Технологии
Софья Сажнева

Война России с Украиной — это ещё и кибервойна. Что на ней происходит, кто чью сторону занял, и какова роль Anonymous

Действия за неделю обратились в хаос: хакеры «кладут» сайты и СМИ обеих сторон, взламывают приложения. Появляются IT-армии, а группировки раскалываются изнутри. Но самых разрушительных атак пока не было.

Филиппо Монтефорте, AFP 

Россия седьмой день ведёт «специальную военную операцию» на Украине, но противостояние разворачивается не только на земле или в воздухе. В первые же дни конфликта значимыми фигурами стали хакеры, причём по обе стороны. При этом выглядит это не как полноценная кибервойна, а, скорее, напоминает киберхаос. Группировки объявляют «войну» то Украине, то России, и пока одни хакеры совершают крупные атаки, гораздо заметнее массовые, но более локальные взломы, в которых даже участвуют не целые «профессиональные» группы, а любители.

С 24 по 28 февраля хакерские атаки на российские компании, государственные органы, банки и СМИ участились как минимум в три раза по сравнению с февралем прошлого года. При этом трафик поступает из разных стран мира, в том числе и с территории России.

TJ попытался разобраться, кто из хакеров на чью сторону встал, и каких реально подтверждённых результатов, а не просто громких заявлений, им удалось добиться.

* * *

В ночь на 2 марта хакерская группа Network Battalion 65' объявила, что взломала систему управления спутниками «Роскосмоса» и требует, чтобы Путин вывел войск из Украины. Это стало продолжением кибервойны, которую группировка объявила российскому правительству 27 февраля, присоединившись к более масштабной хакерской группе Anonymous.

В своем твиттер-аккаунте Network Battalion 65' опубликовали скриншоты, доказывающие взлом госкорпорации, но в самом «Роскосмосе» информацию об этом опровергли.

Информация этих мошенников и мелких аферистов не соответствует действительности. Все наши центры управления космической деятельностью работают в штатном режиме.

Дмитрий Рогозин

И это не первый взлом в рамках кибервойны, на проверку оказавшийся фейком. Со дня её объявления Anonymous 25 февраля (группировка первой из прочих открыто заявило об этом) начались многодневные атаки на сайты российских госструктур: факт кибератак подтверждал Дмитрий Песков. Также группировка заявила, что взломала сайт Минобороны РФ и получила доступ к персональным данным сотрудников, после чего слила базу в сеть.

Однако позднее пресс-служба ведомства заявила, что информация о взломе сайте военного ведомства — это «примитивный до смеха» фейк. Представитель Минобороны подчеркнул, что списки персональных данных военнослужащих и других сотрудников не хранятся на серверах сайта из-за запрета по законодательству. Эксперты, ведущие телеграм-канал «Утечка информации» указали, что якобы слитые данные содержат «дистрибутив медиаплеера VLC и небольшую выборка паролей по доменам gov.ru и mil.ru из очень старых утечек».

В ночь на 27 февраля участники Anonymous объявили, что взломали российские федеральные каналы с целью «транслировать правду об Украине». Жертвами, как сообщали хакеры, стали Первый канал, «Россия-1», СТС, НТВ, «5 канал», ТНТ и «Рен-ТВ». В их эфире якобы начали транслировать стихотворение украинского певца Дмитрия Монатика — он под кадры военных действий с разрушениями разных городов и сёл в результате атак спрашивал: «Ты этого хотела, русская власть? Спасти Украину — и пришла убивать?».

Однако и эту информацию опровергли — россияне не заметили в эфире вышеуказанных телеканалов трансляцию стихотворения. По всей видимости, Монатика крутили только по некоторым частотам российского телевидения в Украине.

В «войне анонимуса» существует проблема: само устройство хакерской команды затрудняет окончательное приписывание этих атак Anonymous и их верификацию, хотя информация и публикуется в их твиттер-аккаунте. Группировка описывает себя как децентрализованный онлайн-коллектив без особой политической принадлежности, который противодействует цензуре и государственному контролю и продвигает свободу слова. Действия участников нечасто согласовываются: отдельные хакеры просто выступают от имени «легиона» при его поддержке.

Сложно напрямую связать эту деятельность с Anonymous, поскольку целевые организации, вероятно, не захотят публиковать соответствующие технические данные. Тем не менее, у коллектива Anonymous есть опыт ведения такого рода деятельности, и это очень соответствует их возможностям.

