Российская атака: зачем хакеры ломают лаборатории, изучающие COVID-19
Канадська розвідка заявила про виявлені кібератаки на лабораторії, що займаються пошуками вакцини від коронавірусу. Одночасно подібні випадки з метою викрадення інформації відбулися також у Великій Британії та США.
Хоча хакерські атаки, зокрема й на медичні центри, справа не нова, однак цей випадок є особливим.
Спецлужби в один голос заявляють, що з високим рівнем достовірності за атаками стоїть група APT29, також знана як Cozy Bear або the Dukes, яка працює на розвідку Росії.
Перші офіційні звинувачення
В той час як країни важко працюють над винайденням вакцини для захисту глобального здоров’я, "дехто демонструє свої егоїстичні інтереси та безвідповідальну поведінку". Так міністр закордонних справ Великої Британії Домінік Рааб відреагував на інформацію про російські кібератаки.
Звичайно, у РФ відразу заперечили всі звинувачення. Речник Путіна Дмітрій Пєсков відкинув причетність російської влади до діяльності хакерської групи, заявивши про відсутність доказів цього.
Тим не менше, канадські спецслужби ідентифікували, що застосовані зловмисні програми WellMess та WellMail, які використовувалися в атаках на інші об’єкти у світі впровдож панедімії, мають саме російський слід.
Вже не вперше канадські лабораторії, що проводять дослідження з розробки антикоронавірусної вакцини, зазнають кібератак.
Наприклад, в травні національні органи безпеки помічали спроби злому баз даних таких компаній, однак не повідомили, чи вдалося визначити, хто стояв за цими атаками.
Однак вперше відбулося офіційне звинувачення Росії, яку раніше підозрювали у причетності до подібних атак поряд із Китаєм, Іраном та КНДР.
Попередні непрямі звинувачення не мали великого резонансу та наслідків. Як буде розгоратися ситуація і чи перейдуть Канада, США і Велика Британія до більш активних дій, побачимо вже найближчим часом.
Атаки на лабораторії
Впродовж всього періоду пандемії COVID-19 відбувалася низка подібних атак на медичні лабораторії та дослідницькі центри з метою шпіонажу та викрадення даних щодо розробки вакцини.
Найбільша проблема в тому, що розробка вакцин достатньо дорога і довготривала, тому часто лабораторії об’єднуються в мережі цифровими засобами зв’язку і таким чином стають зручними для кібератак.
Ще у березні ВООЗ заявляла, що зловмисники робили спроби проникнути в систему через е-мейл фішинг паролів, що є одним із найбільш популярних способів (близько 90% усіх кіберзлочинів відбуваються через е-мейл фішинг). Понад 450 активних мейлів та паролів ВООЗ було викрадено з метою проникнення до баз даних.
Це не вплинуло на роботу самої системи, яка мала оновлення, але завдала шкоди попередній системі, яка все ще використовувался для комунікації із партнерами та персоналу на пенсії.
Інша ситуація виникала в Університетській лікарні Брно, яка є найбільшим центром тестувань на коронавірус в Чеській Республіці.
Внаслідок прямої кібератаки в березні 2020 року лікарня на два дні була відрізана від доступу до пересилання та отримання інформації із національною базою даних. Кіберудар також зачепив сусідню дитячу лікарню та пологовий центр.
Чеські служби безпеки так і не змогли встановити, хто стояв за атакою і чи була викрадена якась інформація.
У квітні США звинуватили Китай у спробах проникнути в систему дослідницьких центрів, що займаються розробкою вакцини від коронавірусу.
Одна із найбільш впливових компаній в сфері кібербезпеки, FireEye, заявила, шо саме китайська хакерська група APT41 здійснювала цю найбільшу за останні роки кібератаку. Її вдалося частково відбити завдяки активній протидії Агенства національної безпеки США та Кіберкомандування США.
В травні атаки на медичні і дослідницькі центри відбувалися в багатьох країнах світу. Наприклад, в Ізраїлі відбулася масштабна атака на вебстайти, яка зачепила і мережі лабораторій.
Служби безпеки заявили, що це була спроба саме зупинити розробку вакцини, а не просто викрасти інформацію.
Подібні ситуції виникали в Австралії, Франції, Іспанії та інших країнах.
