США та Велика Британія ввели санкції проти російських хакерів. Деанонімізувати їх допоміг українець
IT-індустрія15 лютого 2023, 08:03
Кібератаки стали повноцінною зброєю росіян під час війни з Україною. Лише за перші пів року повномасштабного вторгнення CERT-UA зареєструвала понад 1000 хакерських атак проти українських ресурсів.
Після цього темпи трохи впали — у Держспецзв’язку це пов’язують з тим, що за 2022-й рік і держава, і бізнес істотно посилили напрямок кіберзахисту.
Проте російські хакери працюють не тільки проти України, але й намагаються проводити свої спецоперації по всьому світу, направлені на абсолютно різні цілі.
Так, 12 лютого російські хакери атакували ресурс штаб-квартири Спеціальних операцій НАТО. Незадовго до цього вони влаштовували DDoS-атаки на німецькі сайти аеропортів, банків та органів влади, пояснюючи це майбутньою передачею Україні німецьких танків Leopard. Під час президентських виборів у Чехії російські хакери організовували атаки проти чеських сайтів, а влітку вони провели кампанію проти трьох ядерних лабораторій у США.
РФ стала ідеальним притулком для кіберзлочинців — допоки вони ідуть на співпрацю та не діють проти російських компаній.
Ще донедавна російські хакери вважалися одними із найнебезпечніших кіберзлочинців у світі. Ба більше, онлайн-злочинців вербує навіть ПВК Вагнер — нещодавно незаконне збройне формування організувало хакатон із призовим фондом 1,5 млн рублів.
Проте війна в Україні розвіяла міф про неймовірну силу російських хакерів. Попри й досі активну діяльність, більшість їхніх атак можна назвати відносно простими та неефективними.
Передплатіть, щоб прочитати повністю
Нам необхідна ваша підтримка, щоб займатися якісною журналістикою
Єдиною дійсно успішною великою кібероперацією можна назвати ту, яку росіяни провели 24 лютого, коли їм вдалося зламати американського провайдера супутникового зв’язку Viasat. Пізніше заступник голови Держспецзв’язку Віктор Жора визнав, що це був серйозний удар, оскільки послугами компанії користувалися зокрема й українські військові, а тому цей злам дійсно завадив організувати опір на початковій стадії повномасштабного вторгнення.
Так, у 2021 році СБУ, Офіс генерального прокурора та Головне управління розвідки Міноборони ідентифікували учасників відомого хакерського угрупування Armagedon, яке працювало як мінімум з 2013 року. Хакерами виявилися кадрові співробітники російського, які брали участь в окупації Криму, та колишні українські правоохоронці, котрі перейшли на службу до країни-агресора.
Згідно з даними українських спецслужб, учасники Armagedon здійснили понад 5 тисяч кібератак проти України, починаючи з 2014 року. Їхніми цілями були держоргани, об'єкти критичної інфраструктури та бізнес. В СБУ продемонстрували перехоплені розмови, де співробітники ФСБ хваляться крадіжками даних, скаржаться на маленькі зарплати і на те, що їх керівництво не нагороджує за службу.
Нещодавно NV писав, як одне із найвідоміших російських хакерських угрупувань Conti намагалося підтримувати Кремль під час війни. Проте якщо Armagedon було т.зв. state-sponsored угрупуванням російських хакерів (тобто, угрупуванням, яке напряму фінансувалося та отримує іншу матеріальну підтримку від держави), то Conti — це окреме хакерське угрупування, яке почало співпрацювати з російськими спецслужбами.
Аналітики називали Conti головним кіберсиндикатом РФ. Фактично це єдине велике хакерське угруповання, яке лишалося в Росії станом на лютий 2022 року. Інші угруповання або втратили фінансування або банально не змогли зламати достатньо мереж, щоб заробити гроші та вижити.
Успішне виживання Conti довгий час пов’язували з їхньою дружбою з ФСБ та Кремлем. На думку аналітиків, силовики не заважали хакерам працювати, попри численні заклики Заходу заарештувати зловмисників, а ті передавали своїм кураторам різні секретні розвіддані, які зловмисники викрадали у своїх жертв.
