IT-індустрія

30 березня, 20:03

Ексклюзив НВ

Українець зламав і фактично зруйнував одне з найнебезпечніших російських хакерських угруповань

Український анонім зламав базу даних російського угруповання TrickBot, куди, як вважається, входили чи не найкращі російські хакери, які, можливо, співпрацювали зі спецслужбами.

Про цю історію розповів журнал The Wall Street Journal. НВ переказує найцікавіші моменти зі статті.

У розпал пандемії коронавірусу угруповання планувало атаку на понад 400 лікарень у США. «Буде паніка», — написав хакер російською мовою в одному із внутрішніх чатів угруповання TrickBot. Влада США та дослідники в галузі кібербезпеки зірвали більшу частину плану, попередивши лікарні до того, як вірус дістанеться комп’ютерів лікарень, проте хакери все одно спробували провести свою безуспішну атаку.

Вважається, що саме TrickBot стоїть за створенням програми-здирника Conti, яка стала найбільш використовуваною програмою у 2021 році. За даними ФБР, вона застосовувалася в атаках на американські лікарні та кол-центри 911, а також проти національної системи охорони здоров’я Ірландії, через що лікарі не могли приймати хворих на рак людей. Код програми використовувався для створення ще одного схожого вірусу Ryuk, який був застосований у 2018 році для атаки на щонайменше 235 лікарень загального профілю та інших медичних закладів у США.

Суть роботи програми-здирника, простіше кажучи, зводиться до повного блокування файлів на комп’ютері, доки жертва не заплатить. Це великий бізнес — лише за перше півріччя 2021 року американські компанії заплатили у такий спосіб понад $600 млн.

Починаючи з 2018 року TrickBot та філії угруповання поцупили сотні мільйонів доларів, зламуючи комп’ютери лікарень, шкіл та представників влади. За даними аналітичної компанії Chainalysis, хакерам вдалося заробити близько $70 млн у 2020 році, понад $200 млн у 2021 році, а за період до початку березня 2022 року угруповання відібрало у своїх жертв $13,5 млн.

Уже давно існують підозри, що угруповання тісно співпрацює з російським ФСБ, отримуючи від них інформацію про потенційні цілі. За це хакери викрадають різні розвіддані та секретні відомості у своїх жертв.

Наприклад, один із хакерів зазначав, що зламав електронну пошту одного з журналістів організації Bellingcat, яка на той момент займалася розслідуванням отруєння Олексія Навального та причетності до нього ФСБ. Також члени угруповання схвалювали війну в Україні.

Американська влада декілька років стежила за TrickBot, проте не досягла суттєвого прогресу в затриманні злочинців.

Однак тепер угруповання виявилося під ударом, причому набагато серйознішим, ніж могло собі уявити. Анонімний дослідник з України 27 лютого, а потім і 22 березня опублікував вихідний код програми-здирника Conti, а також листування хакерів. Сам він відмовився від додаткових коментарів виданню. 22 учасники, чиї електронні адреси засвітилися у внутрішньому листуванні угруповання, також не відповіли на запит про коментарі.

Понад 200 тис. повідомлень, якими обмінялися між собою 450 учасників угруповання, менеджерів, координаторів та партнерів TrickBot за період з червня 2020 року дотепер, розкрили злочинний синдикат, а також те, як саме вони справлялися з контратаками, їхні спроби диверсифікувати свою діяльність, а також розпочати розробку власної криптовалюти. Крім листування, є також технічні деталі програми-здирника Conti.

Також TrickBot запустила свою партнерську програму, до якої могли приєднатися інші злочинці, таким чином отримуючи доступ не тільки до програми-здирника, але й мати право користування серверами угруповання та допомогою навчених переговорників.

«Вони не розрізняють цілі, їм однаково, що атакувати — навіть якщо це лікарня. Усе, що їм потрібне, це гроші», — каже Джон Фоккер, керівник відділу кіберрозслідувань в охоронній фірмі Trellix.

Українець, який опублікував файли угруповання, ймовірно, був одним із небагатьох аналітиків з кібербезпеки, якому вдалося проникнути в електронну інфраструктуру TrickBot. У листуванні можна простежити за реакцією хакерів на блокування компанією Microsoft серверів, які орендувало угруповання.

Приблизно водночас кіберкомандуванню США вдалося видалити програму-здирника із кількох тисяч комп’ютерів, заражених вірусом Conti. Тоді угруповання вирішило атакувати комп’ютери лікарень, які боролися із поширенням COVID-19. Дослідники кібербезпеки, які стежили за TrickBot, попередили владу США, а Міністерство внутрішньої безпеки попередило лікарні, що допомогло відбити атаку хакерів.

Судячи з отриманих повідомлень, після цього менеджери TrickBot почали шукати в групі джерела витоку: «Перевірив все вздовж і поперек, на ПК нічого немає, жодних витоків трафіку», — пише один із хакерів.

Угруповання досить децентралізоване, і щоб його знешкодити, недостатньо заарештувати 1−2 «босів». Згодом там з’явився навіть відділ кадрів, який працює над вербуванням нових хакерів, поки ті верзуть анекдоти, відпрошуються до стоматолога та обговорюють відпустку.

Торік ФБР заарештувало в Майамі Аллу Вітте, громадянку Латвії з російським корінням, яка була одним із ключових розробників кіберзлочинного угруповання. Тоді хакери активно працювали над пошуками адвоката для неї, а також обговорювали можливе фінансування його роботи за допомогою викрадених грошей. Головна стратегія захисту — показати, що Вітте нібито не знала, на кого працює та чим займається.

Наприкінці лютого угруповання також висловлювалося, що підтримує Кремль у війні проти України.

Після великого витоку угруповання стало близьким до розвалу. Наразі його члени намагаються відновити втрачене, проте значних успіхів не мають. Набагато активніше в TrickBot переймаються приховуванням та знищенням доказів. «Хто нас злив?», — запитує один із хакерів.

Другие новости

Всі новини