Продолжение:

Этот вопрос является сложным, так как необходимо будет представить счет другим акционерам: Канаде, Квебеку, Швейцарии и Бельгии.
«Точно так же, как квартиры с несколькими владельцами никогда не являются эталоном в вопросе декорирования, так и общая информационная сеть TV5 никогда не являлась моделью надежности», — считает Николя Арпажян, научный директор Национального научно-исследовательского института по вопросам безопасности и правосудия. Министр культуры Квебека Элен Давид уже затронула этот вопрос с Ивом Биго во время своего приезда в Париж по случаю принятия во французскую Академию писателя Дани Лаферрьера.
В настоящий момент расследование, порученное нескольким антитеррористическим службам, продолжается. Со своей долей сюрпризов: новые подсказки, доступ к которым получил «L'Express», заставляют в настоящее время задуматься о личностях и мотивации атаковавших, осуществивших эту невиданную операцию против средства массовой информации. Проще говоря: виновниками не обязательно являются те, на кого думали изначально.

Вредоносная программа с сервера в Бразилии
27 апреля в офис Генерального секретариата обороны и национальной безопасности были приглашены не менее 43 средств массовой информации. Такие телеканалы как France Télévisions, TF 1, Canal+ или M6, а также радиостанции RTL, NRJ, Radio France… — и еще информационные интернет-сайты (газет Le Monde, Le Figaro, Les Echos...) были четко проинструктированы о необходимых действиях. Им был вручен документ в несколько страниц с пометкой «для служебного пользования». В этой служебной записке, с которой мы смогли ознакомиться, представлены различные технические моменты. Она является результатом расследования, проведенного в группе TV5 Monde государственным кибер-пожарным: Anssi (Государственное агентство безопасности информационных систем).


Террористы также взломали страницу группы в Фейсбуке и аккаунт в Твиттере. REUTERS/Кристиан Хартманн

Государственное агентство безопасности информационных систем, находящееся в ведении кабинета премьер-министра, направило команду из пятнадцати человек в парижскую штаб-квартиру аудиовизуальной группы TV5 Monde на улице Ваграм, чтобы потушить пожар. Прибыв на место, агенты констатировали, что оборудование компании Cisco повреждено. «Речь явно идет о саботаже», — сделало вывод агентство, не вдаваясь в подробности. Ущерб касается машин (кодирующие и многоканальные устройства), необходимых для телевещания.
Взломщики не торопились, прежде чем совершить свои действия. После проникновения в информационную систему TV5 Monde в начале года им удалось получить все права, своего рода волшебное средство, чтобы посетить самые отдаленные закоулки внутренней сети телеканала, картировать ее и понять, таким образом, ее функционирование. В своей записке агентство подробно перечисляет признаки (также называемые признаками несанкционированного доступа), оставленные атаковавшими во время их проникновения. В ней также упоминается интернет-адрес, с которого была отправлена вредоносная программа (malware). Это исключительно полезные данные.

Чтобы других участников сектора не постигла такая же судьба, Государственное агентство безопасности информационных систем в ясных выражениях попросило 43 СМИ незаметно провести расследование в их собственных информационных сетях. Если будут обнаружены следы хакеров, то средство массовой информации должно немедленно проинформировать Государственный центр наблюдения, оповещения и реагирования на информационные атаки (Cert).

«L'Express» передал эти конфиденциальные данные компании по информационной безопасности Trend Micro. В соответствии с ее расследованием японская компания пришла к выводу, что вредоносная программа была прислана с сервера, расположенного в Бразилии. А его владелец базируется в Сан-Паулу. На нем размещены несколько кодов. «Один из них является банковским malware. Он уже использовался в Испании и Бразилии. Эта программа также была скачана во Франции в марте месяце...», — отмечает Лоик Гезо, отвечающий за стратегическое развитие в компании Trend Micro.

