Специалисты Trend Micro сообщили об обнаружении свидетельств попыток взлома компьютерных систем нидерландского Совета по безопасности до и после завершения работы над отчетом о техническом расследовании крушения Boeing 777-200 авиакомпании Malaysia Airlines, выполнявшего рейс MH17.
В частности, в конце сентября — середине октября взломщики создали фальшивые серверы SFTP, VPN и Outlook Web Access, имитирующие аналогичные, которые используются в голландской организации. В Trend Micro пришли к выводу, что эти действия совершены в рамках операции Pawn Storm («Пешечный штурм») — в компании так назвали ее за сходство с одноименной шахматной стратегией. Акции в рамках Pawn Storm объединяет адресный фишинг с применением вредоноса Sofacy и создание фальшивых страниц OWA, но в компании не указали, использовался ли Sofacy на этот раз.
Ранее специалисты компании FireEye, анализируя Sofacy, обратили внимание на присутствие русского языка в коде и соответствие времени компиляции рабочему времени в поясе UTC+4. Так как объектами атак, совершаемых с помощью Sofacy, обычно становятся госструктуры стран НАТО, а также украинские СМИ и представители российской оппозиции, в FireEye предположили, что авторы Sofacy могут быть связаны с российскими спецслужбами.