Fancy Bears подделали «доказательства» связи российских СМИ с Госдепом

Сайт Fancy Bear после взлома базы Всемирного антидопингового агентства. Сентябрь 2016 года

Фото: Александр Земляниченко / AP

Хакерская группировка Fancy Bears, предположительно связанная с ГРУ, фальсифицировала «доказательства» того, что оппозиционер Алексей Навальный и независимые российские СМИ выполняют заказ Госдепа по подготовке в России «цветной революции»

Хакерская группировка Fancy Bears (они же APT28), которую принято называть «русскими хакерами», сфабриковали доказательства сотрудничества Госдепа США с независимыми российскими СМИ и оппозиционером Алексеем Навальным. Соответствующее исследование опубликовала правозащитная организация Citizen Lab.

Как говорится в публикации Republic, фальсификация стала возможной после получения хакерами доступа к документам американского журналиста Дэвида Сэттера, который с 2013 года работал на «Радио Свобода» в Москве. До того, как разместить в открытом доступе документы Сэттера, хакеры внесли в них свои правки, изменив их содержание. Так, в опубликованных файлах американского журналиста появилась якобы его переписка о расследовании про премьер-министра Дмитрия Медведева и его недвижимость, а также документы о критических публикациях в российских независимых СМИ, которые касаются политики Кремля.

Среди изданий, которые упоминались в фальсифицированных «доказательствах» связи журналистов в Госдепом, были только независимые российские СМИ — РБК, «Ведомости», «Дождь» и Republic (тогда — Slon). Эти издания публиковали расследования об окружении

и семье президента Владимира Путина, квартире вице-премьера Игоря Шувалова (блог Навального), даче премьер-министра Дмитрия Медведева (ФБК), финансировании проектов, связанных с Путиным (Republic), новости о кооперативе «Озеро» (Rebublic), расследовании о недвижимости губернатора Тульской области («Дождь»), публикации о предполагаемых бизнес-связях губернатора Подмосковья Андрея Воробьева («Ведомости»).

Как отмечает Republic, подмена файлов Сэттера, которые должны были стать доказательствами существования работы некоторых высокопоставленных российских чиновников и СМИ с Госдепом, произошла в октябре 2016 года. Тогда же в государственных российских изданиях появились публикации о том, что США «готовят цветную революцию по примеру Украины» — с похожими названиями вышли публикации в «Российской газете», «Рен-ТВ», РИА Новости, RT и «Царьград-ТВ». Как отмечалось в публикациях, через Сэттера в Россию попадала информация с американским «госзаказом».

Исследователи Citizen Lab выяснили, что хакеры взломали файлы Сэттера с помощью фишинг-сообщения в электронной почте, которое пришло с адреса g.mail2017@yandex.com, при этом IP-адрес находился в Румынии.

Специалисты Citizen Lab утверждают, что Сэттер был не единственным пострадавшим от кибератак Fancy Bears — их жертвами стали около 200 человек из 39 государств и международных организаций, среди которых НАТО, ООН, Латвия, Черногория, Украина, Армения, Узбекистан и другие.

Фишинговая ссылка, от которой пострадали чиновники и организации из всех этих стран, оказалась похожей на ту, которую отправляли хакеры, атакующие серверы партий США во время президентских выборов. Кроме того, предположительно, это были те же люди, что пытались взломать базы организации BellingCat, расследовавшей крушение рейса МН-17 в Донбассе. Хакеры, которых тогда посчитали ответственными за обе эти атаки, оказались участниками группировки Fancy Bears. Эта группировку неоднократно связывали с ГРУ Минобороны России. В частности, об этом говорилось в отчетах специализирующихся на кибербезопасности компаний CrowdStrike и ThreatConnect. Данных, противоречащих этой информации, ни с какой из сторон до настоящего времени в публичное пространство не поступало.