Недавно французская группа реагирования на компьютерные чрезвычайные ситуации (CERT-FR) опубликовала отчёт о кибергруппе Nobelium. В более широком кругу специалистов по информационной безопасности эту группу хакеров знают как Midnight Blizzard. По мнению многих независимых западных экспертов, эти кибер-преступники могут быть связаны с российской разведкой и нести ответственность за организацию крупной кибер-атаки на цепочку поставок SolarWinds – американской компании, разрабатывающей ПО для управления информационной инфраструктурой – в 2021 году. Цель с которой CERT-FR составила и опубликовала свой отчёт – подавление возможной угрозы, исходящей от хакеров в преддверии Олимпийских игр.
Деятельность Nobelium часто также связывают с APT29 (предположительно, ещё одна команда хакеров, потенциально связанных с российской разведкой), но французское агентство кибербезопасности (ANSSI) полагает, что Nobelium на самом деле представляет собой совершенно новую группу хакеров. В агентстве утверждают, что на самом деле APT29 действовала в период с 2008 по 2019 год и была ответственен за атаку на Национальный Комитет Демократов (DNC) США, а взломом SolarWinds занялась другая группа – Dark Halo. Для ANSSI Nobelium является отдельной организацией, никак не связанной с вышеназванными кибер-атаками, которые ей приписывают. Однако, по мнению западных аналитиков, эта организация была создана в 2020 году и может быть связана с российскими спецслужбами.
Исследователи в секторе информационной безопасности уверены, что основной целью Nobelium является шпионаж, и что хакеры заинтересованы, прежде всего, в получении доступа к учётным записям и к электронной почте дипломатических сотрудников. Под ударом часто оказываются целые посольства, а основным инструментом злоумышленников являются классическая проверенная временем рассылка фишинговых писем, но делается это с уже скомпрометированных учётных записей других иностранных учреждений, что усложняет проверку подлинности таких писем.
Согласно отчёту CERT-FR, государственные учреждения Франции несколько раз подвергались атакам со стороны этой группы хакеров, и преступники использовали вышеописанную фишинг-рассылку с деловых почтовых ящиков других официальных компаний. Самым ярким примером является кибер-атака, произошедшая в феврале-мае 2021 года. Тогда под ударом оказались «различные организации, включая Министерство иностранных дел Франции». По мнению экспертов из CERT-FR, хакеры пытались задействовать так называемый Cobalt Strike – вредоносное ПО, которое используется для проверки информационной инфраструктуры для поиска уязвимостей – предположительно для получения удалённого доступа к системам официальных организаций. Эта атака не увенчалась успехом, но, как сообщается, это была лишь одна из многих серьёзных попыток взломать систему и украсть разведданные напрямую у французского правительства.
Годом позже Nobelium снова попыталась проникнуть в систему МИДа Франции, атаковав десятки адресов электронной почты фишинговыми письмами, в которых говорилось о закрытии украинского посольства или о встрече с послом Португалии.
Затем, в мае 2023 года кибер-атаке подверглось посольство Франции в Украине. Тогда многие дипломатические организации на территории страны стали целью Nobelium: на этот раз группа использовала фишинг-письма, связанные с продажей дипломатического автомобиля. В том же месяце безуспешному нападению подверглось и посольство Франции в Румынии.
Члены ANSSI связывают все произошедшие фишинг-атаки с деятельностью именно группы Nobelium, поскольку использованные злоумышленниками инструменты и инфраструктура совпадали при каждой попытке взлома. Более того, по мнению экспертов, сам выбор целей (дипломатические организации и лица) полностью соответствует тактике Nobelium. Как заявляют в ANSSI, подобный размах операций хакеров был бы невозможен без крупной поддержки, предположительно государственной.
В CERT-FR также приходят к выводу, что последовательный характер атак и чёткий выбор целей, может быть связан с попыткой хакеров повлиять на политическую жизнь страны, в частности, на выборы. По утверждению аналитиков, хакеры из Nobelium представляют реальную угрозу как национальной безопасности, так и дипломатическим интересам Франции и Европы в целом.
По словам экспертов информационной безопасности Франции, у государства есть несколько веских причин подозревать Россию в возможных предстоящих хакерских атаках. Так, например, министр по европейским делам Жан-Ноэль Барро заявил, что Россия несёт ответственность за кампанию дезинформации, направленную на подрыв авторитета президента Эммануэля Макрона. Люди, внимательно следящие за новостями из Франции, наверное помнят истерию, поднявшуюся вокруг предполагаемого заражения Парижа постельными клопами в прошлом году. Как заявил Барро, правительство считает, что такой уровень паники поднялся именно благодаря бот-атакам в соцсетях со стороны России. По мнению членов французского правительства, многочисленные бот-аккаунты намеренно раздули инцидент и попытались связать произошедшее с прибытием украинских беженцев во французскую столицу.
Помимо инцидента с клопами, Франция в лице многочисленных экспертов по информационной безопасности, пытается связать Россию с волной дезинформации во время президенстких выборов. По их мнению, президентский компьютер Макрона был взломан и российские хакеры опубликовали различные конфиденциальные документы, предварительно смешав подлинные материалы с фейками, что должно было спровоцировать сильный раскол во французском обществе.
Однако так называемые «утечки имени Макрона» оказались провалом, и хакерам не удалось достигнуть поставленной цели, по крайней мере, как отмечают аналитики, они не вызвали такой же реакции, как во время референдума по Брекситу и победы Дональда Трампа на выборах в 2016 году. По их мнению, в оба события могли вмешаться именно российские хакеры.
Тем временем, в Microsoft недавно заявили, что Россия может быть замешана в распространении дезинформации вокруг предстоящих Олимпийских и Паралимпийских игр, участие в которых её спортсменам запрещено. Так, отмечают исследователи, хакеры усовершенствовали свои методы и теперь используют нейросети чтобы создавать дипфейки, дополняя их фейковыми новостями, чтобы запутать пользователей. Также, эксперты вспоминают попытки Северной Кореи вмешаться в Зимние игры в 2018 год, а также в Токийские игры в 2020. По их мнению, государство тогда активно проводила многочисленные хакерские атаки и распространяло вредоносное ПО в интернет-сегментах своих южных соседей.