Российских хакеров заподозрили в маскировке под исламистов

В атаке на французский телеканал нашли «руку Москвы»

Стали известны результаты расследования апрельской кибератаки на французский телеканал TV5 Mondе. В ее организации подозревали хакеров из «Исламского государства», но по уверениям еженедельника L`Express, следы ведут в Москву. Ситуация с кибертерроризмом все больше напоминает шпиономанию времен холодной войны, считает парижский корреспондент “Ъ” АЛЕКСЕЙ ТАРХАНОВ.

Фото: Роман Калинин, Коммерсантъ

Атака на сети международного канала TV5 Mondе, который принимают в 200 странах, началась 8 апреля. Вместо очередного выпуска новостей зрители увидели на экранах лозунги «Исламского государства». На несколько часов вещание было остановлено. Параллельно был потерян контроль над интернет-сайтом и страницами телеканала в Facebook и Twitter. Там было опубликовано послание французским солдатам, воюющим с исламистами: «Вы еще можете спасти ваши семьи, воспользуйтесь этим шансом». Воззвания и угрозы были подписаны «КиберХалифатом, который продолжает киберджихад против врагов “Исламского государства”».

Несмотря на такие прямые указания, в авторстве теракта сразу же стали сомневаться. Атака шла не из Сирии и Ирана, а с серверов, расположенных в Южной Америке и Восточной Европе. При этом обычные сети исламистов, находящиеся под постоянным наблюдением, не обнаружили в тот день никакой непривычной активности. Лозунги на арабском языке содержали грамматические ошибки.

Расследование привело к группе хакеров, уже известных службам кибербезопасности многих стран. Ее давно обнаружили и назвали сразу три компании — американская, канадская и японская, специализирующиеся на защите данных. Поэтому она фигурирует под тремя именами — APT28, Sofacy group или Pawn Storm. За группой следят с 2007 года, но особенную активность она проявила в последние два года.

Группа не была замечена в промышленном шпионаже или атаках на банковские серверы. Цели ее, по словам специалистов в сфере киберзащиты,— государственные и военные организации, СМИ и политические деятели. Следы хакеров найдены на серверах Министерства обороны США, они действовали в Грузии и на Украине, внедрялись на сайты деятелей российской оппозиции и международных журналистов. В проанализированных кодах, считают эксперты, проявляется специфический почерк российских компьютерщиков, есть указания и на то, что их главный язык общения русский.

Одни исследователи призывают к осторожности в выводах, другие — как, например, американцы из компании FireEye — прямо указывают на то, что хакеры работают на разведку и контрразведку в интересах правительства России. Французские специалисты из ANSSI (Agence nationale de la securite des systemes d`information) воздерживаются от каких бы то ни было прямых обвинений. Они лишь призывают извлечь урок из апрельских событий и указывают на исключительную сложность и точность кибератаки, которую нападавшие готовили в течение нескольких месяцев.

Как удалось установить экспертам ANSSI, злоумышленники вошли в сеть TV5 Monde еще в январе через один из компьютеров продюсерского центра. Пароль они получили с помощью зараженной почты, отправленной на личный адрес одного из сотрудников канала. Постепенно, шаг за шагом поднимаясь в иерархии сети, они получили почти полную власть над всей компьютерной системой. В результате атаки была не только прервана связь с 260 млн зрителей, не только изменено содержание страничек Twitter и Facebook. Был причинен и физический ущерб — в частности, в негодность были приведены все редакционные серверы. Проанализировав системы защиты французских СМИ, государственные органы кибербезопасности еще в конце апреля разослали редакциям срочные предупреждения и рекомендации по усилению контроля за системами.

Расследование еженедельника L`Express выходит в момент охлаждения французско-русских отношений, вызванного отказом президента Франсуа Олланда отдать России заказанные и оплаченные корабли Mistral и посетить Москву в День Победы. В нем много нестыковок. Трудно понять, зачем мифическим российским хакерам нужно «переодеваться» в исламистов и афишировать свое присутствие в сетях французских СМИ. Возможно, они лишь выполнили чей-то коммерческий заказ. Но ошибки в арабском вполне могли допустить и европейцы, воюющие в рядах кибертеррористов ИГ, точно так же, как они могли воспользоваться компьютерами и серверами в Москве или Сан-Паулу, откуда пришло первое троянское письмо. Не будем забывать и то, что компьютерная война завязана с денежными интересами как нападающих, так и защитников. Сумма потерь TV5 Mondе, по словам генерального директора канала Ива Биго, оценивается в €5 млн, которые придется потратить до конца года, и в €2,5 млн, отведенных на ежегодную профилактику. И это очередное свидетельство того, что холодная война сейчас слишком выгодна, чтобы быть так запросто остановленной.

Алексей Тарханов, Париж

Вся лента