ФБР отчиталось о деятельности «русских хакеров»

Министерство национальной безопасности США и ФБР отметили конец 2016 года публикацией совместного доклада о хакерских атаках, имевших место в ходе предвыборной кампании. Речь идет об инцидентах, произошедших летом 2015 года и весной 2016 года. Согласно документу, ответственность за первый из них лежит на хакерской группировке APT29, а за второй – на APT28.

Как сообщается в докладе, обе группировки связаны с российскими спецслужбами. Описанные в документе инструменты и техники, используемые APT29 и APT28 для вмешательства в избирательный процесс в США, получили название GRIZZLY STEPPE. В рамках данной вредоносной кампании была также осуществлена атака на электрораспределительную сеть в американском штате Вермонт.

Согласно докладу, APT29 и APT28 специализируются на атаках на правительственные организации, университеты и корпорации по всему миру. APT29 использует целенаправленный фишинг, рассылая жертвам электронные письма с вредоносными ссылками. После нажатия на ссылку на систему загружается и выполняется троян для удаленного доступа (RAT), способный с помощью ряда техник обходить обнаружение.

APT28 создает точные копии легитимных доменов с целью выманить у жертв их учетные данные. Для того чтобы заманить пользователя на поддельный сайт, злоумышленники присылают ему электронное письмо с укороченным URL. Получив доступ к системам, APT29 и APT28 анализируют информацию с целью получить полезные разведданные.

Летом 2015 года APT29 разослала вредоносные письма свыше 1 тыс. пользователей, в том числе в американском правительстве. В результате злоумышленникам удалось успешно скомпрометировать «политическую партию». Весной 2016 года APT28 снова взломала данную партию, также используя целенаправленный фишинг. Похитив учетные данные, хакеры получили доступ к конфиденциальной информации.