Тепер Велика Британія та США відкрито заявили про зв’язок між хакерським угрупуванням та російськими спецслужбами. А 9 лютого уряди цих двох країн ввели санкції проти семи хакерів. Але цим вони не обмежилися — чиновники ще й задеанонили їх, опублікувавши імена, дати народження, адреса електронної пошти та фото злочинців. Це Михайло Іскрицький, Валентин Карягін, Віталій Ковальов, Максим Михайлов, Дмитро Плешевський, Валерій Седлецький і Іван Вахромеєв.
Голова Держспецзв’язку Юрій Щиголь у коментарях для NV пояснює, що сам факт деанонімізації хакерів дійсно може вплинути на подальшу ефективність угрупування. Проте в більшості випадків це залежить не від самого факту деанонімізації зловмисника, а від санкцій, які йдуть опісля, наголошує він.
«Публічне оголошення причетних до того чи іншого факту кібертероризму може справити на таку особу психологічний вплив. Вона розуміє, що про неї знають, що її анонімність у мережі, м’яко кажучи, сумнівна. Як поводитиме себе в такому випадку угрупування чи його учасник — залежить уже і від нього, і від „замовників“ такої діяльності», — пояснює він.
Якщо ж хакери або співпрацюють або і самі є кадровими співробітниками ФСБ або інших силових структур РФ, то такий крок «може стати ще одним поштовхом до міжнародного трибуналу для військових кіберзлочинців».
Вперше в історії Велика Британія вводить санкції проти злочинців, що вимагали викуп. Усі семеро належать до угрупувань Conti та Trickbot («основне угрупування, від якого з часом утворилась Conti). Активи злочинців були заморожені. За даними Мінфіну США, ці хакери працювали над розробкою шкідливого програмного забезпечення та програм-вимагачів, а також займали керівні посади в угрупуваннях, що займались шахрайством та відмиванням грошей.
Алекс Холден, засновник компанії Hold Security, яка займається цифровою безпекою, стежив за угрупуваннями Conti та Trickbot вже кілька років. Він впевнений, що викриття злочинців не призведе до їхнього арешту у Росії, проте тепер вони все одно змушені будуть «тікати та ховатися, навіть якщо їх не зможуть притягнути до відповідальності в нашій правовій системі».
Викриття хакерів стало можливим завдяки двом зливам в лютому і березні 2022-го року, після початку повномасштабного вторгнення, пише видання Wired. Члени TrickBot та Conti заявили про підтримку дій РФ та домовились працювати проти України.
Проте український дослідник з кібербезпеки (вірогідно, він був частиною хакерського угрупування, проте не поділяв радості своїх колег щодо нападу Росії на Україну), зібрав та злив у відкритий доступ понад 200 тис. повідомлень, якими обмінялися між собою 450 учасників угруповання, менеджерів, координаторів та партнерів угрупування TrickBot за період з червня 2020 року по березень 2022.
Це стало катастрофою для угрупування. Вихідний код їхньої основної зброї було злито; витік бази даних остаточно добив угрупування, в результаті чого воно розвалилося, а більшість хакерів перейшла в угрупування Conti. Аналіз чатів показав, що хакери часто працювали над «урядовими темами» у кооперації з Кремлем, а також обговорювали злам журналістів Bellingcat.
Кімберлі Гуді, старший менеджер з аналізу кіберзлочинності в компанії Mandiant у коментарях для Wired пояснив, що деталі зливів узгоджуються з тим, що США та Велика Британія пов’язували деяких членів угрупування цим угрупувань з російськими спецслужбами. Проте до цього це були лише здогадки, а реальних доказів такої співпраці ніде не було.
Черговим доказом співпраці Conti та спецслужб РФ стало те, що після початку повномасштабного вторгнення хакери почали проводити велику кількість кібератак проти цілей в Україні. Дослідники з IBM Security X-Force назвали це «безпрецедентним зрушенням», оскільки раніше метою угруповання Conti ніколи не були об'єкти в Україні — найімовірніше, через те, що до 24 лютого до складу угруповання входили українці. До того ж більшість шкідливих програм, що використовуються Conti, були налаштовані у такий спосіб, щоб не запускатися в системах, у яких виявлено українську мову.
Повідомляється, що у червні угрупування Conti також було розформовано, хоча його члени продовжили займатися злочинною діяльністю, приєднавшись до інших менших груп на кшталт Quantum, Royal і Black Basta.
UPD. 14.02 18:37 — додали коментарі від Голови Держспецзв’язку Юрія Щиголя.