По сообщению экспертов компании Group-IB 24 октября с.г., ряд российских СМИ и украинских организаций подверглись хакерским атакам.
В частности, атакам нового вируса шифровальщика «Badrabbit» подверглись три российских СМИ, среди которых «Интерфакс», «Фонтанка», «Аргументы недели». О проблемах также сообщили Международный аэропорт «Одесса», Киевский метрополитен и украинское Министерство инфраструктуры. Согласно заявлению аналитиков Group-IB, преступники также пытались атаковать банковские инфраструктуры, но эти попытки оказались неудачными. Специалисты ESET в свою очередь утверждают, что атаки затронули пользователей из Болгарии, Турции и Японии.
Но как же так получилось, что под одним прицелом хакеров оказались такие разные организации с различной территориальной принадлежностью.
Совпадение? Не думаю…
Давайте попробуем вникнуть в суть произошедших событий и исследовать на первый взгляд случайно совпавшие факты. Детально изучив хронологию и механизмы распространения вируса, постараемся понять картину произошедшего и увидеть в случайных событиях закономерности.
Рассмотрим хронологию появления информации о заражении вирусом «Bad Rabbit».
Первые сообщения в СМИ появились еще 24 октября в первой половине дня. Все они были связаны с украинскими организациями. В том числе, представители Международного аэропорта Одессы заявили об увеличении времени обслуживания пассажиров и работе над устранением неполадок на странице своего официального аккаунта в СС «Фейсбук».
Posted by Odesa International Airport / Международный аэропорт Одесса on Tuesday, 24 October 2017.
После этого о хакерских атаках сообщила пресс-служба международного метрополитена Киева. В пресс-службе метро сообщили о сбоях в работе банковских сервисов при оплате банковскими картами.
Позднее, как сообщило издание 112.ua со ссылкой на свои источники, жертвой кибератаки стало Министерство инфраструктуры Украины. В свою очередь, пресс-секретарь ведомства Марина Томко заявила, что сайт временно не работает в связи с принятием мер по повышению информационной безопасности из-за угрозы кибератаки. Также не работал сайт Государственной авиационной службы.
Норы «Плохого Кролика»
Напомним, 12 октября сего года Служба безопасности Украины предупредила о подготовке новой волны масштабных кибератак, направленных на госструктуры и частные предприятия страны (подробнее: http://www.securitylab.ru/news/489315.php). Таким образом, официальный Киев знал, что атаки будут, кроме того, не исключено, что была задействована инсайдерская информация.
Как оказалось, перебои в работе компаний и госучреждений были вызваны не массовыми DDoS-атаками, а вирусом-шифровальщиком, который носит имя «Bad Rabbit». Так, основатель компании Group-IB Илья Сачков сообщил на своей странице в Facebook, что происходящее является новой эпидемией шифровальщика, получившего название «Badrabbit».
Позднее, во второй половине дня, от крупных российских СМИ начали поступать сообщения о кибератаках, спровоцировавших перебои в работе ресурсов. В частности, вирус заразил сервера интернет-сайтов информационного агентства «Интерфакс», изданий «Фонтанка» и «Аргументы недели».
Теперь необходимо пристальней взглянуть на механизм распространения вируса «BadRabbit».
Изначально эксперты сообщали, что хакеры использовали утилиту Mimikatz, позволяющую извлекать учетные данные из памяти в открытом виде, и с помощью списка логинов/паролей получали доступ к общим папкам SMB в целевой сети. Подробнее анализ функционирования и распространения вируса описан специалистами в области кибербезопасности.
https://www.kaspersky.ru/blog/bad-rabbit-ransomware/19072/
https://securelist.com/bad-rabbit-ransomware/82851/
Говоря простым языком, вирус работает по следующей схеме: Bad Rabbit инфицирует другие компьютеры в сети путем загрузки в нее своих копий. Далее происходит заражение компьютеров, связанных между собой процессом передачи данных, подключенных к одной локальной сети, имеющих один общий сервер. В частности, заражение вирусом одного компьютера рядового сотрудника влечет за собой заражение всей информационно-коммуникационной сети.
Таким образом, анализ показал, что первыми жертвами вируса-шифровальщика стали украинские организации, тем самым запустили дальнейший процесс распространения вируса по связанным элементам сети. Но как же тогда заражению подверглись сайты российских СМИ? Какая взаимосвязь между ними? Ведь «BadRabbit» пришел в Россию уже от инфицированных украинских ресурсов. Способ распространения вируса дает нам подсказку о наличии некой взаимосвязи между данными организациями.
Давайте разберемся и в этом.
Пристальней взглянув на список инфицированных вирусом сайтов российских СМИ и ознакомившись с контентом данных изданий, мы поняли, что заражению подверглись преимущественно либеральные информационные ресурсы.
Далее мы попытались понять, как именно взаимосвязаны украинские правительственные организации и российские либеральные масс-медиа.
