После подведения итогов голосования французских граждан на президентских выборах специалисты намерены провести расследование возможного вмешательства в ход волеизъявления. Виновниками называют русских хакеров, но эта версия подтверждается не самыми сильными аргументами, сообщают журналисты раздела «Новости Мира» интернет-издания для деловых людей «Биржевой лидер».
Обозреватель Томас Фокс-Брюстер в своей публикации для Forbes пишет, что утверждения о причастности россиян к хакерской атаке базируются в основном на ощущениях и предположениях. Большинство специалистов по компьютерной безопасности, которые пытаются выяснить личности взломщиков, максимум внимания уделяет ощущениям. Тем не менее, виновных в краже личных данных членов предвыборного штаба президента Макрона установить нужно.
Первой о том, что хакеры, взломавшие системы национального комитета Демократической партии и известные как APT28 и Fancy Bear, работали на Россию, заявила компания FireEye. Сейчас эти хакеры являются главными подозреваемыми в деле об атаках на представителей предвыборного штаба Макрона. Личные данные сотрудников штаба появились в интернете за 2 дня до проведения второго раунда выборов.
В компании объявили, что связь между группировкой APT28 и атакой на штаб Макрона в основном устанавливается на основании тактик, методов и процедур (ТТР). В процессе атаки на членов избирательного штаба французского президента хакеры использовали многие ТТР, характерные для взломов группировки АРТ28. Речь идет о комплексе приемов, начиная с применения фишинга и заканчивая распространением полученных данных, в том числе через аккаунт WikiLeaks в Twitter. О таких выводах рассказал общественности Джон Халтквист, глава отдела кибершпионажа в компании FireEye.
Кроме того, специалистам удалось обнаружить 2 европейских IP-адреса, которые использовались для фишинговых атак на предвыборный штаб Макрона (onedrive-en-marche.fr и mail-en-marche.fr). Еще перед публикацией личных данных сотрудников штаба эксперты компании Trend Micro установили, что адреса принадлежат хакеру Fancy Bear.
Однако с учетом имеющихся данных Халтквист заявил, что атака, возможно, была проведена хакерами из группировки АРТ28. Именно эта группа, по мнению американского правительства, входит в шпионское подразделение Кремля - Главное разведывательное управление (ГРУ). Халтквист объяснил, что подобный инцидент многие предсказывали, предшествовала утечке хакерская активность, характерная для группировки АРТ28. Он добавил, что исполнителей атаки будет найти непросто из-за предельного внимания, с которым противник отнесся к обеспечению безопасности операции.
Фишинговые домены, вполне возможно, были использованы для хакерской атаки на штаб Макрона. Однако нет убедительных доказательств того, что атаки оказались успешными и в дальнейшем привели к утечке. Экспертам не удалось найти ведомости, позволяющие говорить о связи между командно-административными доменами Fancy Bear и взломом систем движения «Вперед!».
В свое время информацию, указывающую на причастность предположительно российской группировки Fancy Bear к хакерским атакам на национальный комитет Демократической партии, удалось обнаружить специалистам компании CrowdStrike. В случае со штабом Макрона эксперты не смогли найти конкретные технические связи после предварительного анализа имеющихся данных. В компании сообщили, что у них нет возможности провести анализ подробный и всеобъемлющий.
Следует ли воспринимать кириллицу как «подпись» российских хакеров?
Неоднократно Россия отрицала свою причастность к вмешательству в ход американских выборов и другим хакерским операциям. На просьбу прокомментировать информацию о возможной причастности к атакам против представителей штаба Макрона Кремль не ответил. Многие профильные специалисты, указывающие на причастность россиян к хакерским атакам, говорят об обнаружении кириллицы.
В метаданных файлов с данными сотрудников предвыборного штаба Макрона была найдена кириллица. Пока у экспертов нет однозначного ответа на вопрос, как кириллица попала в данные файлов. Среди возможных вариантов - ошибка хакеров, диверсия или отвлекающий маневр. В любом случае очевидно, что метаданные появились в файлах из-за того, что они редактировались в русскоязычной версии Microsoft Excel.
Оказалось, что половину изменений в файлы внес пользователь с именем «Рошка Георгий Петрович». Такой вывод сделал Крис Домэн, представляющий компанию AlienVault. В компании подчеркнули, что имя пользователя вполне может оказаться подделкой, заложенной хакерами специально, результатом ошибки или свидетельством причастности к атаке пользователя с таким именем, который мог и не знать об операции.
Домэн утверждает, что он не увидел «никаких однозначных данных», которые позволяют с уверенностью связывать фишинговые домены, обнаруженные Trend Micro, и утечку данных из штаба будущего французского президента. Усложняется ситуация еще и подозрениями других сотрудников штаба.
Отвечающий за цифровые технологии в штабе кандидата Мунир Махджуби намекнул французским журналистам, что соратники Макрона могли сами помещать на свои серверы неправдивые данные в качестве приманки. После привлечения внимания хакеров, ворующих помеченную информацию, путь ее перемещения отслеживается. В отличие от прошлогоднего взлома серверов американских демократов, определение виновных в атаке на штаб Макрона оказалось задачей намного более сложной.
