Вечером 5 мая 2017 года один из двух кандидатов в президенты Франции Эммануэль Макрон за полтора дня до решающего второго тура выборов стал жертвой масштабной хакерской атаки . Неизвестные опубликовали около 9 ГБ документов из почтовых ящиков предвыборного штаба бывшего инвестиционного банкира и министра экономики.
Таким образом, французский политик стал очередной жертвой «политических» взломов, когда неизвестные выкладывают в свободный доступ конфиденциальную переписку политиков: это началось с диппочты американских дипломатов на Wikileaks, затем была Демократическая партия США, российский премьер-министр Дмитрий Медведев и другие политики РФ, а теперь французский кандидат в президенты.
Судя по всему, в современном информационном обществе у политиков уже не может быть абсолютно никаких секретов от публики.
Нужно заметить, что до этой утечки документов ставленник бывшего президента Макрон считался явным лидером по результатам опросов, заметно опережая праворадикального кандидата Марин Ле Пен, которая выступает за выход из Евросоюза, жёсткие меры против мигрантов, против глобализации и за национальное возрождение Франции в стиле «Сделаем Францию снова великой!». По последним опросам, рейтинг Макрона составлял 62%. За последние 50 лет предвыборные опросы отличались от реальных результатов выборов, в среднем, на 3,9% .
Политическое движение Макрона подтвердило факт взлома. «Движение En Marche! Этим вечером стало жертвой массированной и скоординированной хакерской атаки, - сказано в официальном заявлении . - Различная внутренняя информация быстро распространилась по социальным медиа». Движение сказало, что документы демонстрируют нормальную работу политической партии, но в социальных медиа их смешивают с поддельными документами, которые сеют «сомнение и дезинформацию».
Предвыборная бухгалтерия
Представители британской исследовательской фирмы Digital Forensic Research Lab считают, что первоначальное распространение документов и хештега #MacronLeaks осуществляли ультраправые американские националисты, а затем волну подхватило ключевое ядро французских сторонников Марин Ле Пен. Специалисты говорят, что первым хештег появился в твиттере американского активиста Джека Пособеца (Jack Posobiec) (он сам говорит , что взял ссылки из ветки /pol/ на 4chan и просто придумал хештег). Анализ его твиттера показывает, что изначально Джек использовал хештег #MacronGate. По статистике, именно американские пользователи наиболее активно распространяли новость на первом этапе.
Министр внутренних дел Франции предупредил журналистов французских СМИ об осторожности при публикации деталей из конфиденциальной переписки En Marche!, ведь ровно за сутки до официального дня выборов начинает действовать запрет на публикацию любой информации, которая может повлиять на результат голосования. Публикация такой информации может привести к заведению уголовных дел, сказал министр. Такой запрет будет действовать до момента закрытия последних избирательных участков в воскресенье 18:00 GMT.
Официальное заявление En Marche! сделано вчера в 23:56 по местному времени, когда оставалось четыре минуты до вступления в силу запрета.
Детальное расследование взлома пока не приведено. Виталий Кремез, директор по исследованиям американской компании по информационной безопасности Flashpoint, сообщил, что его обзор ситуации указывает на работу известной хакерской группы APT28 (Fancy Bear) , которая специализируется на кибершпионаже.
Кремез сказал, что в апреле APT28 зарегистрировала ряд доменных имён, которые похожи на названия официальных серверов En Marche! Среди них onedrive-en-marche.fr и mail-en-marche.fr. Эти домены могли использоваться для целевой рассылки писем для фишинга и установки зловредов на компьютеры, с которых могли сниматься учётные данные для взлома почтовых серверов En Marche! Кремез считает, что это более широкий подход и серьёзный объём усилий, чем показали хакеры во время вмешательства в американскую предвыборную кампанию.
В апреле специалисты компании Trend Micro говорили , что атака на En Marche! в марте осуществлялась той же хакерской группой, которая проводила взлом почтовых серверов Демократической партии США, то есть хакерской группой APT28 (Fancy Bear).
Занимающаяся публикацией секретных данных спецслужб, сообщила, что в мета-данных писем штаба кандидата в президенты Франции от движения «Вперед!» Эммануэля , вскрытых хакерами днем ранее, были обнаружены записи с данными сотрудника российской компании «Эврика».
«Имя сотрудника подрядной компании появляется девять раз в данных по просочившемуся архиву xls_cendric.rar», — утверждается в твиттере организации.
Сообщение сопровождено снимком экрана, на котором изображена таблица с датами. В ней фигурирует имя: . В следующем сообщении WikiLeaks приводит статью, в которой говорится о том, что
ЗАО «Эврика» является поставщиком информационных решений и производителем вычислительной техники, компания получила две лицензии Федеральной службы безопасности России, дающие право осуществлять деятельность в области защиты государственной тайны.
«Приоритетными направлениями деятельности компании являются разработка и создание комплексных информационных систем, корпоративных сетевых решений, производство вычислительной техники. Постоянными клиентами компании являются , Государственный таможенный комитет, ГУИН , Главное управление по Петербургу, КУГИ Петербурга», — цитирует WikiLeaks сообщение пресс-службы «Эврики».
