Совместное расследование The New York Times и Associated Press (оно опубликовано в газете NYT под заголовком "Ничего святого") установило, что хакерская группировка Fancy Bear, которая считается связанной с Кремлем, долгое время пыталась взломать электронную почту ключевых фигур Вселенского патриархата православной церкви в Константинополе, а также представителей других религиозных групп.
Авторы расследования предполагают, что эти атаки, проведенные в 2015 и 2016 году, были попыткой помешать обретению автокефалии Украинской православной церковью Киевского патриархата, то есть фактическому "разводу" российской и украинской православных церквей. Действия хакеров, видимо, не увенчались успехом: процедуры, связанные с предоставлением автокефалии УПЦ, были запущены Вселенским патриархатом весной 2018 года. Ожидалось, что о создании в Украине единой поместной православной церкви может быть объявлено 28 июля в день празднования 1030-й годовщины Крещения Киевской Руси, но соответствующего заявления не последовало. Тем не менее, украинские власти ожидают получения УПЦ автокефалии до конца 2018 года.
В основе расследования лежат данные, полученные компанией Secureworks (входит в структуру Dell Technologies): это список из 4700 электронных адресов, которые подверглись фишинговым атакам. Среди них оказались адреса нескольких людей из ближайшего окружения главы Константинопольского патриархата Вселенского патриарха Варфоломея I (сам 78-летний патриарх не пользуется электронной почтой), в том числе Варфоломея (Самариса), главного секретаря патриарха; митрополита Галльского Эммануила (Адамакиса) и митрополита Прусского Элпидофора (Ламбрианиадиса). Все они, как утверждают авторы расследования, имеют отношение к обсуждению перспективы предоставления автокефалии УПЦ. По данным Secureworks, хакеры пытались взломать аккаунты священнослужителей на почтовом сервисе gmail.com. Любопытно, что атаке подвергся и пресс-секретарь Московского патриархата Александр Волков.
Среди других мишеней хакеров: Джон Джиллинойс, глава Православной церкви в Америке (текст фишингового письма, полученного им якобы от службы поддержки Google, можно увидеть здесь), духовное управление мусульман Украины “Умма”, Украинская грекокатолическая церковь, Йосиф Зисельс, глава Ассоциации еврейских общин и организаций Украины, и несколько представителей протестантского духовенства в России.
Предоставленные Secureworks данные касаются попыток взломов, проведенных в 2015 и 2016 годах. Однако авторы расследования отмечают, что собранные материалы указывают на то, что атаки на Вселенский патриархат продолжаются и сейчас. В качестве примера в расследовании приводится текст электронного письма, которое пришло на несколько адресов православного духовенства 16 октября 2017 года от имени Никоса-Георгаса Папахристо – по данным NYT, к тому моменту только что назначенного официальным представителем Вселенского патриархата. К письму был приложен файл, якобы содержащий “некоторые предложения по выстраиванию связей с общественностью и прессой”. В действительности при открытии файла компьютер получателя заражался вирусом.
Авторы расследования отмечают, что настоящего отправителя этого зараженного письма не удалось установить ни Secureworks, ни другой компании, работающей в области информационной безопасности, – Crowdstrike. В расследовании также не объясняется, как именно Secureworks смогли атрибутировать другие хакерские атаки на адреса священнослужителей. Но за всеми ними, как утверждают авторы расследования, стояли хакеры из Fancy Bear.
Группировке Fancy Bear приписывается ряд хакерских атак на государственные, военные и общественные организации в различных странах начиная с середины 2000-х годов. Среди них кибератака на Национальный комитет Демократической партии США в июне 2016 года, атака на Всемирное антидопинговое агентство WADA в том же 2016 году, попытки взломов информационных систем Белого дома, НАТО, Бундестага ФРГ, избирательного штаба нынешнего президента Франции Эммануэля Макрона, атаки на украинских политиков, журналистов и многие другие.
Название “Fancy Bear” придумал специалист по кибербезопасности и сооснователь фирмы CrowdStrike Дмитрий Альперович, эмигрировавший в США из России в 1994 году. Именно компания CrowdStrike в числе первых выступила с заявлением, что за хакерами из Fancy Bear стоят российские спецслужбы. Позже с тем, что хакеры из Fancy Bear могут быть связаны с Кремлем, согласились еще несколько западных компаний, занимающихся кибербезопасностью. В июле 2018 года Большое федеральное жюри присяжных США утвердило обвинение, связывающее некоторые атаки, приписываемые Fancy Bear, с военнослужащими воинских частей ГРУ номер 26165 и 74455 (расследование Радио Свобода установило, что такие части действительно входят в состав ГРУ и по роду деятельности могут быть связаны с информационными технологиями).
Одно из последних обвинений в адрес Fancy Bear прозвучало 20 августа, когда президент Microsoft Брэд Смит в сообщении официального блога заявил, что компания предотвратила попытку хакерской атаки на республиканские аналитические центры International Republican Institute и Hudson Institute.
Злоумышленники зарегистрировали набор интернет-доменов, отдаленно напоминающих официальные домены этих организаций (например, "my-iri.org" вместо "iri.org" и "hudsonorg-my-sharepoint.com" вместо "hudson.org"). Microsoft через суд добился перевода фальшивых доменов на себя. По мнению компании, их предполагалось использовать для получения логинов, паролей и других личных данных сотрудников аналитических центров, которые могли зайти на подставные сайты, спутав их с настоящими.
В записи блога президент Microsoft заявил, что атака готовилась хакерской группировкой Strontium, ”также известной, как Fancy Bear или ATP28”. Никаких данных о том, как компании удалось атрибутировать организаторов атаки, а также о том, что именно содержалось на сайтах с поддельными доменами до их перевода на Microsoft, в записи Брэда Смита нет. В ответ на запрос Радио Свобода пресс-служба Microsoft заявила, что компании нечего добавить к информации, содержащейся в записи в блоге. Заметная часть этого поста посвящена новому антивирусному продукту Microsoft, который “предоставит современную киберзащиту всем кандидатам и избирательным штабам на федеральном и местном уровне, а также аналитическим центрам и политическим организациям, которые, как мы уверены, являются сейчас мишенью для атаки” в преддверии так называемых “промежуточных выборов”, которые состоятся в США в ноябре 2018 года.