Хакерская атака на Burisma и 95 Квартал. Что искали хакеры и кем они могли быть

Недавно стало известно, что крупная украинская нефтегазовая компания Burisma попалась на крючок фишинговой атаки. Хакеры выбрали такую мишень неспроста. Ведь в этой компании в совете директоров работал сын Джо Байдена. Киберэксперты считают, что на серверах Burisma хакеры якобы искали на Байдена компромат, как на одного из главных конкурентов Трампа на выборах 2020. Под удар попал и сайт 95 Квартала.   

Liga.Tech выяснила, как проводились атаки и кто за ними стоит. 

Area-1, компания по вопросам безопасности, расследовала, как проходило нападение и опубликовала отчет, сразу сообщив, что ее провели российские спецслужбы. 

Burisma Holdings основана в 2002 году и занимается добычей углеводородов в Днепровско-Донецком, Карпатском и Азово-Кубанском бассейнах. Ее директором является Николай Злочевский, хотя еще осенью он утверждал, что не является владельцем. Существовала неподтвержденная информация, что он продал компанию. В совет директоров Burisma входят сын вице-президента США Хантер Байден и бывший президент Польши Александр Квасьневский.

Начало атаки

Фишинговая кампания против Burisma стартовала в начале ноября 2019 года под управлением главного разведывательного управления Министерства обороны Российской Федерации (ГРУ) и хакерской группы Fancy bear, действующей с 2004 года. Последняя в феврале 2019 года атаковала аналитические центры Европы, а в 2017-м пыталась получить доступ к почте Порошенко и Авакова. Такого мнения придерживаются в Area-1.

Задачу хакерам облегчило то, что сервер электронной почты Burisma также использовали ее дочерние компании: Aldea Україна, Еско-Північ, Нафтогазпромислова геологія, Надрагазвидобування, Парі, Технокомсервіс.

Через регистраторов Ititch, NameSilo, NameCheap хакеры зарегистрировали доменные имена сайтов, которые похожи на легитимные названия ресурсов перечисленных выше организаций. В качестве интернет-провайдеров привлекли компании MivoCloud и M247, а Яндекс выполнил присвоение записей, необходимых для обеспечения пересылки электронной почты.

У ГРУ есть фирменный стиль и приемы в создании поддельных сайтов, которые управление использует начиная с 2016 года. В 2019 году подобной фишинговой атаке подвергся Джордж Сорос, а в 2018 году – политические организации США.

На текущий момент на этих сайтах не развернуто какое-либо программное обеспечение, однако их домены не разделегированы. Злоумышленники могут в любой момент установить необходимые программы и сервисы, поэтому все ссылки указаны с [.] для большей безопасности пользователей, предостерегая их от случайного перехода на эти сайты.

Работников газового холдинга заманивали на поддельные ресурсы Roundcube и SharePoint, которые они используют в своей ежедневной работе. Посетители фишинговых сайтов не могли быстро определить, что они находятся на поддельном ресурсе. Такие веб-порталы копировали внешний облик оригиналов. Также в фишинговых письмах, которые получили жертвы, были указаны идентификаторы отсутствия подделки писем для соответствующих сервисов.

Что с Кварталом?

Исследователь кибербезопасности в фирме Threat Connect Кайл Эмке сообщает в своем Twitter, что, кроме указанных выше поддельных доменов, использовались также поддельные домены kvatral95[.]com, my-ukr[.]net. С их помощью атаковали пользователей "Квартала 95" и "Укр.нет.

"В студии "Квартал 95" квалифицированная группа IT-специалистов и многоуровневая киберзащита. Поэтому мы полностью полагаемся на нашу систему и отработанные механизмы работы нашей команды. Сейчас мы не можем подтвердить информацию из внешних источников о кибератаках, которые бы повредили защитные механизмы нашей системы", - сообщает Pr-служба "Квартала 95".

В компаниях Куб-газ и Надрагаз, на которые также совершалась кибератака, заявили, что ни о чем подобном не слышали.

Не все так однозначно

Эмке сообщил изданию The Verge, что стиль фишинговой атаки похож на действия ГРУ, однако так работать мог и кто-то другой. Веб-инфраструктура публично доступна и ею может воспользоваться кто угодно. Зарегистрировать домен со словом sharepoint может не только ГРУ, хакерская группа которой известна как APT28. Например, жертвами фишинговой кампании стали члены подмосковного садового товарищества "ДПК Сходня", для которых использовался фишинговый домен dpkshodnya-mysharepoint[.]com. 

"Это значительный набор фактов, чтобы потенциально идентифицировать их инфраструктуру. Но нельзя говорить, что все, что имеет такой набор фактов было и будет работой APT28", - говорит он.

Еще не конец

Эксперты Area 1 считают, что произошедшая фишинговая атака является лишь частью всей операции. Полученные хакерами данные позволяют им продолжить собирать информацию компании и проводить дальнейшие подобные мероприятия.

Что именно удалось найти хакерам, неизвестно, но в NYT предполагают, что атака может быть связана с попытками добыть компромат на бывшего вице-президента США Джозефа Байдена, чей сын работал в наблюдательном совете Burisma. Байден - возможный соперник президента США Дональда Трампа на выборах в 2020 году. Давление Трампа на президента Владимира Зеленского, чтобы тот начал расследование против Байденов из-за якобы фактов коррупции в Burisma, стало причиной объявления президенту США импичмента.