Вечером 5 мая один из главных претендентов на пост президента Франции Эммануэль Макрон заявил, что стал жертвой компьютерного взлома. В частности, была похищена информация, содержащаяся во всех электронных письмах политика. Всего в интернете в профиле под названием EMLEAKS было размещено около 9 Гб данных, касающихся Макрона.
На следующий день комиссия по контролю за проведением кампаний в рамках президентских выборов Франции призвала СМИ не публиковать информацию, ставшую известной в результате хакерской атаки.
«Председатель комиссии обращает внимание средств массовой информации на то чувство ответственности, которое они должны продемонстрировать, поскольку в опасности находятся свободное выражение голосов избирателей и подлинность голосования. Таким образом, он требует от средств массовой информации и, в частности, от их интернет-сайтов не сообщать о содержании этих данных, напоминая, что распространение ложной информации может преследоваться по закону», — говорилось в сообщении комиссии.
Действующий президент Франции , в свою очередь, заявил, что данный взлом не останется без ответа.
«Мы знали, что будут подобные риски во время президентской кампании, так как это уже случалось в других местах. Ничто не останется без ответа», — подчеркнул глава государства.
Отметим, что WikiLeaks ранее обвиняли в связях с Россией. В октябре 2016 года со ссылкой на высокопоставленных чиновников страны сообщил, что в США началось расследование относительно подозрений в получении организацией WikiLeaks информации от России.
«Поскольку WikiLeaks продолжает публиковать электронные письма председателя избирательной кампании экс-кандидата в президенты США Хиллари Клинтона , официальные лица США сообщили, что собирается все больше доказательств того, что Россия использует WikiLeaks в качестве инструмента для публикации сообщений и другой украденной информации», — указывал собеседник CNN.
Тогда же должностные лица американской разведки начали официальное расследование связей между ФСБ и WikiLeaks. В ходе изучения данных они выражали уверенность в том, что российские спецслужбы стоят за утечками. WikiLeaks не дала никакого ответа на эти обвинения.
В январе 2017 года признавшийся во взломе почты Клинтон румынский хакер Марсель Лазар, известный под именем Guccifer, выразил сомнения относительно обвинений администрации предыдущего президента США в адрес России по поводу причастности Москвы к кибератакам.
Похоже, это Россия, вы ведь ощущаете это, поэтому, возможно, это и была наверняка Россия. Именно такой версии придерживается сообщество специалистов по компьютерной безопасности, которое в настоящий момент пытается выяснить, кто украл данные членов предвыборного штаба избранного президента Франции Эммануэля Макрона.
Возьмем, к примеру, компанию FireEye, которая первой заявила о том, что хакеры, взломавшие системы национального комитета Демократической партии и известные как APT28 и Fancy Bear, работали на Россию. Именно эти хакеры теперь являются главными подозреваемыми в совершении атак на представителей предвыборного штаба Макрона, чьи данные появились в интернете в пятницу, 5 мая, за два дня до второго раунда президентских выборов во Франции.
Представители FireEye заявили, что связи между группировкой APT28 и хакерской атакой на Макрона в основном устанавливаются на основании «TTP» — «тактик, методов и процедур». Атаковавшие Макрона хакеры — начиная с фишинговых атак и заканчивая распространением информации, в том числе посредством аккаунта Wikileaks в Твиттере — пользовались многими TTP, которые были характерны для атак APT28. Об этом сообщил глава отдела кибершпионажа компании FireEye Джон Халтквист (John Hultqvist).
Кроме того, было обнаружено два IP-адреса — оба европейские — которые использовались в ходе фишинговых атак на предвыборный штаб Макрона: onedrive-en-marche.fr и mail-en-marche.fr. Эксперты компании Trend Micro еще до утечек сообщили, что, по их мнению, эти сайты, созданные в марте и апреле, принадлежат Fancy Bear.
Однако Халтквист лишь сказал, что эту атаку, «возможно», провели хакеры APT28 — группировки, которой, по мнению американского правительства, руководит шпионское подразделение Кремля, Главное разведывательное управление (ГРУ). «Многие предсказывали подобный инцидент, и ему предшествовала такая хакерская активность, которая характерна для APT28», — сказал Халтквист. Но он добавил, что «предельное внимание, с которым этот противник отнесся к безопасности операции, может существенно уменьшить возможности экспертов в их поисках исполнителей этой атаки».
Компания CrowdStrike, которая обнаружила массу данных, указывающих на причастность предположительно российской группировки Fancy Bear к хакерским атакам на системы национального комитета Демократической партии, тоже не смогла найти конкретные технические связи между ними, проведя предварительный анализ имеющихся данных. (Ее эксперты пришли к выводу, что у них нет возможности провести подробный и всеобъемлющий анализ.)
Россия неоднократно отрицала свою причастность к кибер-вмешательству в американские президентские выборы и к другим кибершпионским кампаниям. Кремль не отреагировал на просьбу прокомментировать информацию о его возможной причастности к хакерским атакам против представителей штаба Макрона.
