Про це вчора, 13 травня, заявили у Федеральному відомстві з охорони конституції Німеччини, яке займається контррозвідувальною діяльністю. “Можна відстежити, що деякі з цих операцій тривали протягом 7-11 років”, –

йдеться у заяві відомства, повідомляє AFP. Німецька контррозвідка також має докази, що саме російські спецслужби рік тому організували потужні кібератаки на внутрішню мережу німецького Бундестагу, пише Німецька хвиля. 

Нагадаємо, що в середині травня 2015 року невідомі хакери отримали доступ одразу до 14 серверів, серед яких був і головний сервер системи з усіма даними для доступу до мережі німецького парламенту. Які дані вдалося вкрасти зловмисникам, наразі до кінця невідомо.

Німецькі фахівці з ІТ-безпеки швидко знайшли сліди активності шкідливої програми (“троянського коня”) з налаштуваннями російською мовою. Тоді у Федеральному відомстві з безпеки у сфері інформаційної техніки (BSI) і Федеральному відомстві з охорони конституції заявили, що не мають сумнівів у тому, що йдеться про угруповання саме з Росії. 

На відміну від китайських хакерів, які викрадають, в основному, економічні таємниці та наукові розробки, російськомовне угруповання не цікавиться ні здобуванням фінансової інформації, ні інтелектуальною власністю – тільки політичними таємницями, пише Німецька хвиля. “Ми спостерігаємо за роботою добре тренованої команди розробників, які збирають розвідувальну інформацію з геополітичних питань і питань оборони – дані, які цікаві лише урядам”, – писала у своєму звіті американська компанія FireEye, що спеціалізується на комп’ютерній безпеці. Таємнича група хакерів згадується в її документах під назвою APT28.

Перші ознаки діяльності APT28 помітили ще в 2006 році. З того часу об’єктами її атак стали уряди низки країн Східної Європи, України, Грузії, структури НАТО, ОБСЄ, а також інших європейських організацій, які займаються питаннями безпеки.

Характерною можна вважати велику атаку на комп’ютерну систему польського уряду, що була здійснена 11 серпня 2014 року. Виглядало це так: працівник уряду побачив у електронній скриньці лист, який не виглядав підозріло, із вкладенням MH17.doc (цинічна деталь – насправді це номер збитого за місяць до того в небі над Донбасом лайнера “Малайзійських авіаліній”). Польський чиновник, нічого не підозрюючи, відкрив файл. У ньому, крім тексту без певного змісту, перебувала замаскована частина шкідливої програми. Аналогічні листи отримали ще кілька польських урядовців. Пізніше фахівці з’ясували, що кожен окремо взятий лист із вкладенням MH17.doc не становить небезпеки і не ідентифікується антивірусними програмами як потенційна небезпека. Однак щойно в мережу потрапляють кілька “заготовок”, програма збирає сама себе з окремих частин і починає непомітно для користувачів красти їхні дані.

Інший метод, який використовує група APT28 –

надсилання посилання з фальшивою адресою, яка мало відрізняється від справжньої. Так хакерам вдалося отримати необхідні їм відомості в міністерстві оборони Угорщини: співробітниця відомства зареєструвалася для участі в оборонному ярмарку Eurosatory за підробленим посиланням (eurosatory2014.com замість eurosatory.com).

Ще одна цікава подробиця – хакери дуже дисципліновані: працюють суворо за розкладом. Як з’ясували фахівці FireEye, 96 відсотків їхніх атак відбулися з понеділка по п’ятницю, натомість на вихідні зловмисники, згідно з вимогами трудового кодексу, відпочивають. Інша показова деталь – 89 відсотків атак здійснені в період з 10 до 18 години за московським часом. При цьому понад половина всіх налаштувань у програмах, які шпигували за різноманітними урядами з 2007 по 2014 роки, були написані, за даними FireEye, російською мовою.

Фахівці з компанії FireEye упевнені: групу APT28 контролює влада Росії. “У нас немає фото окремих співробітників, їхніх приміщень чи назви держвідомства, але в нас є докази роботи і чітко спланованих операцій, які означають існування державного спонсора, а саме у вигляді керівництва в Москві”, – йдеться у звіті FireEye.