Считается, что движение зародилось на имиджбордах, таких как 4chan, в начале нулевых. С тех пор Anonymous атаковали ЦРУ, Церковь Саентологии и Исламское государство. В 2010 году операция хакеров в поддержку Джулиана Ассанжа и WikiLeaks переросла в масштабную атаку против PayPal и Mastercard за блокирование пожертвований WikiLeaks, а во время «арабской весны» 2011 года хакеры совершали DDoS-атаки на правительственные сайты Египта и Туниса.

Именно DDoS-атаки и являются основным оружием Anonymous, их задача — «положить» сайт огромным количеством запросов. Другой тип атаки, которую часто использует группировка, — «дефейс». В основе этого метода — подмена главной страницы сайта на другую, как правило, содержащую призывы, угрозы, шантаж или насмешки.

28 февраля хакеры Anonymous якобы взломали автоматическую систему идентификации судов и изменили название яхты, которая предположительно принадлежит Владимиру Путину — американские СМИ утверждают, что президент приобрёл её за 97 миллионов долларов, но официальных подтверждений нет.

В тот же день хакерская группировка Anonymous взломала ряд сайтов российских и белорусских СМИ, включая крупнейшие издания. В число пострадавших от атаки вошли российские ТАСС, «Коммерсант», Forbes, Znak, «Известия», белорусские «Онлайнер», ИА БелТА, и другие ресурсы. На некоторых из них хакеры разместили заявление: «Призываем вас остановить это безумие, не отправляйте сыновей и мужей на верную смерть».

Скриншот SocialNer

Тогда же в сети появился ролик, в котором якобы от имени хакерского сообщества говорилось, что они 3 марта опустошат счета россиян и отправят их деньги украинской армии. Однако информацию скоро опровергли сами Anonymous, заявив, что они не крадут деньги у людей.

Украинцы создали «IT-армию» из добровольцев, но масштабы «киберфронта» трудно оценить

Не только Anonymous приняли участие в конфликте. 26 февраля министр цифровой трансформации Украины Михаил Фёдоров объявил о создании «IT-армии» — добровольческой кибердружины, которая должна помочь настоящим войскам.

«У нас много талантливых украинцев в digital-сфере: разработчиков, киберспециалистов, дизайнеров, копирайтеров, маркетологов, таргетологов и так далее. Создаем IT-армию. Продолжаем бороться на киберфронте»

Добровольцы организуются через каналы в телеграме, сейчас в самом популярном, IT ARMY of Ukraine, около 250 тысяч подписчиков. Согласно опубликованному Федоровым списку целей, в него входит защита критической инфраструктуры Украины, помощь правительству в кибершпионаже, удаление российской информации из интернета и нацеливание на российскую инфраструктуру, банки и правительственные сайты.

В частности, планировались DDoS-атаки на 25 российских сайтов, в число которых входили российские инфраструктурные предприятия («Газпром»), банки и правительственные сайты. 27 февраля администрация IT ARMY of Ukraine попросила добровольцев настроить таргетинг на веб-сайты, зарегистрированные в Беларуси, одном из ключевых союзников России. Канал также призвал подписчиков сообщать о каналах YouTube, которые якобы «откровенно лгут о войне в Украине».

Как рассказал изданию Wired украинский чиновник, знакомый с организацией IT-армии, её создали для того, чтобы Украина могла дать отпор российским кибератакам. У России есть значительные хакерские возможности: накануне вторжения кибератаки «положили» госсайты, а вредоносное ОС Wiper поразило украинский банк.

https://tjournal.ru/post/542223

Поддерживаемая правительством IT-армия опирается на другие украинские хакерские усилия. 25 февраля Егор Аушев, который основал несколько компаний по кибербезопасности в Украине, провёл первый набор волонтёров с помощью Google-форм. Добровольцев спрашивали об опыте работы в разных IT-областях, начиная от сбора данных из открытых источников и заканчивая разработкой вредоносных программ.

Хакерам можно помогать и на пользовательском уровне. Для организации DDoS-атак в том числе используются списки сайтов, при открытии которых браузер пользователя сам начинает атаковать российские сайты. То есть достаточно просто зайти на фишинговый сайт — и автоматически присоединиться к атаке.

