Organizácia Bellingcat sa špecializuje na investigatívnu občiansku žurnalistiku a používanie otvorených zdrojov. Keď sa začala zaujímať o vojnu na Ukrajine, stala sa obeťou neustávajúcich útokov. Spoločnosť ThreatConnect za vinníka označila skupinu Fancy Bears.
Pod poetickým označením Fancy Bears sa neskrýva nikto iný ako jeden z najpokročilejších aktérov v kyberpriestore – APT28. V nedávnej minulosti sa okrem hacku serverov WADA členovia tejto skupiny podieľali aj na útokoch proti Demokratickej strane v USA (ktoré podľa najnovších správ stále pokračujú). Za ich hlavného sponzora a pravdepodobne aj zamestnávateľa sa považuje Ruská federácia, čomu nasvedčuje aj zoznam ich obetí.
Bellingcat sa preslávila hlavne podrobnými a dokonale vyargumentovanými článkami o katastrofe malajského boeingu MH17. Ich zistenia sa stali aj súčasťou v stredu (28.9. 2016) uverejnenej oficiálnej správy vyšetrovateľov, ktorí za vinníka pádu lietadla označili proruských rebelov. Bellingcat sa však venuje aj vojne v Sýrii či ostreľovaniu Ukrajiny z ruského územia. Vďaka svojej snahe odkrývať dezinformácie a odhaľovať pravdu sa skupina viackrát dostala do konfliktu s ministerstvom zahraničných vecí Ruskej federácie.
Práve snaha o nájdenie vinníka zodpovedného za zostrelenie letu MH17 sa dá považovať za spúšťač hackerských útokov namierených proti kľúčovým autorom publikujúcim v rámci organizácie. Začali sa začiatkom roka 2015 a pokračujú prakticky dodnes. Najčastejšími boli podobne ako v prípade útoku voči zamestnancom NATO a Bieleho domu (Operation Pawnstorm) pokusy o podvodné vylákanie prihlasovacích údajov pomocou falošných emailov s podvrhnutými linkami – tzv. spearphishing.
Mailové správy mali podobu bezpečnostných upozornení služby Gmail. Odkaz, ktorý normálne slúži na kontrolu aktivity, však bol nahradený falošným, ktorý príjemcu presmeroval na stránku upravenú útočníkmi. Na nej následne došlo ku krádeži mena a hesla obete. Rovnaký postup bol použitý aj pri útoku proti Demokratickej strane v USA a jej hlavnému volebnému orgánu, o jeho technických podrobnostiach si môžete prečítať tu.
Práve vďaka používaniu rovnakých postupov neexistujú žiadne pochybnosti o identite útočníkov. Domény, ktoré použili pri útokoch proti Bellingcat, nemecká tajná služba aj poradenská spoločnosť PWC identifikovali ako domény patriace APT28.
Ako konštatuje ThreatConnect (vývojár a poskytovateľ najpoužívanejšej platformy na kontrolu a manažovanie kybernetickej bezpečnosti pre organizácie a podniky) v závere svojej správy: „Kampaň proti Bellingcatu predstavuje ďalší dôkaz dlhodobého cielenia na organizácie či jednotlivcov, ktorí si dovolia poukázať na klamstvá Kremľa. Spearphishingová kampaň je klasickou ukážkou činnosti skupiny Fancy Bears. Cieľom je zneistiť a vystrašiť všetkých, ktorí by si mohli dovoliť kritizovať činnosť Ruska. Či sa už jedná o malé organizácie a jednotlivcov alebo o veľké mediálne domy.”
(JF)