Кириллица вводит в заблуждение?
На причастность России может указывать еще один факт. Однако это вполне может оказаться отвлекающим маневром.
В метаданных попавших в интернет файлов предвыборного штаба Макрона была обнаружена кириллица. Пока неясно, как она туда попала. Было ли это промахом? Или это диверсия? Ответить на эти вопросы невозможно.
Эти метаданные появились там, потому что эти файлы подвергались редактированию в русскоязычной версии Microsoft Excel. Выяснилось, что половину изменений внес пользователь по имени «Рошка Георгий Петрович» — именно такой вывод сделал Крис Домэн (Chris Doman) из AlienVault. Компания подчеркнула, что это вполне может оказаться фейковой информацией, специально заложенной хакерами, результатом ошибки хакера или следствием того, что в этой хакерской атаке мог оказаться замешанным ни о чем не подозревавший пользователь с таким именем.
Как сказал Домэн, он не увидел «никаких однозначных данных», которые позволили бы с уверенностью связать два фишинговых домена, обнаруженных компанией Trend Micro, и утечку данных из штаба Макрона, «хотя это кажется возможным».
Ситуация осложняется еще и тем, что Мунир Махджуби (Mounir Mahjoubi), отвечавший за цифровые технологии в штабе Макрона, намекнул французской прессе на то, что соратники Макрона, возможно, сами помещали на свои серверы фейковые данные в качестве приманки, которая должна была привлечь хакеров и заставить их украсть помеченные данные. Подобные приманки часто используются для того, чтобы отслеживать действия хакеров.
В отличие от ситуации с национальным комитетом Демократической партии, поиски тех, кто стоит за хакерскими атаками на предвыборный штаб Макрона, оказались гораздо более сложной задачей.
Материалы ИноСМИ содержат оценки исключительно зарубежных СМИ и не отражают позицию редакции ИноСМИ.
Оригинал взят у avmalgin в Георгий Петрович, у вас ус отклеился
В опубликованном 5 мая массиве взломанной переписки Эммануэля Макрона и его штаба обнаружен ряд писем, которые были изменены пользователем по имени Георгий Петрович Рошка — об этом свидетельствуют метаданные писем.
Те документы, где The Insider обнаружил следы Георгия Рошки (а таких не меньше 6), представляют собой финансовые документы штаба Макрона, вот один из них:
Реальным автором документа, судя по тем же метаданным, был казначей штаба Макрона — Седрик О (это не аббревиатура, а полное имя). Но затем документ был изменен неким Георгием Рошкой. Человек с именем Георгий Петрович Рошка работает в ЗАО «Эврика», производящей вычислительную технику и программное обеспечение, основными клиентами которой являются российские государственные органы, в том числе Минобороны и спецслужбы.
Георгий Рошка — программист, который участвовал в профильных конференциях, например «Параллельные вычислительные технологии», прошедшей в 2014 году в Ростове-на-Дону. На момент публикаций Рошка на запрос The Insider не ответил.
Напомним, вчера, 5 мая, интернет-портал WikiLeaks опубликовал ссылку на взломанную переписку кандидата в президенты Франции Эмманюэля Макрона и его окружения, состоящую из нескольких сотен тысяч электронных писем, фото и приложений, датированных периодом до 24 апреля 2017 года. Размер массива около 9 ГБ.
Команда Макрона, сообщила, что документы были получены несколько недель назад в результате взлома персональных и рабочих почтовых ящиков некоторых представителей движения «Вперед!» и отметила, что помимо реальных писем и документов в массиве есть и фейки.
Ранее японская компания Trend Micro подтвердила, что за кибер-атакой на ресурсы Макрона (которую штаб зафиксировал еще в феврале) стоят российская хакерская группировка Pawn Storm, также известная как Fancy Bear и APT28. Та же группировка ранее совершала многочисленные кибер-атаки в других западных странах, в том числе США, где в преддверии президентских выборов взломанная почта Демократической партии также была передана для распространения WikiLeaks.
Напомним, основателем WikiLeaks является Джулиан Ассанж, известный в том числе своим шоу на телеканале Russia Today.
Отметим, что ранее целый ряд независимых компаний в области информационной безопасности независимо друг от друга подтвердили связь Fancy Bear/APT28 с российскими властями (среди них, в том числе, и эксперты Google). Одной из первых стала именно компания Trend Micro, которая обнаружила мощную хакерскую группу с особым стилем атак, названную компанией Pawn Storm. Компании удалось установить, что одна и та же группа использовалась и при атаке на российских оппозиционеров, и при атаке на американские сервера (позже это подтвердил еще целый ряд компаний). Подробнее об этих атаках эксперт Trend Micro рассказал в интервью The Insider.
Ранее российские хакеры уже были замечены в том, что в выкладываемых массивах перемежают реальные документы с фейками. Так было, например, при выкладке массивов фонда «Открытое общество» Джорджа Сороса, где вместе с реальными файлами были выложены грубо подделанные документы, призванные создать впечатление, будто деньги от фонда получает Алексей Навальный.
