К концу 2019 года и в начале следующего года российские хакеры читали электронные письма сотрудников тбилисской компании по распределению электроэнергии «Теласи» и наблюдали за их работой через внутренние камеры. Другие хакеры атаковали другую государственную энергосетевую компанию, получив возможность по своему усмотрению отключать электрические подстанции и прекращать подачу электроэнергии в некоторых регионах Грузии, говорится в документах.
Согласно одному из документов, за атаками стояло ГРУ. В государственную энергетическую компанию проникли с помощью вредоносного программного обеспечения под названием GreyEnergy.
По словам представителя компании Валерия Фанцулая, в указанные периоды хакерских атак на «Теласи» не было, утечек информации или нарушений целостности корпоративных данных не было.
Российская разведка также проверяла уязвимости в других критически важных объектах инфраструктуры, обнаружив их в сети Батумского нефтяного терминала, говорится в одном из документов. К октябрю 2019 года были взломаны многочисленные системы, включая интеллектуальные камеры.
Представители Батумского нефтяного терминала не ответили на просьбу прокомментировать ситуацию. Терминал на побережье Черного моря переправляет нефть и нефтепродукты из Грузии, а также соседнего Азербайджана, Казахстана и Туркменистана в Центральной Азии.
По меньшей мере два других неустановленных нефтеперерабатывающих завода, а также несколько других компаний и государственных учреждений также подвергались атакам ГРУ, иногда с использованием вредоносного ПО X-Agent, которое ранее связывали с разведывательным агентством, по словам европейских чиновников.
В 2019-2020 годах киберзлоумышленники взломали большое количество электронных почтовых ящиков в Национальном банке Грузии, что позволило им читать конфиденциальную переписку.
Центральный банк отказался комментировать конкретные заявления, заявив, что информация о кибератаках и механизмах контроля является конфиденциальной. В заявлении банка говорится, что он использует «современные системы для обеспечения безопасности своих информационных активов».
Хакеры также взломали телекоммуникационного оператора Skytel, где они, вероятно, получили доступ к системам администратора, сетевым маршрутизаторам и другим критически важным системам. Злоумышленники «возможно» могли отключить все телекоммуникации провайдера, а также субпровайдеров в сети Skytel, говорится в одном из документов.
Представители Skytel не ответили на просьбу прокомментировать ситуацию.
Операция по слежке за Министерством иностранных дел была проведена хакерской группой, известной под названием Turla, которая, по словам американских официальных лиц, ранее была прикреплена к подразделению ФСБ под названием Центр 16. Она работает с объекта в Рязани, примерно в 130 милях к юго-востоку от Москвы. Действующая примерно с 2004 года, Turla получила известность благодаря изощренным атакам в десятках стран.
Согласно отчету о сетевых журналах, с апреля 2020 года по январь 2021 года хакеры сосредоточились на похищении данных семи грузинских чиновников, включая нынешнего заместителя министра иностранных дел и послов страны в США и ЕС.
Кроме того, они неоднократно атаковали компьютеры, связанные с конкретными грузинскими консульствами или посольствами, в том числе на Кипре, в странах Балтии, России, Южной Корее, Азербайджане и Канаде. Члены «Турлы» занимались шпионажем строго в рабочее время с понедельника по пятницу.
За один месяц, с ноября по декабрь 2020 года, Turla взломала сеть Министерства иностранных дел и украла данные 114 раз, собрав в общей сложности около 2,1 гигабайта.
Главный интерес России - «ослабить прозападную внешнюю политику Грузии», - говорит Сескурия, сотрудник Института исследований безопасности. «И мы видим, что эти отношения никогда не были хуже».