Россию считали главной силой киберпространства — теперь над ней измываются лучшие хакеры мира

8 мая, 20:32
Эксклюзив НВ
Война в Украине развеяла миф о непобедимых российских хакерах (Фото:НВ)

Война в Украине развеяла миф о непобедимых российских хакерах (Фото:НВ)

Российские хакеры заработали себе славу едва ли не сильнейшей силы в киберпространстве. Война в Украине показала, что их возможности были переоценены.

Большинcтво экспертов было уверено — современная полномасштабная война невозможна без хакеров. Зависимость человечества от технологий стала настолько очевидной, что и вероятные попытки вывести эти технологии из строя во время боевых действий стали чем-то, что разумеется само собой.

Видео дня

В контексте вероятного нападения Кремля аналитики предполагали, что наступление наземных войск будет сопровождаться хакерскими атаками против объектов критической инфраструктуры, которые еще больше напугают людей и дестабилизируют ситуацию. В России существует большое количество хакерских группировок, которые якобы не связаны с правительством, однако часто действуют в интересах режима; кроме того, хакеры входят в состав вооруженных сил и разведывательных служб России.

НВ разобрался, насколько эффективными были атаки российских хакеров, как хакерское сообщество поддержало Украину и действительно ли спецоперации в онлайне стали тем самым оружием будущего.

Российские хакеры против Украины

У россиян уже есть богатый опыт кибератак против Украины: в 2021 году Украина заняла второе место по количеству кибератак, которые проводились против конкретной страны. В феврале произошло что-то вроде генеральной репетиции, когда [предположительно] российским хакерам удалось ненадолго положить некоторые украинские правительственные, военные и банковские сайты.

С начала войны российские хакеры действительно активно поддерживали (и продолжают поддерживать) наземное наступление. И если бы не война, то, к примеру, новость о взломе спутникового провайдера Viasat, точно была бы среди самых обсуждаемых в те дни. Как минимум потому, что это — крупнейшая кибератака нашего времени: тысячи спутниковых модемов в Украине и за рубежом вышли из строя, оставив миллионы людей без связи.

Заместитель главы Госспецсвязи Виктор Жора рассказал, что «это была действительно огромная потеря связи в самом начале войны», а от атаки пострадали не только обычные пользователи — Viasat предоставлял услуги военным и объектам критической инфраструктуры. Именно поэтому российские хакеры и выбрали компанию для своей атаки.

«В обычное время это была бы одна из самых громких историй в области информационной безопасности за целый год, если не больше. Однако непрекращающаяся жестокая война меняет психологическую среду для кибератак, вытесняя их из цикла новостей», — отмечает Томас Рид, профессор стратегических исследований Университета Джонса Хопкинса.

За два месяца войны как минимум шесть групп российских хакеров провели более 430 кибератак. Многие из них совпадали по времени с ракетными атаками и наземными наступлениями на определенные объекты. Однако 2 мая Госспецзвязи заявило, что российские кибератаки против Украины достигли максимума. Россиянам так и не удалось провести широкомасштабную атаку, которая действительно нанесла бы существенный урон украинской экономике, армии или населению.

Госспецсвязи
Фото: Госспецсвязи

Но расслабляться рано. «Несмотря на то, что атаки [российских хакеров] преимущественно не наносят значительного вреда нашей информационной инфраструктуре, их количество постоянно растет», — отмечают в Госспецсвязи.

Совокупность всех этих факторов приоткрыла миру сразу два важных момента:

  • Хакеры — далеко не то оружие будущего, о котором мы столько слышали. Их действия могут нести угрозу, однако во время войны ракетные удары и обстрелы очевидно воспринимаются серьезнее;
  • Сила российских хакеров была завышена. Российские хакеры, ставшие чем-то вроде бренда на Западе, оказались неспособным противостоять Украине и ее союзникам. Лучше всех это объяснил Стефани Де Бласи, аналитик киберугроз в компании Digital Shadows: «До сих пор Россия была одной из тех стран, от которых исходит киберугроза, а не которые становятся их жертвами».

Прямо сейчас огонь перекинулся уже «за поребрик» — от кибератак страдают именно российские компании. Хакерские группировки по всему миру выступили в поддержку Украины, благодаря чему в интернет утекли миллионы внутренних документов госкомпаний РФ, среди которых Роскомнадзор, Центробанк РФ, Газпром и многие другие столпы российского режима.

