Хакеры из группировки Fancy Bear фабриковали документы, которые затем «сливались» ими от имени хакерской группы «КиберБеркут» (CyberBerkut) как доказательства связи независимых СМИ, включая Republic, и оппозиционера Алексея Навального с властями США. Об этом говорится в докладе исследовательской и правозащитной организации Citizen Lab, опубликованном 25 мая. Информационную поддержку Citizen Lab оказывает Financial Times.
Подробнее о докладе Citizen Lab читайте в материале Republic.
По данным Citizen Lab, основой для фальсификации послужили данные, полученные в результате взлома американского журналиста Дэвида Сэттера, который с 2013 года работал в Москве на «Радио Свобода». До публикации этой информации в открытом доступе хакеры внесли туда правки, в частности, добавив информацию об антикоррупционных расследованиях Навального (например, про дачу премьер-министра РФ Дмитрия Медведева в Плесе) и статьях с «критикой Кремля» и российских чиновников на РБК, «Ведомостях», «Дожде», Slon (Republic).
«Слив» сфальсифицированных документов, в которых фигурировал Сэттер, состоялся в октябре 2016 года. Данные, полученные «КиберБеркутом» и опубликованные, например, в «Российской газете» и на сайте РЕН-ТВ, якобы свидетельствовали, что по заказу Сэттера в российских СМИ проходит кампания, направленная на «расшатывание» политической ситуации и подготовке «цветной революции» по примеру переворота на Украине. Сэттер, по информации хакеров, стал посредником между оппозиционными СМИ РФ, Национальным фондом демократии США и «Радио Свобода» – по его заказу в независимых масс-медиа якобы появлялись публикации, дискредитирующие российских высокопоставленных чиновников.
Citizen Lab отмечает, что взлом Сэттера, осуществленный с помощью фишинг-сообщения в электронной почте, стал только частью масштабной атаки, проведенной хакерами. Из доклада следует, что целью атаки стали более 200 человек в 39 странах, в том числе сотрудники НАТО и ООН, военнослужащие из США, Латвии, Черногории, Украины, Турции, Швеции, а также политики и чиновники из России, Украины, Армении, Узбекистана, Австрии и других государств.
Исследователи также сравнили фишинговую ссылку, отправленную Сэттеру, с сомнительными письмами, полученным расследовательской группой Bellingcat. Компания ThreatConnect, специализирующаяся на кибербезопасности, сочла, что ответственность за них лежит на группе хакеров «APT 28» (или «Fancy Bear»). Последнюю считают связанной с ГРУ и ответственной, например, за атаки на серверы партий США во время президентских выборов.