В результате расследования удалось установить, что среди доходов как украинских организаций, в частности правительственных, так и российских либеральных СМИ, фигурирует один и тот же второстепенный источник: а именно, национальный фонд поддержки демократии (National Endowment for Democracy, NED).
Организация, связанная с ЦРУ и финансируемая из бюджета США, основанная в 1983 г. Конгрессом США. Под вывеской «поддержки демократии» фонд занимается продвижением интересов США в мире, устраивая «цветные» революции, выступая против антиамериканских правительств и приводя к власти проамериканские?..
NED распределяет свои гранты через четыре основных «канала»: Американский центр международной трудовой солидарности (ACILS), Центр международного частного предпринимательства (CIPE), Международный республиканский институт (IRI) и Национальный демократический институт (NDI). Ежегодно NED выделяет около 1,2 тыс. многомиллионных грантов различным неправительственным коммерческим организациям (НКО), направленных более чем в 100 стран. Вашингтон финансирует, как правило, организации, связанные с поддержкой демократии и различные оппозиционные СМИ.
Госдепартамент США отчитался о миллиардных тратах на вещание в России (подробнее: life.ru/1056152). Как следует из опубликованного детализированного ежегодного отчёта комиссии по публичной дипломатии при Госдепартаменте США, в 2016 году Совет по вопросам вещания США, руководящий деятельностью "Радио Свобода", "Голоса Америки" и телеканала "Настоящее время", потратил на программы в России $21,7 млн (или более 1 млрд рублей). Ранее сенатский комитет по ассигнованию затребовал на 2018 год на 81,6 миллиона больше, чем просил сам Совет управляющих по вопросам вещания (BBG) (подробнее: life.ru/1032182).
На сайте Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) опубликован перечень средств массовой информации с российской юрисдикцией, получающих финансирование из зарубежных источников. Официальное название такого перечня: «Уведомление о получении редакцией средства массовой информации, вещателем или издателем денежных средств от иностранных источников» (там же полный список).
Ранее средства массовой информации работали в РФ, не предоставляя данных контролирующему ведомству об источниках своего финансирования. Однако в 2015 году было принято решение, которое изменило ситуацию. Так, Роскомнадзор обязал средства массовой информации, получающие денежные средства из-за рубежа, разглашать сведения такого рода. Речь о том, что все некоммерческие организации, занимающиеся политической деятельностью в той или иной мере, в России законодательство обязало обозначать свой статус НКО-иностранного агента.
Видимо, причина неспокойствия со стороны отдельных медиаплощадок связана с тем, что их руководящий состав всячески старался скрыть от читателей (зрителей, слушателей) тот факт, что СМИ кормятся с руки представителей иностранных государств. А если кормятся, то, стало быть, во многом и отражают (защищают) интересы зарубежных инвесторов. Ведь наивно полагать, что если газета, журнал, телеканал, радиостанция или интернет-портал финансируются, к примеру, западным фондом, то в этом СМИ читатель (зритель, слушатель) найдёт что-то, что проливает свет на реальные задачи такого рода финансирования. Хотя эти реальные задачи порой уж слишком активно сами себя обнаруживают.
Здесь стоит напомнить и о том, что с января 2017 года в отношении российских СМИ вводится изменённая норма, ограничивающая долю иностранных акционеров планкой в 20%. Кроме того, с 2017 года учредителями СМИ в России не смогут становиться как иностранные граждане, так и лица, имеющие двойное гражданство.
Если говорить о средствах массовой информации, которые связаны с публикацией политических, экономических новостных материалов, а также аналитических статей, то список получающих иностранное финансирование СМИ выглядит следующим образом: Газета «Ведомости» (организация ЗАО «Бизнес Ньюс Медиа»); издания ИД АО «Коммерсантъ», включая газету с одноимённым названием, а также журнал «Огонёк»; «Экономическая политика» (организация АНО Редакция журнала «Экономическая политика»); «Финансовая газета», Fingazeta.ru (организация ООО «ММГ»); Портал «СНОБ» (SNOB) (организация ООО «Сноб Медиа»); «Новая газета» (ЗАО ИД «Новая газета»); заблокированный Роскомнадзором портал «Грани.ру» (ООО «Флавус»).
На текущий момент в реестре иностранных агентов более 60 организаций, 21 из которых в 2014 году получала финансирование из NED. Опрошенные российские эксперты уверены, что по большей части аудитория сотрудников НКО с годами не меняется, это одни и те же люди — могут меняться названия организаций. Еще в 2014 году, согласно реестру Минюста, впервые из американского фонда получили финансирование следующие организации: «Ресурсный правозащитный центр», «Молодежный центр консультации и тренинга», еврейское отделение «Муниципальной академии», калининградская организация информационно-правовых программ «Женская лига», новосибирский областной общественный «Фонд защиты прав потребителей», благотворительная организация помощи беженцам и вынужденным переселенцам «Гражданское содействие», санкт-петербургская правозащитная организация «Лига избирательниц», фонд «Института развития свободы информации» и «Фонд поддержки расследовательской журналистики 19/29».
