Експерти Google в ході конференції з кібербезпеки представили результати свого дослідження хакерських атак електронної пошти штабу Еммануеля Макрона, повідомляє Le Monde. Експерти прийшли до висновку, що займалися зломом дві військові частини ГРУ. З ними згодні експерти компанії FireEye.
І Google, і Fire Eye сходяться в тому, що перша атака була проведена на початку березня 2017 року, за кілька тижнів до першого туру президентських виборів у Франції. Перша група хакерів, відома як Fancy Bear / APT28 / Pawn Storm. Хакери розіслали фішингові е-мейли, які перенаправляли користувачів на сайти — підробки під сайт партії «Вперед, Республіка», щоб вкрасти паролі.
Згідно експертам Google, деякі з жертв Fancy Bear/ APT28 попалися на фішингові мейли, однак цього замовникам здалося недостатнім. У результаті в середині квітня за справу взялася нова група хакерів, відома як Sandworm. З ними згодні і в Fire Eye, зв’язавши цю групу з російською державою. Колишній співробітник Fire Eye Майкл Мэтонис заявив Le Monde, що цю групу використовують, коли час особливо підтискає. Sandworm використовували фішинг і заражені вірусами е-мейли і успішно зламали свої цілі, в результаті чого е-мейли і з’явилися в інтернеті 5 травня, всього лише за два дні до виборів, заявили експерти Google. Щоб підловити співробітників партії «Вперед, республіка» їм, зокрема, розіслали е-мейл з компроматом на конкурентів — копією статті Le Monde про російському фінансування «Національного Фронту», ось тільки ця програма містила вірус.
Спочатку зламана пошта з’явилася на маловідомому сайті, на який — дивовижна оперативність — відразу ж дав посилання Wikileaks (пізніше сайт скопіював мейли і зробив пошук). Російські телеканали в режимі нон-стоп звітували про нібито знайдений в е-мейлах офшорному рахунку Макрона. На цей же офшорний рахунок натякнула суперниця Макрона Марін Ле Пен в ході вирішальних передвиборних дебатах (напередодні публікації е-мэйлов). Ось тільки він виявився підробкою, використала несправжню підпис Макрона.
Ще в травні 2017 року The Insider вдалося встановити , що за Fancy Bear стоять діючі співробітники ГРУ з військової частини №26165. А через рік, у липні 2018 року, Мін’юст США опублікував офіційне звинувачення на адресу 12 співробітників ГРУ з тієї ж військової у зв’язку зі зломом серверів Демократичної партії США. Також Мін’юст висунув звинувачення і на адресу декількох співробітників військової частини №74455. На думку деяких експертів співробітники цій другій частині вони представляють угруповання Sandworm.
Серед інших цілей цього угруповання хакерів з ГРУ були Білий дім (і ряд інших цілей у США), МЗС Чехії, Польщі, Німеччини, Італії, Латвії, Естонії, України, Норвегії, Нідерландів та інших країн, Міноборони Данії, Італії та Німеччини, Бундестаг, НАТО, ОБСЄ, МОК, WADA, JIT, ряд редакцій іноземних ЗМІ (в тому числі і TV5Monde Аль-Джазіра). Ця ж група хакерів атакувала десятки російських опозиціонерів і членів НКО і журналістів (у тому числі і співробітників The Insider, що незалежно один від одного підтвердили чотири компанії в області інформаційної безпеки).
Якщо Fancy Bear в основному займалися зломом пошти, то Sandworm спеціалізується на кібератаки проти військових та інфраструктурних об’єктів. Так, наприклад, їм вдавалося кілька разів успішно атакувати українські та грузинські енергомережі, відключаючи електрика в цілих містах. Так само Sandworm стояв за руйнівною на сьогоднішній день вірусом NotPetya, який вражав корпоративні мережі. Спочатку він був спрямований проти України, але в підсумку вразив і багато мережі за її межами, в тому числі і в Росії — серед постраждалих компаній виявилися Роснефть”, Ощадбанк, Інвітро і Євраз. Сумарний збиток від вірусу по всьому світу склав близько $10 млрд. Серед постраждалих об’єкти били і корпоративні мережі медичних клінік, що поставило під загрозу життя багатьох людей.