. Полученные в результате данные, полученные в Государственном департаменте, позволили злоумышленникам наметить подход к векторам атак на Белый дом. Взлом Белого дома привел к компрометации несекретной, но, возможно, конфиденциальной информации, включая электронные письма с расписанием президента Барака Обамы58.

CYBER BEARS также провели целевую фишинговую кампанию против Объединенного комитета начальников штабов США, направленную против объединенного штаба вооруженных сил США. Вредоносная программа входа была замаскирована под электронные письма коллег. В результате взлома система была отключена на десять дней, в течение которых четыре тысячи сотрудников не работали.