Главной жертвой первой в истории мировой кибервойны стал миф о российском киберпревосходстве. Это далеко не первая мистификация, которую развенчала война в Украине — еще три месяца назад российская машина пропаганды также считалась едва ли не сильнейшей в мире, как и рассказы о «второй армии мира». Теперь это далеко не так.

Однако в Госспецсвязи предупреждают, что не стоит недооценивать врага: «До сих пор Украине удавалось успешно противостоять кибератакам из России. Благодаря санкциям враг уже столкнулся с определенными ограничениями ресурсов — материальными и технологическими, и ему все сложнее будет готовить и проводить новые атаки. Однако нужно постоянно быть готовым к ним, ведь, несмотря на ограниченные ресурсы, российские военные хакеры все еще имеют высокую мотивацию атаковать».

IT-армия

С самого начала войны во главе киберфронта стал проект IT-армии от Министерства цифровой трансформации — сообщество добровольцев, которые до сих пор организовывают постоянные DDoS-атаки против российских ресурсов, координируя их при помощи Telegram-канала, в котором состоит почти 300 тыс. пользователей. Это публичная часть работы министерства, к которой может присоединиться каждый желающий, даже без наличия специальных навыков.

В начале войны именно DDoS-атаки были основным оружием ввиду своей простоты. Их использовала как Украина, так и Россия — подобной атаке поддавался даже сайт НВ. Эксперты отмечают, что атаки на российские сервера были более мощными — самая длительная из них растянулась на 177 часов.

IT-армия положила сотни различных российских сайтов — среди них ресурсы госорганов и госструктур, сайты пропагандистских СМИ, популярные банковские сервисы и, конечно же, госкомпании. Из-за постоянных DDoS-атак на сервис 1С, в РФ отменили штрафы за несвоевременную подачу отчетов. Также в России решили отменить маркировку и проверку наличия маркировки на некоторых товарах из-за атаки на национальную систему Честный знак.

Однако DDoS на самом деле не окажет большого влияния на войну даже в киберпространстве. Рано или поздно серверы восстанавливаются, защита улучшается, а атаки становятся все менее эффективными.

Туман кибервойны

Намного более интересной наверняка окажется непубличная часть работы Минцифры — в целях безопасности рассказать о подробностях этих кибератак там пообещали уже после войны. В комментариях для НВ министр цифровой трансформации Михаил Федоров подтвердил информацию, что Украине помогают «очень большое количество компаний в сфере кибербезопасности»: они работают по «непубличным целям, которых большинство».

«Это комплексные атаки, цель которых не просто получить доступ к сайту или базе данных, но и распространить правду о том, что происходит. Мы уже взломали более 80 баз данных, которые являются критическими для РФ. Это базы данных граждан, бизнеса, достаточно сенситивные данные. Также цифровая блокада сделала, например, так, что сегодня ВКонтакте не могут даже купить себе серверы. Их сфера кибербезопасности очень пострадала из-за санкций», — говорит министр.

Одна из сильнейших российских хакерских группировок Trickbot, которую уже давно подозревают в связях с ФСБ, в конце февраля заявила, что поддержит Россию в войне против Украины. Считается, что именно эта группировка стоит за DDoS-атаками на украинские сайты до начала войны.

Спустя несколько дней после начала войны анонимный пользователь из Украины опубликовал внутренние чаты, а затем и исходный код программы-вымогателя Conti, ставшего настоящей головной болью для экспертов по кибербезопасности из-за частого и достаточно эффективного его использования. Таким образом он практически разрушил одну из опаснейших российских хакерских группировок, члены которой теперь вынуждены беспокоиться исключительно за свою безопасность, скрывая и уничтожая улики против себя.

Группировка Network Battalion 65' (NB65) пошла дальше — она модифицировала код Conti, а затем использовала его для взлома и блокировки файлов внутри российских компаний. «Мы решили, что лучше всего ударить Россию ее же оружием. Conti годами использовалась против школ, больниц, университетов и компаний по всему миру. Мы будем использовать этот код против любой российской компании, на которую мы попадем. Это наш способ сказать российским хакерам — от*****есь!», — говорит представитель NB65 в комментариях НВ. Он предположил, что код Conti слил украинский участник группировки Tricked, который решил отомстить своим бывшим товарищам за поддержку войны.

