Издание Le Monde впервые получило доказательства причастности двух хакерских группировок, связанных с российской разведкой, к взлому электронной почты предвыборной команды Макрона в мае 2017 года. Гигабайты внутренних документов и переписки предвыборной кампании появились в сети за два дня до второго тура президентских выборов во Франции.
Спустя 2,5 года после этих событий, пишет Le Monde, «пазл сложился». Доказательства технического вмешательства двух хакерских группировок, связанных с российскими спецслужбами, журналисты газеты нашли в докладе сотрудников исследовательской группы Google о борьбе киберпиратством.
Согласно результатам расследования, операция российских хакеров началась в начале марта 2017 года, за несколько недель до первого тура президентских выборов. В кибератаке участвовали две хакерские группировки. Первая группа — APT28 ( известна как Fancy Bear). Вторая — Sandworm, которую знают в индустрии как структуру, напрямую связанную с российским государством и занимающуюся «очень рискованными операциями».
О группе APT28 прежде всего известно по докладу спецпрокурора США Роберта Мюллера, расследовавшего российское вмешательство в американские выборы. Согласно данным этого расследования группа APT28 «объединилась с подразделением 26 165 ГРУ. Эта же группа стояла за хакерской атакой на сеть Wi-Fi Организации по запрещению химического оружия в Гааге.
«Очевидно, не удовлетворившись результатами работы хакеров APT28, заказчик обратился ко второй группе», — пишет Le Monde. Sandworm прежде всего специализируется на участии в операциях с высоким риском, особенно, когда время очень ограничено, цитирует газета слова независимого исследователя и бывшего сотрудника американской компании по сетевой безопасности FireEye Майкла Матониса.
За хакерской группой Sandworm, чье название переводится с английского как «песчаный червь» и отсылает к фантастическому роману Фрэнка Герберта, по мнению экспертов, стоит еще одно подразделение бывшей ГРУ — 74455 — менее известное, но часто работающее в паре с 26165. «Это две стороны одной медали», — говорит Майкл Матонис.
Также как и APT28, хакеры из Sandworm использовали технологии фишинга и внедрения вредоносных программ. Чтобы сотрудники предвыборного штаба Макрона нажимали на вредоносные ссылки, хакеры «пытались пробудить их любопытство», — в частности, пишет газета, «копировали статью Le Monde» о финансировании «Национального фронта».
Кибератака на предвыборный штаб Эмманюэля Макрона — далеко не единичная выходка анонимных хакеров, пишет Le Monde, а масштабное кибернаступление России с использованием шпионажа, пропаганды и разрушений, ведущееся с 2014 года. После публикации переписки в мае 2017 года, прокуратура Парижа объявила о начале предварительного расследования. На вопрос журналистов, как за эти 2,5 года продвинулось расследование, в прокуратуре не ответили.