Россияне, взломавшие НКДП, используют сфабрикованные новости, чтобы атаковать США

Несколько российских хакеров, обвиняемых во взломе систем НКДП, используют дезинформационные новостные материалы, чтобы проникнуть в системы ни о чем не подозревающих людей


Дезинформационные новостные материалы гораздо опаснее, чем вы можете себе представить. Сфабрикованные новостные репортажи используются не только в пропагандистских целях, чтобы повлиять на мнение доверчивых людей. Несколько российских хакеров, обвиняемых во взломе систем национального комитета Демократической партии, превращают сфабрикованные новости в оружие: они вставляют вредоносные программы в фальшивые новостные статьи, чтобы проникнуть в системы ничего не подозревающих людей.

В течение целого десятилетия различные хакерские группировки, которых обвиняют в работе на российское правительство, использовали сфабрикованные новостные материалы в рамках кибершпионских кампаний, направленных против американского правительства, правоохранительных органов и чиновников военных ведомств - не говоря уже об аналитических центрах, военных подрядчиках и университетах. Об этом свидетельствуют более десятка докладов и предупреждений, подготовленных Министерством внутренней безопасности, ФБР и другими федеральными агентствами за последние три года. Частные компании, работающие в области кибербезопасности, проводили свои собственные исследования и пришли к такому же выводу.

"Киберпротивники из России, Китая и множества других стран уже много лет используют подлинные и сфабрикованные новостные материалы в качестве основанной на социальной психологии приманки (заголовки, вложения и ссылки), потому что новости/фальшивые новости являются эффективным способом заставить жертву клюнуть на приманку и открыть злоумышленникам доступ к своей системе", - написал в своем электронном письме Джеймс Скотт (James Scott), старший научный сотрудник Института технологий ключевой инфраструктуры (Institute for Critical Infrastructure Technology).

"Новости или сфабрикованные новости являются эффективной приманкой, потому что жертвы испытывают сильное желание открыть электронное письмо или пройти по ссылке, чтобы получить дополнительную информацию".

Контекст
Телеканал Fox News
Консерваторы целятся в мейнстрим

The New York Times, 
27.12.2016
Трамп оценил возможности телевидения

Die Zeit, 
28.11.2016
Россия "помогала" распространять фейковые новости о выборах в США

The Washington Post, 
25.11.2016
Послание борцам с дезинформацией

Parlamentní listy, 
26.12.2016
Спустя несколько часов после того, как Дональд Трамп стал избранным президентом США, хакеры начали кампанию, направленную против сторонников обоих лагерей. Эти хакеры, которые, по некоторым данным, связаны с российским правительством, использовали сфабрикованные новости, рассылаемые с адресов Gmail и с взломанных электронных почтовых ящиков факультета гуманитарных и естественных наук Гарварда, о чем сообщила компания Veloxity. В двух из этих писем значилось, что они были отправлены Фондом Клинтонов. В других письмах содержались ссылки на efax или PDF-вложения, в которых были новостные статьи на следующие темы:

• "Результаты голосования могут быть пересмотрены [факты мошенничества на выборах]"
• "Шокирующая правда о мошенничестве на выборах"
• "Почему американская избирательная система несовершенна"
• "Важная информация о Фонде Клинтонов"

Эта группа хакеров - ее называют The Dukes, APT29 или CozyBear - по некоторым данным, связана с российской ФСБ. По мнению представителей американского правительства и аналитиков частных компаний, специализирующихся на кибербезопасности, CozyBear стала одной из тех двух хакерских группировок, которые взломали системы НКДП в преддверии выборов 2016 года. В рамках своих кибершпионских кампаний эти хакеры использовали сфабрикованные новости как минимум с 2008 года, о чем говорится в докладе, подготовленном компанией F-Secure.

"Обычно контент этих писем-ловушек берется из общедоступных источников: хакеры либо копируют общедоступные материалы, такие как новостные репортажи, либо просто перепрофилируют подлинный файл, находящийся в общем доступе", - говорится в докладе F-Secure.

За последние несколько месяцев "сфабрикованные новости" превратились из никем не замечаемого феномена в главную тему для обсуждения в медийных и политических кругах. Сначала этот термин использовался для обозначения сознательно сфабрикованных материалов, распространяемых пропагандистами, чтобы заработать или внушить общественности ту или иную точку зрения. Однако в последние несколько недель, когда Facebook, Google и другие компании начали активную борьбу со сфабрикованными новостями, этот термин получил широкое распространение среди сторонников обеих партий и стал обозначать любой новостной материал, с которым они не согласны. Это очень опасная тенденция, потому что некоторые из этих фальшивых сообщений могут оказаться по-настоящему вредоносными.

Используемые хакерами фальшивые новостные репортажи содержат вредоносные программы, которые могут заразить целую сеть. И в конечном итоге окажется, что любые данные этой сети могут в любой момент быть украдены, изменены или удалены.

Иногда хакеры используют ссылки, ведущие к полностью вымышленным новостным материалам на сайтах, которые кажутся подлинными, но малознакомыми блогами или иностранными информационными сайтами. (The Dukes пользовались такими доменами как nytunion.com, oilnewsblog.com, nasdaqblog.net, bejingnewblog.net, как говорится в докладе компании F-Secure.)