NB65 активно взялись за дело — к примеру, 2 апреля группировка взломала самую популярную электронную платежную систему России — Qiwi: хакеры получили доступ ко внутренней информации и стерли 10,5 терабайт резервных копий компании. Ранее их жертвами также становились ВГТРК, Роскосмос, российские банки и даже частные компании. Этим группировка отличается от большинства остальных хакеров вроде сообщества Anonymous, которое постоянно утверждает, что гражданское население России не является для них врагами, а отвечать за войну должна исключительно верхушка власти.

Хакеры рассказали, что продолжат работать по целям из РФ, пока не прекратится война. У них есть друзья и даже члены семей, которые «пострадали от военных преступлений России», а потому они не планируют останавливаться.

«Народная поддержка этой войны среди гражданского населения России пугающе высока. Учитывая характер большинства российских компаний и их отношения с государством, мы решили, что ни одна компания не будет считаться „закрытой“ для нас. Если они работают, то они способствуют кровопролитию в Украине. Российские граждане хотят, чтобы их взломали? Наверняка нет. Но украинские граждане тоже не хотят, чтобы крылатые ракеты летели в их дома», — объясняют свое решение хакеры.

Члены NB65 также считают, что силу российских хакеров явно переоценили. Представитель группировки уверен, что это произошло из-за активной работы онлайн-вымогателей из России, которые действовали по всему миру. «Сейчас стало очевидно, что они далеко не титаны кибербезопасности», — добавляют хакеры. Особенным открытием для них стало стало то, что «большая часть россиян использует взломанные Windows с поддельными ключами активации».

Море данных

NB65, наряду с Anonymous и AgainstTheWest — еще одной прозападной хакерской группировкой — стали одними из главных поставщиков взломанных архивов, содержащих внутреннюю информацию российских компаний, которые обрабатывает и централизованно выкладывает организация DDoSecrets. Сайт проекта стал неофициальным центром для публикации терабайтов тщательно скрываемой внутренней информации российских госкомпаний.

К примеру, движение Anonymous разместило в публичном доступе около 5,8 Тб данных с российских источников. Сейчас главная проблема уже не раздобыть информацию, а изучить ее.

За первые 10 лет работы организация WikiLeaks, работавшая по схожему принципу, опубликовала около 10 миллионов документов. Журналистка DDoSecrets Лоракс Хорн в рассказала НВ, что столько же удалось получить за два с половиной месяца войны в Украине — и это без учета вложенных в электронные письма файлов.

«Поток данных российских компаний дал нам множество бессонных ночей, и это действительно ошеломляет», — рассказывает соосновательница DDoSecrets Эмма Бест. Она уверена — журналистам и исследователям потребуется не один год, чтобы обработать всю информацию, которая появилась в открытом доступе за последнее время.

Однако добычей информации хакеры не ограничиваются. Некоторые действуют еще более грубо: например, в марте появилась новая программа-вымогатель RU_Ransom, которая на самом деле является вайпером. Сразу после запуска программа проверяет геолокацию пользователя — если он находится в России, все файлы на компьютере блокируются, после чего программа бесследно их стирает.

«Я, создатель RU_Ransom, создал эту вредоносную программу, чтобы навредить России… Нет никакого способа расшифровать ваши файлы. Никакой оплаты, только ущерб», — гласит сообщение, которое отображается при работе программы. Если попытаться запустить программу не в России, она покажет сообщение «Программу может запустить только российский пользователь», после чего автоматически закроется. Однако до сих пор о массированном распространении этого ПО не сообщалось.

Некоторые эксперты предполагают, что в России уже давно задумываются о создании создании сплинтернета. Это что-то вроде интернета, в котором существуют сразу несколько расщепленных сетей, которые не зависят друг от друга. Шаги в этом направлении уже сделали Иран, Китай, Северная Корея, однако они до сих пор пользуются теми же технологиями, что и весь мир, а потому говорить о полноценном появлении сплинтернета пока рано.

Бесконечные кибератаки, которые подрывают не только обороноспособность России, но и авторитет «российских хакеров», могут спровоцировать правительство еще активнее продвигать идею спрятаться в своем коконе и отгородиться от остального не только реального, но даже цифрового мира.

Присоединяйтесь к нам в соцсетях Facebook, Telegram и Instagram.

Показать ещё новости
Радіо НВ
X