Duńskie biuro dochodzeniowe Onderzoeksraad Voor Veiligheid (OVV), które zajmuje się dochodzeniami między innymi w przypadku katastrof lotniczych, było celem ataku, za którym stoją cyberszpiedzy powiązali z operacją Pawn Storm. Na podstawie wielu poszlak operacje związane z Pawn Storm są przypisywane rosyjskim cyberszpiegom, którzy atakują różne instytucje w krajach członkowskich NATO.

Włamywacze związani z tą grupą przestępczą przygotowali zestaw fałszywych serwerów VPN i SFTP, by przejąć komunikację członków OVV. Duńskie biuro Onderzoeksraad Voor Veiligheid prowadziło dochodzenie w sprawie katastrofy samolotu malezyjskich linii lotniczych i opublikowało 13 października raport końcowy, w którym stwierdza, że samolot Boeing 777-200 został zestrzelony przez rakietę wystrzeloną z systemu przeciwlotniczego Buk, rosyjskiej produkcji. W katastrofie zginęło 283 pasażerów i 15 członków załogi.

Zobacz również:

• Ponad pół miliona kont Roku w niebezpieczeństwie po ataku

Badacze firmy Trend Micro odnaleźli dowód na kolejną aktywność grupy Pawn Storm związaną z infiltracją OVV. Działania te były prowadzone zarówno przed, jak i po opublikowaniu raportu w sprawie katastrofy lotu MH17. 28 września włamywacze zainstalowali podstawiony serwer SFTP, dzień później w sieci znalazł się fałszywy serwer OWA (Outlook Web Access) poczty elektronicznej Microsoft Exchange, używanej przez partnera uczestniczącego w dochodzeniu prowadzonym przez duńskie biuro. 14 października w sieci uruchomiono kolejny serwer, tym razem udający koncentrator VPN, używany przez członków biura.

Prawdopodobnym motywem uruchomienia tych serwerów było przejęcie loginów i haseł ludzi pracujących nad raportem w sprawie katastrofy MH17. Ataki phishingowe są znane od lat, ale badacze Trend Micro po raz pierwszy zaobserwowali instalację fałszywego koncentratora VPN, który miał posłużyć do włamania. Chociaż prawdziwe serwery biura OVV wymagają dwuskładnikowego uwierzytelnienia, badacze uważają, że nie zabezpieczy to przed jednorazowym dostępem włamywaczy, gdyż takie hasło można łatwo ukraść.

Większość obserwowanych dotąd ataków Pawn Storm jest związanych z interesami geopolitycznymi Rosji. Grupa zintensyfikowała swoje działania po kryzysie powstałym w wyniku interwencji w Syrii. Badacze Trend Micro informują, że w ciągu ostatnich dwóch miesięcy włamywacze z Pawn Storm zainstalowali kilka fałszywych serwerów OWA. Serwery przeznaczone były do kradzieży haseł pracowników resortów obrony oraz spraw zagranicznych w krajach Europy Środkowej i Wschodniej sprzeciwiających się rosyjskiej kampanii wojskowej w Syrii.