Другой прием этих фишинговых кампаний - хакерских попыток поймать свои жертвы на крючок при помощи на первый взгляд подлинных материалов – подразумевает использование ссылок, которые выглядят в точности как широко известные информационные сайты, но при этом являются частью хакерского домена. Третий прием заключается в том, что к электронному письму прикрепляется подлинная новостная статья, взятая из хорошо известного источника и заряженная вредоносной программой.

К примеру, в рамках кампании 2009 года, направленной против Польши, Чешской Республики и одного американского аналитического центра в качестве приманки был использован документ, который, по всей видимости, был скопирован из новостной статьи ВВС, как говорится в докладе F-Secure, где содержится скриншот этого документа.

В рамках других кампаний жертв перенаправляли на сайт, который был якобы сайтом турецкой новостной компании, освещавшей джихадистские новости. Другой сайт, контролировавшийся российскими хакерами, был сделан под сайт чеченской новостной организации.

В 2014 году, когда российское правительство стало увеличивать масштабы своих кибершпионских кампаний, еще одна российская хакерская группировка, которую в определенных кругах называют Sandworm, атаковала участников конференции по вопросам глобальной безопасности, которая была посвящена проблеме урегулирования украинского кризиса. На конференции GlobeSec присутствовали в том числе высокопоставленные американские чиновники, включая заместителя госсекретаря США Викторию Нуланд (Victoria Nuland), которая выступила с критикой в адрес России и пообещала Украине поддержку США на предстоящих выборах. (Эти выборы прошли на Украине вскоре после конференции, состоявшейся в мае 2014 года, и они тоже стали мишенью для российских хакеров, пытавшихся повлиять на их результаты, как утверждают американские чиновники.)

Бывший глава Министерства внутренней безопасности Майкл Чертофф (Michael Chertoff), высокопоставленные чиновники Министерства обороны, сотрудники комитета Палаты представителей по иностранным делам, руководство компаний Microsoft, Raytheon и Lockheed и представители десятков аналитических центров тоже там были - и все они подверглись атакам хакеров Sandworm.

"Многие документы-приманки, использованные для развертывания вредоносных программ представляли собой сфабрикованные новостные материалы, посвященные политической и экономической ситуации в Европе", - говорится в документе, подготовленном Институтом технологий ключевой инфраструктуры для Белого дома и Конгресса в 2015 году.

Примерно в то же время Национальный центр кибербезопасности и интеграции коммуникаций (National Cybersecurity and Communications Integration Center) Министерства внутренней безопасности выступил с предупреждением, адресованным сотрудникам федеральных агентств, в котором говорилось о кампании хакеров, в рамках которой они рассылают электронные письма с информацией о текущих событиях, содержащие вредоносные ссылки.

Как сообщили два источника из Министерства внутренней безопасности, в этом предупреждении, датированном 15 октября 2015 года, имелись в виду, прежде всего, хакеры, связанные с Россией.

Как говорится в докладе Министерства внутренней безопасности, в теме этих электронных писем чаще всего значилось следующее:

• "Россия наращивает свой военный потенциал, несмотря на спад в экономике"
• "Барак Обама утверждает, что ИГИЛ можно победить идеями, а не оружием"
• "Как напряженность в отношениях России и Запада может спровоцировать начало третьей мировой войны"
• "Новости: инспекторы в Сирии обнаружили следы запрещенного химического оружия"
• "На Украине захвачены российские военные, направлявшиеся к столице"

Это предупреждение стало далеко не единственным предупреждением Министерства внутренней безопасности, связанным с распространением сфабрикованных новостей. За последние три года внутри федеральных агентств было распространено более десятка предупреждений и служебных записок, касавшихся вредоносных ссылок на новостные материалы (подлинные или сфабрикованные).

Более того, Россия является далеко не единственной страной, использующей фальшивые новости для взлома компьютерных систем.

В июле 2014 года, к примеру, ФБР распространило среди сотрудников федеральных правоохранительных агентств доклад iSight, в котором речь шла о недавно обнаруженной кампании иранских хакеров под названием Newscaster. В рамках этой кампании использовались фальшивые аккаунты в социальных сетях, якобы принадлежащие журналистам, и сайт newsonair.org, на котором незаконно размещались новостные материалы, взятые с подлинных информационных сайтов, чтобы в конечном итоге хакеры могли получить доступ к паролям сотрудников федеральных агентств, работающих в сверхсекретных программах или на ключевых объектах инфраструктуры.

Несколькими месяцами ранее, 29 января 2014 года, в своем докладе ФБР предупредило своих сотрудников о вероятности фишинговых атак, в которых могут быть использована тема Зимних Олимпийских игр.

"События, которые вызывают значительный интерес со стороны общественности и СМИ, часто используются в качестве приманки в рамках фишинговых кампаний. Преступники также могут создать фальшивые вебсайты и домены, которые на первый взгляд могут показаться официальными сайтами Олимпийских игр и которые используются для распространения вредоносных программ, заражающих компьютеры пользователей, как только они открывают эти сайты", - говорится в докладе.

"Компания NBCUniversal обладает эксклюзивными правами на освещение игр для аудитории каналов NBC, NBCSN, MSNBC, USA Network, NBCOlympics.com и соответствующих аккаунтов в Твиттере, Фейсбуке и Instagram. Зрители должны с осторожностью относиться к любым другим источникам, утверждающим, что они предлагают освещение игр в реальном времени. Как и во всех других случаях, лучше всего напрямую посещать надежные ресурсы, чем проходить по ссылкам в электронных письмах или открывать вложения".

Яна Уинтер (Jana Winter)

The Daily Beast, США
4.01.17