Редакция "Федерального агентства новостей" (РИА "ФАН"), принадлежащего петербургскому олигарху Евгению Пригожину, признала факт американской кибератаки на свои сервера. Агентство сообщило подробности операции.
Как утверждается, сперва один из сотрудников агентства получил фишинговое письмо якобы с документами, касающимися нарушений на промежуточных выборах в Конгресс, и один из приложенных к письму файлов оказался троянской программой, позволившей получить полный удаленный контроль над компьютером. С этого компьютера была сделана первая попытка получить доступ к серверу агентства, но у взломщиков не получилось этого сделать.
Затем сотрудники IT-департамента "ФАН" обнаружили неидентифицированные подключения в Wi-Fi-сетях офиса, но и с их помощью Киберкомандованию США не удалось получить доступ к сети агентства, поскольку локальная и беспроводная сети в офисе разделены. "Спецагенты US Cyber Command довольствовались возможностью выходить в интернет с IP-адреса офисной Wi-Fi сети ФАН. Для чего это делалось, неясно - возможно, для последующей дискредитации ФАН в ходе публикаций запрещенного контента", - говорится в публикации.
Наконец взломщикам удалось заразить компьютер в локальной сети "ФАН" с широкими правами доступа через смартфон Apple iPhone 7 Plus, который был к нему подключен по USB-разъему одним из сотрудников редакции. Смартфон получил доступ в интернет и загрузил файлы обновления Windows, которые установились на компьютер автоматически. Как именно это помогло получить доступ к компьютеру, неясно. "После этого компьютер стал по факту управляем удаленно и с него были проведены все необходимые процедуры для полноценного вторжения в локальную сеть ФАН", - отмечает агентство.
При кибератаке использовались IP-адреса, подконтрольные американским компаниям, в том числе Amazon, утверждают в "ФАН".
В результате атаки в 22 часа по московскому времени 5 ноября 2018 года на внутриофисном сервере "ФАН" был уничтожен RAID-контроллер и выведено из строя два жестких диска из четырех. Также были отформатированы жесткие диски на арендованных в Швеции и Эстонии серверах, использовавшихся для хранения данных портала USA Really. В "ФАН" уверяют, что работа офиса редакции не была парализована, а проект USA Really продолжил работу в штатном режиме.
Между тем Би-Би-Си сообщает со ссылкой на источник, близкий к "американскому" отделу "фабрики троллей", что при кибератаке американцы использовали "бэкдоры" (программа, эксплуатирующая уязвимость в системе), которые "оставлены в их операционных системах для получения полного доступа ко всему". Восстановление было "не быстрым, но это был всего лишь один из офисов, так что это было не так критично", добавил источник. По его словам, после кибератаки сервера "американского отдела" перевели с Windows на Linux. По данным Би-Би-Си, кибератака произошла в то же время, что и предполагаемая атака на "ФАН", - в 22-23 часа по московскому времени 5 ноября. В штате Мэриленд, где находится Киберкомандование США, в это время было 14-15 часов.
Накануне о кибератаке на "фабрику троллей", проведенную Киберкомандованием США, сообщила The Washington Post. Как утверждалось, компьютерам "фабрики" блокировали доступ в интернет.
Атака, сообщала WP, началась в день промежуточных выборов в Конгресс, 6 ноября, и продолжалась еще один или несколько дней. Непосредственной целью было помешать подручным Пригожина в распространении дезинформации об итогах голосования.
Акция стала первой наступательной операцией Киберкомандования США. Ее план был одобрен президентом Дональдом Трампом.