Хакеры из группы Sednit (также известна как Sofacy, APT28, Tsar Team и Fancy Bear), которую подозревают в работе на российские спецслужбы, пыталась взломать Анонимный интернационал, следует из доклада компании ESET. В ESET установили, что Интернационал стал одной из тысячи целей по всему миру, которые атаковали в последнее время.
Хакерская группа Анонимный интернационал (известен также как «Шалтай-Болтай») прославилась взломами российских чиновников: Twitter-аккаунта премьер-министра России Дмитрия Медведева, почты главы Роскомнадзора Александра Жарова, а также WhatsApp телеведущего Дмитрия Киселева. В декабре 2015 года активисты опубликовали инструкцию по «сливу» протеста дальнобойщиков против системы «Платон».
Sednit известна своими атаками на структуры западных стран. Американская компания по киберзащите CrowdStike писала в своем блоге, что за APT28 стоит ГРУ. Занимающаяся сетевой безопасностью фирма FireEye в октябре 2014 года выпустила доклад, где называет основой группы «государственного спонсора в Москве».
Другими целями Sednit стали члены ПАРНАС, журналисты по всей Восточной Европе; иностранные ученые, посещающие российские университеты; руководство полиции Украины; посольство Пакистана в Киеве.
За последние два года хакеры атаковали министерства обороны Аргентины, Бангладеша, Северной Кореи и Турции; посольства Колумбии, Индии, Ирака, Кыргызстана и ОАЭ. Всего 1888 уникальных целей – в том числе авторы доклада упоминают «чеченские организации» и «российских политических диссидентов».
Как пишет ESET, хакеры рассылают в электронных письмах ссылки, при переходе по которым компьютер жертвы подвергается атаке: сначала эксплойт-кит Sedkit выясняет уязвимости, а потом пропускает жертву через цепочку с подходящими именно для этих уязвимостей вредоносными программами, заражая компьютер. Также активно используются так называемые «уязвимости нулевого дня»: на их устранение у разработчиков есть «ноль дней».
Ранее хакерскую группу Sednit подозревали в атаках на серверы Демократической партии США: летом 2016 года компания CrowdStrike, устранявшая последствия взлома, заявила, что он был организован группой Fancy Bear. Всемирное антидопинговое агентство (WADA) на своем сайте сообщало, что, судя по проанализированным данным, атаку осуществляла группа APT28. Немецкая контрразведка обвиняла группировку в кибератаках на правительственные учреждения Германии – в том числе Бундестаг.