Согласно материалам Минюста, у этих двух десятков грантополучателей NED есть одна общая цель — «воздействие на принятие государственными органами решений, направленных на изменение проводимой ими государственной политики».
Обратим внимание на последнюю из перечисленных организаций «Фонд поддержки расследовательской журналистики 19/29» или на языке страны основателе фонда «Sdružení investigativních novinářů – Fond 19/29». Это международная некоммерческая организация, зарегистрированная в Праге (Чешская Республика) в 2015 году (идентификационный номер 04222792).
Учредителем фонда является Григорий Пасько.
Данные с сайта Минюста РФ:
В соответствии с Федеральным законом «О некоммерческих организациях» 24.04.2015 г. в реестр некоммерческих организаций, выполняющих функции иностранного агента, включен «Фонд поддержки расследовательской журналистики – Фонд 19/29».
Факт его соответствия признакам некоммерческой организации, выполняющей функции иностранного агента, был установлен в ходе проведения Главным управлением Минюста России по Москве внеплановой документарной проверки.
Теперь посмотрим на взаимосвязь некоторых наших СМИ с NED.
«Фонд 19/29» тесно связан с медиа-холдингом ООО «АЖУР-медиа». Глава компании ООО «АЖУР-медиа» Андрей Константинов (он же – Андрей Баконин) является лидером попечительского совета «Фонда поддержки расследовательской журналистики 19/29». В свою очередь, в «Агентство журналистских расследований» (АЖУР) входит российское либеральное издание «Фонтанка».
Теперь, рассмотрим взаимосвязь NED с украинскими правительственными организациями.
В 2015 г. Национальный фонд поддержки демократии заявил в своём отчёте, что выданные им гранты сыграли важную роль на начальном этапе Евромайдана на Украине в 2013—2014 гг. По данным вышедшего в 2015 г. годового отчёта фонда, за 4 года (с 2011 по 2014 год) NED направил на поддержку украинских некоммерческих организаций почти $14 млн, активную роль в событиях майдана сыграл Институт массмедиа, входящий в состав NED. Всё это в итоге привело к госперевороту и свержению законного президента Виктора Януковича и приходу к власти Петра Порошенко.
В частности, в отчёте написано: Endowment grantees played important roles in the peaceful protests in Kyiv. (Перевод: Получатели грантов от фонда играли важную роль в мирных протестах в Киеве).
После переворота в стране деньги из США стали выделяться правильным организациям, популяризующим политику США.
Теперь давайте соединим все эти факты воедино и подведем итог.
Между российскими оппозиционными СМИ и украинскими организациями установлена следующая взаимосвязь: украинские правительственные организации, как и российские либеральные СМИ, финансируются Национальным фондом демократии. Данную взаимосвязь подтверждает атака хакеров на Украинские правительственные ресурсы и сервера компаний. Именно с Украины пошло заражение и распространение вируса «Badrabbit», атака велась целенаправленно на Украинские ресурсы, тем более, что правительство было в курсе готовящейся атаки, ведь Киев предупреждал об этом. Далее по эффекту бабочки вирус добрался до связанных с Украиной сайтов некоторых российских СМИ. Распространение вируса проходило непосредственно через цепочку, аффилированную с NED. Пока не совсем понятно, кто именно первым попал под удар хакеров: украинские сервера NED или сами организации. Об этом умалчивает Киев, который явно обладал инсайдерской информацией. Далее через те же каналы NED «Плохой Кролик» доскакал и до аффилированных с фондом либеральных СМИ, которые по цепочке стали рушиться друг за другом. Учитывая, что вирус распространяется к другим компьютерам в сети путем загрузки в нее своих копий, наглядно становится видна и группа либеральных СМИ, действующих на территории РФ и за немалую финансовую поддержку Запада активно отстаивающих интересы США. Некоторые издания и ранее фигурировали в отчетах Минюста своими иностранными грантами.
На первый взгляд, казалось, вирус-шифровальщик случайно перекинулся на российские СМИ и некоторые банки, однако, с учетом обстоятельств общего финансирования из-за рубежа, случайность становится не случайной, более того, становится понятно, почему атаки прошли, в том числе и на ряд российских банков. И теперь становится ясно, где была вырыта и насколько глубока кроличья нора. И не будем забывать, что женщина любит ушами, мужчина глазами, собака носом и только кролик тем, чем надо!
Как скакал «Плохой Кролик»
Как обезопасить себя от заражения: Способы борьбы с вирусом Bad Rabbit
Источник: https://ru-polit.livejournal.com/
Фото: Thinkstock