Хакерская группировка APT29, также известная как Cozy Bear, взломала системы Минфина США и Национального управления по телекоммуникациям и информации (NTIA). Об этом со ссылкой на собственные источники сообщают Reuters и The Washington Post. Собеседники изданий выражают уверенность в том, что за деятельностью киберпреступников стоит Служба внешней разведки России.
По данным Reuters, хакерам удалось взломать аккаунт Microsoft Office 365 сотрудников NTIA, что позволило им в течение нескольких месяцев отслеживать электронную переписку ведомства. Утечка оказалась настолько серьезной, что послужила поводом для проведения внеочередной встречи Совета национальной безопасности (СНБ), которая состоялась в Белом доме в субботу, 12 декабря.
Объем утечки информации пока не ясен. По словам трех источников агентства, в расследовании участвуют ряд ведомств, в том числе ФБР. Оперативники опасаются, что хакеры могли воспользоваться аналогичными уязвимостями для взлома системы электронной почты других правительственных учреждений. Перечень предполагаемых жертв атак не разглашается, однако источник The Washington Post утверждает, что неделей ранее группировка атаковала компанию FireEye, специализирующуюся на вопросах кибербезопасности.
Кто такие Cozy Bear?
Группировка Cozy Bear, наряду с группой Fancy Bear, является одной из наиболее заметных хакерских групп, деятельность которых связывают с российскими разведывательными службами. В январе 2018 года Общая служба разведки и безопасности Нидерландов заявила, что за Cozy Bear стоит Служба внешней разведки России. Группа успешно взламывала системы Госдепартамента США и Белого дома во времена президентства Барака Обамы, но наибольшую известность она получила после кибератаки на Национальный комитет Демократической партии США, также известной как «Гризлигейт».
Факт взлома был выявлен в апреле 2016 года, расследованием инцидента занималась компания CrowdStrike. По данным экспертов, эффективный взлом летом 2015 года совершила именно Cozy Bear, однако с апреля 2016 года в системах комитета были выявлены следы деятельности Fancy Bear, что позволило предположить наличие связи между двумя группировками. Сообщалось, что хакеры также сумели получить доступ к аккаунтам электронной почты и, предположительно, добыли компромат на тогда еще кандидата в президенты от республиканцев Дональда Трампа.
Что касается взаимоотношений Cozy Bear и Fancy Bear, западные специалисты в области кибербезопасности склонны полагать, что группировки являются конкурентами, однако в ряде случаев действуют совместно. Эксперты полагают, что в этом прослеживается признак соперничества между СВР и ГРУ.
Реакция России на кибератаки
Посольство России в Вашингтоне уже прокомментировало инцидент, заявив, что обвинения российских спецслужб в причастности к нему являются безосновательными. «Обратили внимание на очередные безосновательные попытки американских СМИ обвинить Россию в хакерских атаках на органы государственной власти США. Ответственно заявляем: нападения в информационном пространстве противоречат внешнеполитическим принципам нашей страны, ее национальным интересам и пониманию того, как выстраиваются отношения между государствами»,— говорится в сообщении посольства в Facebook. Россия в принципе не проводит «наступательных операций в виртуальной среде», добавили в дипломатическом представительстве.
Российские власти также неоднократно отрицали связи с любыми хакерскими группировками. После сообщения ВВС о том, что российские хакеры совершали атаки на медицинские лаборатории западных стран с целью кражи данных о разработке вакцины от Covid-19, пресс-секретарь президента России Дмитрий Песков заявлял, что Россия не имеет к этим попыткам никакого отношения. «Мы не располагаем информацией, кто мог взламывать фармкомпании и исследовательские центры в Великобритании», — сказал Песков.
Как кибератаки отражаются на российско-американских отношениях?
В результате расследования «Гризлигейта» в декабре 2016 года ФБР и АНБ опубликовали совместный доклад о хакерских атаках из России. В нем США официально предъявили России обвинение во вмешательстве в выборы 2016 года, после чего из страны были высланы 35 российских дипломатов, а также были закрыты два жилых комплекса, в которых они проживали. Владимир Путин тогда выступил с заявлением о том, что Москва не планирует совершать ответных действий, однако оставляет за собой такое право.
В 2018 году в связи с данной кибератакой против ряда сотрудников российской военной разведки со стороны США были выдвинуты официальные обвинения. В августе 2020 года комитет по разведке Сената США выступил с заявлением о том, что атаку санкционировал лично Владимир Путин.