На фото: Андрей Коринец и Руслан Перетятько, источник — правительственный сайт США
Власти США предъявили обвинения двум гражданам России, работающим в Федеральной службе безопасности России, их обвиняют в проведении глобальной кампании по компьютерному вторжению. В обвинительном заключении говорится, что группа хакеров взломала компьютеры в США и странах-союзниках и похитила информацию, использованную в операциях по оказанию злонамеренного иностранного влияния, чтобы повлиять на выборы в Великобритании в 2019 году. Обвинения также выдвинула Великобритания.
Большое федеральное жюри в Сан-Франциско вынесло обвинительное заключение во вторник, 5 декабря, пока что в отношении двух россиян — офицера Центра информационной безопасности («18-й центр») Руслана Александровича Перетятько, а также Андрея Станиславовича Коринеца. По данным The Insider, к кампании по взлому также причастны сотрудники Центра радиоэлектронной разведки на средствах связи, известного как «16-й центр» (в/ч № 71330). Согласно данным Минюста США, Руслан Перетятько является гражданином России и сотрудником ФСБ, проживает в Сыктывкаре, Республика Коми, Россия. Андрей Коринец также проживает в Коми, однако ведомство не указывает его место работы.
В дополнение к обвинительному заключению Управление по контролю за иностранными активами Министерства финансов (OFAC) объявило, что оно наложило санкции как на Перетятько, так и на Коринеца за их участие во вредоносной кибердеятельности. Более того, Великобритания ввела собственные санкции, а Госдепартамент США объявил о вознаграждении в размере до $10 млн за информацию, позволяющую установить личность или местонахождение Перетятько и Коринеца, а также их сообщников.
В обвинительном заключении говорится, что Перетятько и Коринец входят в так называемую хакерскую «группу Каллисто» (Callisto Group, под этим именем отслеживается финской F-Secure). В заключении уточняется, что группа также известна как под названиями Dansing Salome (под этим именем отслеживается Kasperskiy Lab), SEABORGIUM и STAR BLIZZARD (отслеживается Microsoft Threat Intelligence), COLDRIVER (отслеживается Google) и TA446 (отслеживается Proofpoint). Группа проводит кибершпионские атаки против военнослужащих, государственных чиновников, аналитических центров и журналистов в странах НАТО, регионах Балтии, Скандинавии и Восточной Европы.
В чем обвиняют двух россиян
В частности, речь идет о краже документов, касающихся торговли между США и Великобританией. Документы были украдены из электронной почты бывшего министра торговли Лиама Фокса. Среди украденной информации было шесть траншей документов, детально описывающих британские торговые переговоры с США. Однако в 2020 году, когда выявили утечку, не была названа конкретная группа, стоявшая за атакой. Сейчас в обвинении прямо говорится о работе хакеров в «группе Каллисто», связанной с ФСБ.
В обвинительном заключении утверждается, что заговор был направлен против действующих и бывших сотрудников разведывательного сообщества США, Министерства обороны, Государственного департамента, оборонных подрядчиков и объектов Министерства энергетики по крайней мере в период с октября 2016 года по октябрь 2022 года. Кроме того, в обвинительном заключении утверждается, что хакеры преследовали военных и правительственных чиновников, исследователей и сотрудников аналитических центров, а также журналистов в Соединенном Королевстве и других странах.
Как действуют Callisto / SEABORGIUM
«В целевых странах SEABORGIUM в первую очередь фокусирует свои операции на оборонных, разведывательных и консалтинговых компаниях, неправительственных и международных организациях, аналитических центрах и вузах, — пишут аналитики Microsoft. — SEABORGIUM замечена в атаках на бывших сотрудников разведки, экспертов по России и российских граждан за рубежом».
Аналитики Microsoft Threat Intelligence Center (MSTIC) пишут, что участники SEABORGIUM создают фейковые онлайн-личности с помощью электронной почты, социальных сетей и учетных записей LinkedIn. Затем эти фальшивки используются против целевых лиц и организаций с помощью социальной инженерии. От лица таких фейковых личностей злоумышленники связываются с интересующими их целями, чтобы завязать разговор и наладить контакт, а в итоге присылают жертве фишинговое вложение в одном из писем. Microsoft сообщает, что хакеры распространяли письма с вложенными PDF-файлами, ссылками на файлообменники или аккаунты OneDrive, где также размещались PDF-документы.
После открытия такого файла жертва увидит сообщение о том, что документ не может быть просмотрен, так как нужно нажать специальную кнопку, чтобы повторить попытку. Нажатие на кнопку приводит жертву на целевую страницу, где запущен фишинговый фреймворк для отображения формы входа. Так как EvilGinx действует как прокси, хакеры получают возможность перехватить и похитить введенные учетные данные, а также файлы cookie / токены аутентификации, сгенерированные после входа в учетную запись. Затем эти украденные токены позволяют злоумышленникам войти в скомпрометированный аккаунт пользователя, даже если у жертвы включена двухфакторная аутентификация.