Эксперты Google в ходе конференции по кибербезопасности представили результаты своего исследования хакерских атак электронной почты штаба Эммануэля Макрона, сообщает Le Monde. Эксперты пришли к выводу, что взломом занимались две войсковые части ГРУ. С ними согласны эксперты компании FireEye.

И Google, и Fire Eye сходятся в том, что первая атака была произведена в начале марта 2017 года, за несколько недель до первого тура президентских выборов во Франции. Первая группа хакеров известна как Fancy Bear / APT28 / Pawn Storm. Хакеры разослали фишинговые е-мэйлы, которые перенаправляли пользователей на сайты — подделки под сайт партии «Вперед, Республика», чтобы украсть пароли.

Согласно экспертам Google, некоторые из жертв Fancy Bear/ APT28 попались на фишинговые мэйлы, однако этого заказчикам показалось недостаточным. В результате в середине апреля за дело взялась новая группа хакеров, известная как Sandworm. С ними согласны и в Fire Eye, где связали и эту группу с российским государством. Бывший сотрудник Fire Eye Майкл Мэтонис заявил Le Monde, что эту группу используют, когда время особенно поджимает. Sandworm использовали фишинг и заражённые вирусами е-мэйлы и успешно взломали свои цели, в результате чего е-мэйлы и появились в интернете 5 мая, всего лишь за за два дня до выборов, заявили эксперты Google. Чтобы подловить сотрудников партии «Вперед, республика» им, в частности, разослали е-мэйл с компроматом на конкурентов — копией статьи Le Monde о российском финансировании «Национального Фронта», вот только это приложение содержало вирус.

Сначала взломанная почта появилась на малоизвестном сайте, на который — удивительная оперативность — сразу же дал ссылку Wikileaks (позже сайт скопировал мэйлы и сделал поиск).Российские телеканалы в режиме нон-стоп отчитывались о якобы найденном в е-мейлах офшорном счёте Макрона. На этот же офшорный счёт намекнула соперница Макрона Марин Ле Пен в ходе решающих предвыборных дебатах (накануне публикации е-мэйлов). Вот только он оказался подделкой, использовавшей ненастоящую подпись Макрона.

Еще в мае 2017 года The Insider удалось установить, что за Fancy Bear стоят действующие сотрудники ГРУ из войсковой части № 26165. А год спустя, в июле 2018 года, Минюст США опубликовал официальное обвинение в адрес 12 сотрудников ГРУ из той же войсковой в связи со взломом серверов Демократической партии США. Также Минюст выдвинул обвинения и в адрес нескольких сотрудников войсковой части № 74455. По мнению некоторых экспертов, сотрудники этой второй части они представляют группировку Sandworm.

Среди других целей этой группировки хакеров из ГРУ были Белый дом (и ряд других целей в США), МИД Чехии, Польши, Германии, Италии, Латвии, Эстонии, Украины, Норвегии, Нидерландов и других стран, Минобороны Дании, Италии и Германии, Бундестаг, НАТО, ОБСЕ, МОК, WADA, JIT, ряд редакций иностранных СМИ (в том числе TV5Monde и Аль-Джазира). Эта же группа хакеров атаковала десятки российских оппозиционеров и членов НКО и журналистов (в том числе и сотрудников The Insider, что независимо друг от друга подтвердили четыре компании в области информационной безопасности).

Если Fancy Bear в основном занимались взломом почты, то Sandworm специализируется на кибератаках против военных и инфраструктурных объектов. Так, например, им удавалось несколько раз успешно атаковать украинские и грузинские энергосети, отключая электричество в целых городах. Так же Sandworm стоял за самым разрушительным на сегодняшний день вирусом NotPetya, который поражал корпоративные сети. Изначально он был направлен против Украины, но в итоге поразил и многие сети за ее пределами, в том числе и в России — среди пострадавших компаний оказались Роснефть, Сбербанк, Инвитро и Евраз. Суммарный ущерб от вируса по всему миру составил около $10 млрд. Среди пострадавших объектов были и корпоративные сети медицинских клиник, что поставило под угрозу жизни множества людей.