Почему в хакерских атаках на Windows обвиняют россиян?

Leo Kelion Technology desk editor Вице-президент Microsoft по разработке Windows Терри Майерсон заявил, что связанная с Россией группа хакеров Strontium использовала дыры в операционной системе для заражения персональных компьютеров, чтобы заполучить конфиденциальную информацию. Strontium известны также как Fancy Bear или APT28, ранее их обвиняли во взломе серверов Демократической партии США и атаках на французский телеканал TV5Monde. Представители Microsoft заявили, что компания работает над устранением бреши и 8 ноября намерена представить программу, способную защитить систему от подобных атак. Некоторые специалисты по кибербезопасности утверждают, что анализ активности хакерской группы указывает на то, что она связана с Россией или соседними странами, где могут говорить по-русски, и действует не в личных интересах, а в интересах государства. Компания FireEye, которая работает с министерством обороны США, пошла еще дальше, заявив, что хакеры "скорее всего, финансируются российским правительством". Высказывалось также предположение, что Strontium работает на российскую военную разведку. Однако убедительных доказательств связи хакерской группы с Россией до сих пор не появлялось, а Кремль последовательно отрицает свою причастность к атакам. Почему об этом говорят сейчас? Объявлять о бреши в системе до ее устранения крайне нетипично для крупной IT-компании, поскольку это привлекает внимание киберпреступников. И действительно, Microsoft собирался держать проблему в тайне, пока специалисты ее не исправят. Однако в понедельник о бреши в системе своего конкурента заявила компания Google. В Microsoft выразили возмущение подобными действиями, однако представители Google заявили, что уязвимость системы слишком серьезна и активно используется злоумышленниками. Что говорит Microsoft? По словам Майерса, проблема в системном файле, который отвечает за отображение графики. Представители компании говорят, что проблема не затрагивает пользователей Windows 10 и собственного браузера Microsoft Edge, однако остальные подвержены риску. Однако, по словам Microsoft, хакеры смогут атаковать только тех, у кого установлен Adobe Flash Player, при этом пользователи последней версии плагина также вне опасности. В Microsoft также заявили, что хакеры Strontium за этот год осуществили больше так называемых атак нулевого дня - когда у разработчика нет времени исправить уязвимость до того, как она раскрыта, - чем какая-либо другая известная группировка. "Strontium часто использует одну взломанную учетную запись электронной почты, чтобы рассылать с нее зараженные письма. Они месяцами настойчиво преследуют свою цель, пока не получат доступ к компьютеру жертвы", - объясняет Терри Майерс. "Как только хакеры Strontium взламывают компьютер, они пытаются проникнуть как можно глубже, чтобы обеспечить себе постоянный доступ, а затем крадут конфиденциальную информацию", - добавляет Майерс. Как хакеры Strontium взламывают аккаунт? Считается, что хакеры используют фишинг - метод интернет-мошенничества, направленный на доступ к логинам и паролям пользователя. Как правило, хакеры очень настойчивы. Они могут регулярно посылать фишинговые имейлы своим жертвам больше года, пока не добьются своего. К примеру, Strontium рассылали электронные письма, отправителем которых значилась сама Microsoft, - в них пользователю сообщали, что в его почтовый аккаунт был осуществлен вход с необычного устройства из другой страны. Затем жертве предлагали сменить пароль. Кого атакуют хакеры? Ни Google, ни Microsoft не сообщили, кто был целью последней серии вредоносных писем. Ранее в Microsoft отмечали, что типичной мишенью хакеров становятся правительственные органы, дипломатические институты, вооруженные силы стран-членов НАТО и некоторых восточноевропейских стран. Кроме того, атакам также подвергались журналисты, политические советники и организации, связанные с политическими активистами в Центральной Азии. Что еще мы знаем о Strontium? Группировка также известна как Sofacy, Sednit и Pawn Storm, ее связывали с хакерскими атаками еще в 2007 году. Она ведет свой собственный сайт, где называет себя Fancy Bears. На этом сайте были опубликованы конфиденциальные медицинские данные олимпийских спортсменов, похищенные у Всемирного антидопингового агентства (ВАДА). На сайте также сказано, что группировка связана с более крупным сообществом хакеров - Anonymous, однако, возможно, это намеренное введение в заблуждение. Ранее в этом году компания по кибербезопасности Crowdstrike обвинила Strontium во взломе сети Демократической партии США. Эксперты предположили, что хакеры могут быть связаны с ГРУ - службой военной разведки России. "Их навыки превосходны, операционная безопасность непревзойденная, и они активно используют собственные учетные системы атакуемой компании, что позволяет им легко обходить многие защитные барьеры, с которыми они сталкиваются", - отметила Crowdstrike в своем отчете. Другие атаки, в которых обвиняют Strontium: атака на трех Youtube-блогеров, которые брали интервью у президента Барака Обамы в январе 2016 года; нападение на французский телеканал TV5Monde в апреле 2015 года. Вся телевизионная сеть канала вышла из строя, а его сайт был искажен сообщениями якобы сторонников группировки "Исламское государство", запрещенной в ряде стран, в том числе России; хакерская атака на компьютерную сеть Бундестага, предпринятая в мае 2015 года. Предполагается, что тогда были взломаны около 20 тысяч аккаунтов немецких политиков; попытка в 2015 году украсть информацию у комиссии по расследованию крушения малазийского боинга MH17; как минимум две попытки украсть данные у министерства внутренних дел Грузии в 2013 году и последующая попытка атаковать грузинское министерство обороны. В группе риска только пользователи Windows? Нет. Специалисты по безопасности компании Trend Micro недавно связывали хакеров Strontium с вредоносными программами для взлома iPhone и iPad. Компания Microsoft, в свою очередь, заявила, что заметила группу за использованием веб-доменов, настроенных на нарушение работы компьютеров с системами Mac и Linux. Стоит ли винить Кремль? Пресс-секретарь президента Дмитрий Песков ранее категорически опровергал предположения, что хакеры действуют под руководством российского правительства или секретных служб или пользуются их поддержкой. Он также называл обвинения необоснованными. "Нет никаких прямых улик, - заявил эксперт в сфере кибербезопасности, профессор Алан Вудвард, в прошлом работавший с Европолом и Центром правительственной связи Великобритании, - но количество косвенных доказательств, конечно, растет". "Как говорят большинство правительственных специалистов, Кремль, кажется, ничего не делает, чтобы их [хакеров] остановить, что в определенном смысле говорит само за себя", - отметил Вудвард.