Только сейчас ФБР объявило о том, что киберпреступники из группы Fancy Bear (также известной под названием АТР28) в течение почти полутора лет проводили систематические кибератаки на предприятия, учреждения, государственные структуры США. Сообщается, что большинство осуществленных атак так и не были раскрыты и обнаружены. Они проводились с декабря 2018 г. по май 2020 г.
По информации представителей ФБР, основной целью российских киберпреступников (предполагается, что Fancy Bear – группировка российских хакеров, которая контролируется властями РФ) был скрытый взлом почтовых и VPN-сервисов, аккаунтов в Microsoft Office 365, личных email. В ФБР отмечают, что перечень жертв состоит из «огромного количества организаций США, государственных управлений и ведомств, учебных заведений разного уровня».
Помимо этого, группировка Fancy Bear параллельно организовала вредоносную кампанию, которая проводилась для атак на американские предприятия энергетической отрасли.
В соответствии с сообщением ФБР, киберпреступники из России старались получить полный доступ к корпоративным сетям компаний посредством фишинга – вредоносные email отправлялись на личную и бизнес-почту сотрудников. Также хакеры применяли брутфорс и атаки типа «password-spraying», с помощью которых распространенные пароли вводятся одновременно в несколько аккаунтов.
В ФБР не говорят точно, сколько именно американских компаний пострадало от действий российских злоумышленников. Эксперты из компании FireEye отмечают, что они обнаружили несколько организаций, внутренние сети которых были скомпрометированы с применением IP-адресов, которые часто использовались Fancy Bear.
Интересно, что в большинстве взломанных сетей киберпреступники из APT28 просто перемещались в качестве реальных сотрудников, не нанося корпоративной инфраструктуре никакого вредоносного воздействия. Поэтому не совсем понятно, какие именно цели преследовали российские хакеры, если после взлома корпоративных сетей многих компаний просто ничего не делали.
