Европейский Союз (ЕС), наряду с правительствами стран-членов Чехии и Германии, а также другими партнерами, включая Великобританию, осудил кампанию кибератак, проводимую поддерживаемым российской разведкой группировкой усовершенствованных постоянных угроз (APT), известной как Fancy Bear – также известный как APT28, Стронций и Лесная метель.
Заявление сопровождает публикацию заявлений Берлина и Праги, в которых подробно описывается, во-первых, компрометация различных учетных записей электронной почты, принадлежащих руководителю Социал-демократической партии Германии, а во-вторых, различным правительственным учреждениям.
ЕС заявил, что органы в других государствах-членах, включая Литву, Польшу, Словакию и Швецию, также подверглись нападению Fancy Bear, которая ранее подверглась санкциям ЕС за кибератаку на федеральный парламент Германии в 2015 году.
В нем говорится, что вредоносная кампания продемонстрировала «постоянную модель безответственного поведения в киберпространстве» России, нацеленную на демократические институты, правительственные учреждения и критически важную инфраструктуру по всей Европе, что противоречит нормам ООН об ответственном поведении государств в киберпространстве и игнорирует международные безопасность и стабильность.
«ЕС не потерпит такого злонамеренного поведения, особенно действий, направленных на деградацию нашей критически важной инфраструктуры, ослабление общественной сплоченности и влияние на демократические процессы, учитывая выборы этого года в ЕС и более чем в 60 странах мира», — заявил Брюссель в своем заявлении. заявление. «ЕС и его государства-члены будут продолжать сотрудничать с нашими международными партнерами для продвижения открытого, свободного, стабильного и безопасного киберпространства. ЕС полон решимости использовать весь спектр мер для предотвращения, сдерживания и реагирования на злонамеренное поведение России в киберпространстве».
Представитель правительства Германии заявил: «Кибератаки на политические партии, государственные учреждения и компании, обеспечивающие критически важную инфраструктуру, представляют угрозу нашей демократии, нашей национальной безопасности и нашему либерально настроенному обществу.
«Федеральное правительство самым решительным образом осуждает повторяющиеся и неприемлемые злонамеренные действия в киберпространстве со стороны российских субъектов, спонсируемых государством, и вновь призывает Россию воздерживаться от такого поведения. Германия полна решимости работать вместе со своими европейскими и международными партнерами над противодействием такой вредоносной кибердеятельности».
Правительство Чехии добавило: «Кибератаки, направленные против политических субъектов, государственных учреждений и критически важной инфраструктуры, представляют собой не только угрозу национальной безопасности, но и подрывают демократические процессы, на которых основано наше свободное общество. Чешские власти продолжат предпринимать шаги по укреплению устойчивости государственных учреждений и частного сектора.
«Чехия глубоко обеспокоена этими неоднократными кибератаками со стороны государственных субъектов», — говорится в сообщении. «Мы полны решимости решительно отреагировать на это неприемлемое поведение вместе с нашими европейскими и международными партнерами».
Предполагается, что в обеих кампаниях против Чехии и Германии APT28 использовал уязвимость в Microsoft Outlook. Вероятно, это был CVE-2023-23397, который был раскрыт в обновлении Patch Tuesday от марта 2023 года и который, как известно, Fancy Bear использовал в большом количестве кибератак, возможно, еще в 2022 году.
Его также использовали против государственных органов и организаций в таких областях, как производство и распределение энергии; трубопроводные операции; и материальные средства, личный и воздушный транспорт.
Целевыми странами были Болгария, Чехия, Италия, Иордания, Литва, Люксембург, Черногория, Польша, Румыния, Словакия, Турция, Украина, ОАЭ и США, а также штаб Сил высокой готовности НАТО, которые рассредоточены по Европе в Великобритания, Франция, Германия, Греция, Польша и Турция.
CVE-2023-23397, который используется путем отправки специально созданного электронного письма потенциальной цели, особенно опасен, поскольку он запускается на стороне почтового сервера, что, с точки зрения непрофессионала, означает, что его можно использовать до того, как электронное письмо будет открыто и просмотрено. Это позволяет злоумышленнику получить доступ к хешу Net-NTLMv2 жертвы и использовать его для аутентификации, выдавая себя за него, тем самым обходя меры аутентификации. Впервые его обнаружили украинские кибер-власти.
Реакция Великобритании
В Великобритании Вестминстер сразу же присоединился к ЕС и пострадавшим странам, решительно осудив действия Fancy Bear.
«Сегодняшние заявления наших союзников демонстрируют масштаб, настойчивость и серьезность неприемлемого поведения России в киберпространстве», — заявил представитель Министерства иностранных дел, по делам Содружества и развития.
«Недавние действия российской кибергруппы ГРУ APT28, включая нападение на руководителя Социал-демократической партии Германии, являются последним в известной модели поведения российских спецслужб по подрыву демократических процессов во всем мире.
«7 декабря 2023 года Великобритания раскрыла серию попыток российских спецслужб атаковать высокопоставленных британских физических и юридических лиц посредством киберопераций», — заявили они. «В то же время мы ввели санкции в отношении двух граждан России, ответственных за политическое вмешательство.
«Поскольку в 2024 году пройдут многочисленные выборы по всему миру, повышение осведомленности об угрозе для Великобритании и наших международных партнеров остается жизненно важным для нашей коллективной устойчивости. Сегодня, как часть широкой коалиции союзников, мы ясно даем понять российскому государству, что будем продолжать выявлять, разоблачать и реагировать на такую неприемлемую деятельность».
