По информации сайта csoonline.com, группа кибершпионов Pawn Storm создала фальшивые VPN и SFTP-серверы, чтобы следить за сотрудниками Совета по безопасности (Нидерланды).
Русская группа кибершпионов, часто следящая за государственными учреждениями стран-членов НАТО, пыталась проникнуть в международное расследование крушения самолета Malaysia Airlines Flight 17 (MH17).
MH17 — пассажирский рейс из Амстердама в Куала-Лумпуре, который разбился в восточной Украине, недалеко от границы с Россией 17 июля 2014 года. Все 283 пассажира и 15 членов экипажа погибли.
Голландский Совет по безопасности произвел международное расследование инцидента и выпустил окончательный доклад 13 октября, заключающий, что самолет Боинг 777-200 был сбит ракетой, запущенной российским ракетным комплексом «Бук».
Исследователи безопасности из компании Trend Micro обнаружили доказательства того, что группа кибершпионов Pawn Storm, которую уже давно подозревали в связях с российскими спецслужбами, была нацелена на Голландский Совет безопасности до и после выпуска доклада по MH17.
28 сентября группа создала SFTP-сервер, имитирующий используемый Советом безопасности. 14 октября группа сделала то же самое с VPN-сервером.
29 сентября группой был создан поддельный сервер Outlook Web Access (OWA), нацеленный на партнера Совета безопасности в расследовании MH17.
Вполне вероятно, что серверы были созданы с целью фишинга учетных данных людей, участвующих в расследовании авиакатастрофы MH17, чтобы получить доступ к конфиденциальной информации, говорят исследователи.
Это первый случай, когда исследователи Trend Micro заметили созданный поддельный VPN-сервер для фишинга. Несмотря на то, что реальный сервер Совета по безопасности использует временные маркеры доступа для проверки подлинности, они могут быть легко украдены и не защищают против единоразового доступа злоумышленников, говорят исследователи.
Большинство атак Pawn Storm отражает геополитические интересы России. Группа в последнее время активизировала свои кампании против критиков вмешательства страны в сирийский конфликт.
За последние два месяца несколько серверов OWA были созданы для запуска фишинговых атак против министерств обороны и иностранных дел большинства стран Ближнего Востока, которые выступают против российской военной кампании в Сирии, заявляют исследователи Trend Micro.