Разузнаването в САЩ и Великобритания обвини руските военни хакери, че стоят зад продължаващата кибер кампания за кражба на имейли и друга информация, в това число и от парламентарни органи на двете страни.
Кампаниите, по думите на разузнавателните агенции на двете страни, са насочени предимно към САЩ и Европа, но обхващат и други държави. Твърди се, че същата хакерска група стои и зад кражбата и публикуването на конфиденциални имейли на членове на демократичната партия в САЩ през 2016 г.
САЩ казват, че групата принадлежи към 85-тия основен център за специализирани услуги на ГРУ, който още е известен и като Fancy Bear, APT28 или Strontium.
Една от последните цели на правителствените хакери е бил норвежкият парламент през лятото на 2020 г.
По-рано Microsoft заяви, че същата кампания е била насочена към организации от САЩ и Великобритания, пряко участващи в политическите избори, включително и британски политически партии.
Казва се още, че кампанията е започнала в средата на 2019-та година и че е почти сигурно, че още е в ход. Тя е насочена основно към организации, използващи облачните услуги на Microsoft Office 365, но не изключва и други доставчици на услуги.
Агенцията за национална сигурност (NSA), Агенцията за киберсигурност и сигурност на инфраструктурата, Федералното бюро за разследвания и Националният център за киберсигурност на Обединеното кралство пуснаха съвместно консултативно обвинение на отдел 26165 от ГРУ на Русия, с обвинения, че стои зад това, което те наричат глобална кампания „за компрометиране на корпоративната и облачната среда „.
„Тази продължителна кампания, съставена от brute force атаки с цел събиране и извличане на данни, идентификационни данни за достъп и друга чувствителна информация, вероятно ще продължи в световен мащаб“, казва Роб Джойс, директор по киберсигурността на НСА.
Атаките, които разузнавателните органи твърдят, че се наблюдават, са неизискани и тривиални – става въпрос за атаки от типа „груба сила“ или brute force, при които хакерите използват множество опити за влизане в нечий профил или за пробиването в дадена система, като опитват всевъзможни комбинации от данни за вход, докато не установят кои са коректните при успешен опит.
Твърди се, че хакерската група е използвала специализиран софтуер, за да увеличи своите усилия и е разчитала на виртуални частни мрежи и Tor, за да остане дейността ѝ неблокирана и с висока ефективност.
В предупреждението си за дейността на групата Microsoft през септември заяви, че са използвани 1000 постоянно въртящи се IP адреса.
След като са влезли успешно в някои системи, руските хакери са откраднали чувствителни данни, включително имейли, както и допълнителна информация за вход, за да имат възможност да се ровят по-дълбоко в системите.
По-рано Microsoft заяви, че мишените обикновено попадат под обстрела на над 300 опита за влизане на час за всеки целеви акаунт в продължение на няколко часа или дни. САЩ насърчават отговорните за защитата на компютърните системи да преразгледат своите системи за показатели за компрометиране.
Те казват, че най-ефективният начин за справяне със заплахата е чрез многофакторна идентификация, която трябва да се използва за влизане и не би могла да бъде хакната чрез атаки от типа „груба сила“.