Обвинения, озвученные Министерством иностранных дел Франции, стали первым случаем, когда страна на национальном уровне публично связала APT28 с конкретными подразделениями ГРУ — Unit 26165 и Unit 20728.

Это заявление подчёркивает растущую озабоченность Парижа по поводу киберугроз со стороны России и сигнализирует о намерении усилить противодействие в киберпространстве, указывают комментаторы.

Кибербанда ГРУ APT28, действующая с середины 2000-х годов, считается одной из самых активных и опасных террористических групп, связанных с российскими спецслужбами.

По данным западных разведок, включая американскую CrowdStrike и британский NCSC, она подчиняется ГРУ и специализируется на кибершпионаже, кибертерроризме дестабилизации и утечках данных.

Среди наиболее известных «операций» Fancy Bear — взлом серверов Демократической партии США в 2016 году, атака на Всемирное антидопинговое агентство (WADA) в 2017 году и попытки вмешательства в выборы во Франции в 2017 году через кампанию MacronLeaks.

Согласно отчёту французского Национального агентства по кибербезопасности (ANSSI) от октября 2023 года, APT28 с 2021 года атаковала французские правительственные учреждения, университеты, исследовательские институты, аналитические центры и частные компании.

ГРУ использовало сложные методы, включая фишинговые письма со скомпрометированных учётных записей, эксплуатацию уязвимостей нулевого дня (например, CVE-2023-23397 в Microsoft Outlook и CVE-2023-38831 в WinRAR) и компрометацию периферийных устройств, таких как маршрутизаторы Ubiquiti. Для управления своими операциями они применяли легитимные облачные сервисы, такие как Microsoft OneDrive и Google Drive, чтобы замаскировать трафик, и инструменты вроде Mimikatz для извлечения паролей.

Французские власти заявили, что с 2021 года APT28 атаковала около десяти ключевых организаций, включая объекты критической инфраструктуры, такие как энергетические и транспортные компании.

Хотя конкретные цели не разглашаются, ANSSI отметила, что русские стремились получить доступ к конфиденциальной информации, включая данные о государственной политике, обороне и международных отношениях.

В отличие от разрушительных атак, таких как NotPetya, приписываемых другой спецбанде ГРУ (Sandworm), действия APT28 были ориентированы на шпионаж, минимизируя риск обнаружения.

Ключевой особенностью атак было использование уязвимостей в почтовых системах, таких как Microsoft Exchange и Roundcube, для перехвата переписки и кражи учётных данных.

Например, в период с марта 2022 по июнь 2023 года хакеры активно эксплуатировали уязвимость CVE-2023-23397, позволяющую инициировать SMB-соединение для кражи хэшей аутентификации. ANSSI также зафиксировала использование VPN-сервисов, таких как NordVPN и ProtonVPN, для анонимизации операций, и инструмента CredoMap для сбора данных из браузеров жертв.

Заявление Франции прозвучало на фоне роста кибертерроризма, организованного Россией в Европе. В мае 2024 года Германия, Чехия, Польша, Литва, Словакия и Швеция обвинили APT28 в атаках на свои политические и инфраструктурные объекты, включая немецкую Социал-демократическую партию и чешские государственные учреждения.

США также неоднократно вводили санкции против членов APT28 за вмешательство в выборы 2016 года и атаки на критическую инфраструктуру, включая спутниковую сеть Viasat в 2022 году.

Франция призвала к международному сотрудничеству для противодействия русской киберугрозе, подчеркнув, что киберпространство стало полем для геополитической борьбы.

Министр иностранных дел Франции Жан-Ноэль Барро заявил: «Мы наблюдаем, блокируем и боремся с нашими противниками в киберпространстве».

Париж также намерен укрепить национальные системы кибербезопасности, включая обязательное внедрение двухфакторной аутентификации и регулярное обновление программного обеспечения.

Обвинения Франции в адрес России подкреплены техническими данными ANSSI, которые совпадают с выводами других западных агентств, таких как CISA и NSA.

Связь APT28 с ГРУ подтверждается в том числе американскими судебными документами, где эта русская спецбанда идентифицируется как Unit 26165.

Комментаторы указывают, что мотивы APT28 связаны с интересами России в сборе разведданных о политике НАТО, санкциях и поддержке Украины. Франция, как активный член НАТО и поставщик военной помощи Киеву, представляет приоритетную цель.

Атаки на критическую инфраструктуру могут также служить подготовкой к дестабилизирующим террористическим операциям и масштабным диверсиям в случае эскалации конфликта.

Россия традиционно отрицает причастность к кибератакам, называя такие обвинения «русофобскими». Например, в мае 2024 года Москва отвергла аналогичные претензии Германии, обвинив Берлин в попытке обострить отношения.

Обвинения Франции в адрес APT28 подчёркивают серьёзность киберугроз, исходящих от Москвы. В условиях глобальной напряжённости киберпространство остаётся ареной, где границы между шпионажем и открытым конфликтом становятся всё более размытыми. По сути, киберпространство – это новый театр реальных военных действий, которые уже сегодня напрямую влияют характер современной войны.

Отдел мониторинга
Кавказ-Центр