Саме ці групи елітних хакерів на зламі 2015 і 2016 років зламали сервери Демократичної партії в США і штаб-квартиру кандидата від партії Гілларі Клінтон, спричинивши гучний витік електронних листів. У 2022 році хакери націлилися на Польщу, пише польська газета Rzeczpospolita.
Польща: діяли 5 груп хакерів
У "Звіті про стан безпеки кіберпростору Республіки Польща у 2022 році", підготовленому CSIRT GOV (команда, підпорядкованої Агентству внутрішньої безпеки, яка опікується ІТ-безпекою найважливіших установ), зображена похмура картина.
Звіт показує, що з початку російської агресії проти України значно зросла кількість підмін веб-сайтів, DDoS-атак, тобто з багатьох комп'ютерів одночасно, а також фішингових кампаній, спрямованих на вимагання даних. Повідомлення про атаки груп, які називаються APT, є особливо загрозливими.
Назва походить від англійських слів advanced persistent threat (просунута постійна загроза) і найчастіше йдеться про професійні групи, спонсоровані урядами. "Ніхто не буде відкрито говорити, що вони працюють на ГРУ чи ФСБ. З іншого боку, є багато передумов і непрямих доказів того, що вони вбудовані в структури урядів, у тому числі спецслужб", – зазначив Мирослав Май з Фонду безпечного кіберпростору.
У звіті CSIRT GOV перелічено діяльність п'яти таких груп у Польщі у 2022 році. Крім APT28 і APT29, також були бути Turla, UAC-0056 і Mustang Panda. Остання є китайським угрупованням, відомим своїми нападами на американські аналітичні центри та неурядові організації. UAC-0056 і Turla найчастіше асоціюються з Росією, зокрема, останню групу складають агенти ФСБ з Рязані.
Як російські хакери атакували Польщу? Видавали себе за інших
Путінські кібершпигуни діяли у Польщі доволі хитро. Наприклад, група APT29 провела свою кампанію у травні 2022 року, видаючи себе за посольство Португалії. Вона розповсюдила файл "Порядок денний.pdf", який містив посилання нібито на календар посла, а саме повідомлення закликало отримувача домовитися про зустріч. Клік запускав серію подій, які повинні були отримати доступ до комп'ютера.
Ще одна кампанія була проведена APT29 у жовтні, видаючи себе за сербське посольство. У свою чергу, в кампанії Turla шкідливе програмне забезпечення називалося "Радянські пам'ятники в Польщі.xll" і містило список радянських пам'яток.
У звіті CIRT GOV є багато технічних подробиць атак. Однак немає жодної згадки про те, хто саме був ціллю і чи були вкрадені якісь дані. Агентство внутрішньої безпеки не відповіло на запитання журналістів, посилаючись на чутливу інформацію.
Мирослав Май каже, що APT атакує переважно найважливіші державні установи та тих, хто відповідає за критичну інфраструктуру. "Є й напади на інші установи, але переважно ті, які можуть бути потенційно привабливим пунктом передачі, щоб дістатися до об'єктів, які найбільше цікаві грабіжникам", – пояснив він.
Він додає, що оскільки атаки були описані у звіті, можна припустити, що вони були відбиті. "Це не означає, що APT-групи не здійснювали атак, про які ми не знаємо", – сказав Мирослав Май. За словами експерта, з початком війни в Україні активність таких груп активізувалася, і немає підстав вважати, що це скоро зміниться.
Підписуйтесь на сторінку "Експресу" у Facebook
