Na konci července 2019 se několik analytiků think-tanku Evropské hodnoty stalo terčem kybernetického útoku, který generální ředitel poskytovatele šifrovaných emailových klientů ProtonMail označil za „nejsofistikovanější, se kterým se kdy setkal“. Podle investigativní skupiny Bellingcat se kampaň zaměřená na velmi propracovaný „phishing“ (podvodná technika získávání citlivých údajů) zaměřila na nejméně 30 specialistů věnujících se ruské hrozbě. Podle investigativního novináře Guardianu Luka Hardinga „všechny důkazy ukazují na GRU (ruskou vojenskou zpravodajskou službu)“, což za pravděpodobné označují investigativci skupiny Bellingcat.
Mezi terči toho útoku jsou dva analytici ze skupiny Bellingcat, jeden investigativní novinář z BBC, tři novináři z Guardianu, tři novináři z různých ruských investigativních médií, šest dalších specialistů zaměřených na zahraniční politiku Kremlu a ruské tajné operace v zahraničí a 10 známých cílů mezi na Rusko zaměřenými think-tanky: například think-tank Evropské hodnoty nebo Free Russia Foundation.
Investigativní skupina Bellingcat uvedla, že předběžná analýza zdrojového kódu naznačuje, že původcem kampaně je státní aktér a nikoli jednotlivec či skupina hackerů.
- Jedním z nepřímých důkazů ukazujících na práci státního aktéra je množství času, který zabralo vytvoření (nebo rekonstrukce) kódu a infrastruktury celé operace. Skupina Bellingcat byla schopna rekonstruovat velkou část škodlivého kódu vytěžením mezipaměti prohlížeče napadeného počítače. Zjistilo se, že pozadí, používané na přihlašovacím portálu falešného webu, byla upravená verze pozadí, které používá ProtonMail a obsahovalo metadata, která originál neobsahuje. Úpravy obrazu na falešném portálu byly provedeny dne 8. března 2018, což naznačuje, že „phishingová“ kampaň proti ProtonMailu byla ve fázi plánování již více než rok.
- Dalším zajímavým detailem kampaně je existence „vývojové“ webové stránky, která byla s operací spojena a byla používána několik měsíců před spuštěním samotné operace. Tento web objevil Marcus Neis (bezpečnostní analytik ze společnosti Swisscom) který našel překrývající se digitální stopu SHA256 mezi tímto webem a jedním z „phishingových“ webů.
- Společnosti ThreatConnect i ProtonMail potvrdily, že jejich vlastní vyšetřování ukazuje na pravděpodobnost ruského původce „phishingového“ útoku. Skupina Bellingcat si je vědoma probíhajícího vyšetřování švýcarskými orgány činnými v trestním řízení.
„Že jsou naši analytici společně s předními západními specialisty zaměřenými na ruské vlivové operace cíli natolik sofistikovaného útoku nám jen potvrzuje, že máme pomyslné terče na zádech. Je to cena, kterou platíme za rozkrývání nepřátelských aktivit ruské diktatury v regionu střední a východní Evropy. Během tohoto incidentu nebyly ohroženy žádné z našich citlivých údajů. Děkujeme bezpečnostním institucím demokratických států, které pomáhají chránit lidi jako jsme my a mnoho dalších, “říká Jakub Janda, výkonný ředitel think-tanku Evropské hodnoty.
Technické podrobnosti incidentu byly zveřejněny skupinou Bellingcat.