Издание Washing Post и киберкриминалисты компании CrowdStrike сообщают, что группа так называемых «правительственных хакеров», известная под названиями Fancy Bear, Sofacy, APT28, Sednit, Pawn Storm или Strontium, взломала серверы Национального комитета Демократической партии США (Democratic National Committee, DNC). Якобы злоумышленники сумели получить доступ к множеству конфиденциальных данных, в числе которых была и информация о главном конкуренте демократов: кандидате в президенты США от республиканской партии Дональде Трампе. Специалисты полагают, что группа APT28 работает в тесном контакте с ГРУ. Данной группировке приписывают атаки на военные базы НАТО, польское правительство, правительство США, германский Бундестаг, французский телеканал TV5 и так далее. Исследователи CrowdStrike, которые занимаются расследованием случившегося, пишут, что хакеры проникли в сеть DNC еще в апреле 2016 года и использовали малварь X-Agent. По данным экспертов, внедрение вредоноса позволило злоумышленникам удаленно выполнять произвольные команды на зараженных машинах, похищать файлы и перехватывать нажатия клавиш. Благодаря использованию утилиты X-Tunnel, хакеры создали защищенное соединение со своими управляющими серверами, при помощи которого и передавались все данные. Изданию Washing Post киберкриминалисты рассказали, что помимо прочего APT28 похитили документы, в которых содержалось аналитическое досье на Дональда Трампа. Судя по всему, демократы проводили глубокое исследование бекграунда конкурента, и взломщики украли собранный ими компромат. В ходе расследования специалисты CrowdStrike выявили в сети Национального комитета Демократической партии присутствие еще одной группы хакеров. Исследователи утверждают, что это тоже российская «правительственная группировка», известная как Cozy Bear, СozyDuke или APT29. Данная группа якобы работает с ФСБ и ранее была замечена в атаках на почтовую систему Белого дома США, Министерство иностранных дел США и Объединенный комитет начальников штабов. Исследователи считают, что APT29 скомпрометировала серверы DNC еще летом 2015 года и использовала малварь SeaDaddy, тоже получив возможность удаленно выполнять произвольные команды на зараженных машинах. Хакеры похищали учетные данные при помощи малвари Mimikatz, и им удалось получить доступ к письмам сотрудников DNC и их приватным чатам. При этом эксперты уверены, что группировки действовали порознь. Каждая из хакерских команд внедрилась в сеть самостоятельно и выполняла собственные задачи.
