США оголосили нагороду $10 млн за двох хакерів ФСБ

США оголосили нагороду $10 млн за двох хакерів ФСБ

На Андрія Коринця та Руслана Перетятька полює також Британія.

Влада США звинуватила двох громадян Росії, які працюють у Федеральній службі безпеки Росії, їх звинувачують у проведенні глобальної кампанії з комп’ютерного вторгнення. У обвинувальному висновку йдеться про те, що група хакерів зламала комп’ютери в США та країнах-союзниках і викрала інформацію, використану в операціях з надання зловмисного іноземного впливу, щоб вплинути на вибори у Великій Британії у 2019 році. Звинувачення також висунула Великобританія, пише The Insider.

Велике федеральне журі у Сан-Франциско винесло обвинувальний висновок у вівторок, 5 грудня, поки що стосовно двох росіян — офіцера Центру інформаційної безпеки («18-й центр») Руслана Олександровича Перетятька, а також Андрія Станіславовича Коринця. За даними видання, до кампанії зі злому також причетні співробітники Центру радіоелектронної розвідки засобами зв’язку, відомого як «16-й центр» (в/ч № 71330). За даними Мін’юсту США, Руслан Перетятько є громадянином Росії та співробітником ФСБ, проживає в Сиктивкарі, Республіка Комі, Росія. Андрій Коринець також мешкає у Комі, проте відомство не вказує його місце роботи.

На додачу до обвинувального висновку Управління з контролю за іноземними активами Міністерства фінансів (OFAC) оголосило, що воно наклало санкції як на Перетятька, так і на Коринця за їхню участь у шкідливій кібердіяльності. Більше того, Великобританія запровадила власні санкції, а Держдепартамент США оголосив про винагороду у розмірі до $10 млн за інформацію, що дозволяє встановити особу чи місцезнаходження Перетятька та Коринця, а також їхніх спільників.

У обвинувальному висновку йдеться, що Перетятько та Коринець входять до так званої хакерської «групи Каллісто» (Callisto Group, під цим ім’ям відстежується фінська F-Secure). У висновку уточнюється, що гурт також відомий під назвами Dansing Salome (під цим ім’ям відстежується Kasperskiy Lab), SEABORGIUM і STAR BLIZZARD (відстежується Microsoft Threat Intelligence), COLDRIVER (відстежується Google) та TA446 (відстежується Proofpoint). Група проводить кібершпигунські атаки проти військовослужбовців, державних чиновників, аналітичних центрів та журналістів у країнах НАТО, регіонах Балтії, Скандинавії та Східної Європи.

У чому звинувачують двох росіян

Зокрема, йдеться про крадіжку документів щодо торгівлі між США та Великобританією. Документи були викрадені з електронної пошти колишнього міністра торгівлі Ліама Фокса. Серед вкраденої інформації було шість траншів документів, які детально описують британські торговельні переговори зі США. Однак у 2020 році, коли виявили витік, не було названо конкретної групи, яка стояла за атакою. Зараз у звинуваченні прямо йдеться про роботу хакерів у «групі Каллісто», пов’язану з ФСБ.

У обвинувальному висновку стверджується, що змова була спрямована проти діючих і колишніх співробітників розвідувальної спільноти США, Міністерства оборони, Державного департаменту, оборонних підрядників та об’єктів Міністерства енергетики принаймні у період із жовтня 2016 року до жовтня 2022 року. Крім того, в обвинувальному висновку стверджується, що хакери переслідували військових та урядовців, дослідників та співробітників аналітичних центрів, а також журналістів у Сполученому Королівстві та інших країнах.

Як діють Callisto/SEABORGIUM

«У цільових країнах SEABORGIUM насамперед фокусує свої операції на оборонних, розвідувальних та консалтингових компаніях, неурядових та міжнародних організаціях, аналітичних центрах та вишах, — пишуть аналітики Microsoft. — SEABORGIUM помічено в атаках на колишніх співробітників розвідки, експертів з Росії та російських громадян за кордоном».

Аналітики Microsoft Threat Intelligence Center (MSTIC) пишуть, що учасники SEABORGIUM створюють фейкові онлайн-особи за допомогою електронної пошти, соціальних мереж та облікових записів LinkedIn. Потім ці фальшивки використовуються проти цільових осіб та організацій за допомогою соціальної інженерії. Від імені таких фейкових особистостей зловмисники пов’язуються з цільами, що їх цікавлять, щоб зав’язати розмову і налагодити контакт, а в результаті надсилають жертві фішингове вкладення в одному з листів. Microsoft повідомляє, що хакери розповсюджували листи з вкладеними PDF-файлами, посиланнями на файлообмінники або облікові записи OneDrive, де також розміщувалися PDF-документи.

Після відкриття такого файлу жертва побачить повідомлення про те, що документ не може бути переглянутий, оскільки потрібно натиснути спеціальну кнопку, щоб повторити спробу. Натискання кнопки приводить жертву на цільову сторінку, де запущено фішинговий фреймворк для відображення форми входу. Оскільки EvilGinx діє як проксі, хакери отримують можливість перехопити та викрасти введені облікові дані, а також файли cookie/токени аутентифікації, згенеровані після входу до облікового запису. Потім ці вкрадені токени дозволяють зловмисникам увійти в скомпрометований обліковий запис користувача, навіть якщо у жертви включена двофакторна автентифікація.