Газета Le Monde впервые получила доказательства причастности двух хакерских группировок, связанных с российской разведкой, к взлому электронной почты предвыборной команды Эмманюэля Макрона. Гигабайты внутренних документов и переписки предвыборной кампании появились в сети за два дня до второго тура президентских выборов во Франции в мае 2017 года.
Спустя 2,5 года после этих событий, пишет Le Monde, «пазл сложился». Издание получило доказательства технического вмешательства двух хакерских группировок, связанных с российскими спецслужбами, в предвыборную кампанию во Франции. Доказательства журналисты газеты нашли в докладе сотрудников исследовательской группы Google о борьбе киберпиратством.
Согласно результатам расследования, операция российских хакеров началась еще в начале марта 2017 года, за несколько недель до первого тура президентских выборов. В кибератаке участвовали две хакерские группировки. Первая группа — APT28 (Fancy Bear) — уже хорошо известна, про ее атаки уже много писали в западной прессе. Вторая — Sandworm — известна в индустрии, в первую очередь, тем, что напрямую связана с российским государством и занимается «очень рискованными операциями».
О группе APT28 прежде всего известно по докладу спецпрокурора США Роберта Мюллера, расследовавшего российское вмешательство в американские выборы. Согласно данным этого расследования группа APT28 «объединилась с подразделением 26 165 ГРУ (сейчас — Главное управление Генерального штаба). Эта же группа стояла за хакерской атакой на сеть Wi-Fi Организации по запрещению химического оружия в Гааге.
„Очевидно, не удовлетворившись результатами работы хакеров APT28, заказчик обратился ко второй группе“, — пишет Le Monde. Sandworm прежде всего специализируется на участии в операциях с высоким риском, особенно, когда время очень ограничено, цитирует газета слова независимого исследователя и бывшего сотрудника американской компании по сетевой безопасности FireEye Майкла Матониса.
За хакерской группой Sandworm, чье название переводится с английского как „песчаный червь“ и отсылает к фантастическому роману Фрэнка Герберта, по мнению экспертов, стоит еще одно подразделение бывшей ГРУ — 74455 — менее известное, но часто работающее в паре с 26 165. „Это две стороны одной медали“, — говорит Майкл Матонис.
Также как и APT28, хакеры из Sandworm использовали технологии фишинга и внедрения вредоносных программ. Чтобы сотрудники предвыборного штаба Макрона нажимали на вредоносные ссылки, хакеры „пытались пробудить их любопытство“, — в частности, пишет газета, „копировали статью Le Monde“ о финансировании „Национального фронта“».
Кибератака на предвыборный штаб Эмманюэля Макрона — далеко не единичная выходка анонимных хакеров, пишет Le Monde, а масштабное кипернаступление России с использованием шпионажа, пропаганды и разрушений, ведущееся с 2014 года. После публикации переписки в мае 2017 года прокуратура Парижа объявила о начале предварительного расследования. На вопрос журналистов, как за эти 2,5 года продвинулось расследование, в прокуратуре не ответили.