Шахматная тактика, называемая «пешечная атака»
Для Николаса Раффа, другого эксперта по безопасности, нет никаких сомнений, что эти хакеры проводят сложные операции как минимум с 2010 года. «Оставленные следы и порядок действий, подчеркивает он, те же самые, что были обнаружены в других случаях». Компания Trend Micro пришла к такому же выводу. «Благодаря данным, предоставленным „L'Express“, мы считаем, что за этой атакой может стоять хорошо известная группа под названием „Pawn Storm“.»

Разоблаченную в октябре 2014 года компанией Trend Micro группу «Pawn Storm» можно узнать благодаря ее весьма характерному образу действий: использование нескольких инструментов и различных стратегий, чтобы поразить цель. Это тактика, используемая в шахматах и получившая название «пешечная атака» (pawn storm). «В нашем случае мы также подверглись многочисленным атакам, затрагивавшим различные точки входа в нашу инфраструктуру», — подтвердил Ив Биго.


Для аналитиков компании FireEye хакеры связаны с Кремлем и часто выбирают своей мишенью противников режима. REUTERS/Бек Дифенбах
В прошлом предпочтительными целями этой группы были информационные системы Белого дома, страны-члены Организации Североатлантического договора (НАТО), а также известные пользователи интернета, интервьюировавшие Барака Обаму на Ютьюбе в январе, отмечает компания Trend Micro. Российские диссиденты и украинские активисты стали жертвами этой особенно рьяной группы с начала года. Недавняя кампания рассылки зараженных электронных писем была направлена на людей, близких к вопросу «Южного коридора». Этот проект, предназначенный для содействия доставке природного газа из Азербайджана в Европу к 2020 году, должен позволить уменьшить зависимость от российского газа.

За обманным джихадистским следом стоит Кремль?

Эти различные примеры и их прямая связь с интересами Москвы заставили компанию кибер-безопасности FireEye углубить их расследование. По мнению этой американской компании, хакеры связаны с Кремлем и часто выбирают своей мишенью противников режима, журналистов или военные организации в Соединенных Штатах и в Европе. Два других элемента подтверждают их заключения: линии кода были напечатаны на кириллической клавиатуре и в периоды времени, соответствующие рабочим часам в Санкт-Петербурге и Москве. FireEye дала этой группе другое название: «APT28».

«Их порядок работы всегда один и тот же. Они посылают хорошо продуманное зараженное электронное письмо на личную почту жертвы, на аккаунт в Gmail или Yahoo!.. Попавший в ловушку человек ведется на обман, кликая на ссылку и отдавая свои профессиональные учетные данные, тотчас же получаемые атакующими», — расшифровывает Йоги Шандирамани, технический директор европейского подразделения FireEye. В прошлом мишенями стали уже несколько средств массовой информации: чеченский информационный сайт «Кавказ-центр», болгарский журнал Standart News или еще сайт Al-Wayi News. Во Франции эти зараженные электронные письма также получили три или четыре компании из оборонного сектора, участвовавшие в выставке Eurosatory 2014.
Эта накопившаяся информация вызывает сомнения в отношении реальности взятия на себя ответственности КиберХалифатом за взлом TV5 Monde. Согласно судебному источнику, причастность группы APT28 (или Pawn Storm), судя по всему, подтверждается, а джихадистский след отбрасывается. «Речь может идти об обмане, как нам высказали предположение эксперты Anssi», — объясняет директор телеканала.

Единственная определенность: отношения между Францией и Россией ухудшились в последние месяцы. Франсуа Олланд отказался поехать на парад в ознаменование победы над нацизмом в Москву 9 мая. Париж также вызвал гнев Кремля, приостановив поставку кораблей «Мистраль» России на фоне украинского кризиса. «Владивосток», первый десантный корабль-вертолетоносец, должен был быть поставлен в ноябре 2014 года, но по-прежнему остается у причала в порту Сен-Назер.
С тех пор характер переговоров между двумя странами изменился и касается исключительно компенсации, на которую готовы согласиться французские власти. В издании «Фигаро» русский писатель и бывший дипломат Владимир Федоровский сожалел об этой истории, ставшей отражением большой опасности исторического разрыва между Россией и Западом: «Мы являемся свидетелями своего рода возвращения к холодной войне». В эпоху Интернета.