Така актиність не дивує. Той, хто розробить вакцину першим, не лише отримає репутаційні бонуси, але й значний фінансовий успіх.
А це означає, що будь-яка інформація та результати досліджень є бажаними для багатьох гравців на фармацептичному ринку.
Однак випадки із залученням хакерських груп, що мають урядову підтримку, виглядають щонайменш аморально.
В той час як уряди, приватний бізнес та міжнародні організації витрачають значні кошти на розробку вакцин, деякі уряди не соромляться не лише викрадати інформацію, але й блокувати розробку з метою особистих дивідендів.
Проте якщо китайські кібератаки відомі перш за все своєю спрямованістю на економічний шпіонаж, їхні російські колеги частіше помічені в політичному контексті.
Російський слід
Якщо ж в цю історію справді замішана хакерська група під іменем the Dukes, то вона може набрати цікавих обертів.
Справа в тому, що ця група не є новачком на ринку кіберзлочинності та е-шпіонажу. В тій чи іншій комбінації вона діє як мінімум з 2008 року, працюючи та збираючи дані для російської розвідки.
Про роботу на РФ свідчить не лише "антизахідний" характер операцій, але й наявність в кодах тексту про помилки (error message) російською мовою, а також час їх основної активності – проміжок між 9 та 19 годинами за московським часом.
Саме діяльнісь the Dukes пов’язують із втрученням у вибори в США у 2016 році, зокрема – із викраденням інформації Національного комітету Демократичної партії США.
Фінська компанія-розробник програмного забезпечення F-Secure у свому аналітичному звіті стверджує, що найперші операції the Dukes, які вдалося ідентифікувати, відбулися ще в листопаді 2008 року під назвою "alkavkaz.com20081105" та "cihaderi.net20081112".
Російські хакери видавали деякі сайти як чеченські інформаційні центри, які повинні були інформувати про "новини весвітнього джихаду", та поширювали зовмисні програми при спробі скористатися сайтом.
У 2009 році було здійснено низку кампаній проти міністерства оборони Грузії та міністерств закордонних справ Туреччини і Уганди, та найголовніше - аналітичних центрів, базованих в США, інформаційного центру НАТО в Грузії, а також урядових інституцій в Польщі та Чехії.
Атаки здійснювалися через розсилку електронних листів, до яких були прикріплені спеціально створені документи у форматі Microsoft Word та PDF, що випускали троянські програми при відкритті.
Ці кампанії демонструють явне політичне заангажування "герцогів", оскільки, як важається, вони стосувалися збору інформації про розміщення американської бази протиповітряної оборони в Польщі та радару в Чехії.
Починаючи із 2013 року фішинг електронних скриньок через зараження PDF-файлів став найпоширенішим способом хакерських атак.
Звіт F-Secure згадує, що зараження відбулися в понад 29 країнах, серед яких найбільшими цілями стали деякі урядові установи в Україні, Бельгії, Угорщині, Португалії, Чехії та США.
Однак найчастіше кампанії проти України відбувалися напередодні Євромайдану в 2013 році.
Нагучніші випадки пов’язані із отриманням МЗС України листа від посольства Нідерландів, "інфікуванням" листа першого заступника МЗС України про відзначення 100-ліття з початку Першої світової війни та розсилкою інфікованого PDF-документа "Ukraine’s Search for a Regional Foreign Policy".
Тезу про розвідувальне спрямування цієї хакерської групи підтверджує той факт, що їхня активність в Україні відбувалася до російської агресії. Щойно Росія перейшла до прямих військових дій в Україні, the Dukes припинили свою роботу, натомість роботу розпочали інші групи - наприклад Operation Pawn Storm.
****
Тому цілком можна припустити, що, окрім даних стосовно потенційної вакцини, теперішні атаки мають не так комерційні, як розвідувальні цілі, пов’язані із вивченням слабких точок, які можна використати для втручання у політичні процеси.
Статус рятівника світу від COVID-19 вкрай потрібний РФ для просування тез про необхідність повернення західних країн до діалогу з нею та зняття санкцій.
А для досягнення своїх цілей у Кремлі не гребують засобами. Навіть якщо ціною стане затримка створення вакцини, що здатна врятувати сотні тисяч життів.
Автор: Дмитро Шеренговський,
Аналітичний центр УКУ