Влияние ИТ-армии пока трудно оценить. Хотя к каналу IT ARMY of Ukraine присоединились тысячи участников, нет никаких официальных данных о том, кто они, или на их участие в какой-либо атаке. Канал поделился скриншотами некоторых российских веб-сайтов, предположительно отключенных от сети, но неясно, насколько успешными были эти усилия и откуда они взялись.

IT ARMY of Ukraine взяла на себя ответственность за атаку на сайт Московской биржы

На сторону Украины встали хакеры, которые ранее атаковали ИГИЛ, компартию Китая и украинский сервис госуслуг «Дія»

Кроме того, о своей поддержке Украины объявила группировка Ghostsec. Эта группа, также известная как Ghost Security, считает себя группой «линчевателей» и изначально была создана для борьбы с сайтами ИГИЛ. Ghostsec также часто называют ответвлением Anonymous.

AgainstTheWest (ATW) тоже встал на сторону Украины. Группа активно работает над взломом российской инфраструктуры, включая РЖД и ее крупных подрядчиков.

Кто стоит за группировкой — не ясно. С октября 2021 года ATW публиковал различные утечки данных и доказательства порчи веб-сайтов на подпольном форуме RaidForums. ATW участвовала в недельной кампании по против Китайской Народной Республики: кибератаки направляли на правительство и корпоративные структуры, связанные с компартией.

К движению в поддержку Украины также подключился SHDWsec. Группа работает в сотрудничестве с ATW и Anonymous в операциях против России.

Белорусские «киберпартизаны» также встали на сторону Украины. Хакерская группа заявила о доступе к системам управления белорусских поездов в Минске, Орше и городе Осиповичи. Цель операции — «замедлить переброску» базирующихся в Белоруссии российских войск на Украину (технику перевозят в основном по железной дороге).

Белорусские киберпартизаны также оказались на стороне Украины. Хакерская группа якобы уже смогла получить доступ к компьютерам, которые управляют системой белорусских поездов в Минске и Орше, а также в городе Осиповичи. Их операция была призвана «замедлить переброску» базирующихся в Беларуси российских войск в Украину.

«Киберпартизаны» не в первый раз говорят об атаках ЖД-системы, правда, подтверждений этому не было. Но издание Bloomberg со ссылкой на «бывшего белорусского железнодорожника» сообщило, что движение поездов в Минске и Орше «парализовало». Кроме того, на белорусских форумах некоторые описывали перебои с движением поездов в Минске.

KelvinSecurity объявили, что поддерживают Украину: хакеры публикуют в твиттере доказательства своего участия в кибероперациях. О группировке известно не так уж много — её связывают со сливом персональных данных сотрудников Объединенного института ядерных исследований в 2015 году и с крупной утечкой данных из бизнес-консалтинговой компании Frost & Sullivan в 2020.

Англоязычный теневой форум Raidforum объявил, что активно атакует российские сайты и российскую инфраструктуру. У пользователей форума также есть предположения, что китайские хакеры могут стоять за взломом украинских сетей.

Что примечательно — ранее участники форума активно атаковали украинские сайты и ресурсы. Например, в ночь на 22 января один из пользователей выложил на Raidforum объявление о продаже якобы персональных данных украинцев, полученных во время кибератаки 14 января на государственные сайты Украины. Они включали в себя личные данные 2 миллионов украинцев из «Дії», которые продавали за 15 тысяч долларов.

Внутри группировки Conti, вставшей на сторону России, произошел раскол: украинский член команды слил в сети данные внутреннюю переписку хакеров

Активизировались не только хакеры, поддерживающие Украину, но и «русские хакеры», ставшие известными в последние годы. Например, группировка Conti заявила о полной поддержке российского правительства, написав: «Если кто-либо решит организовать кибератаку или какие-либо военные действия против России, группа собирается использовать все возможные ресурсы, чтобы нанести ответный удар по критически важным инфраструктурам врага».

Однако вскоре после публикации сообщения участники Conti пересмотрел его, смягчив тон. В обновленном заявлении Conti говорит, что будет использовать «все свои возможности для принятия ответных мер в случае, если западные подстрекатели войны попытаются нацелиться на критически важную инфраструктуру в России или любом русскоязычном регионе мира».

Мы не вступаем в союз ни с одним правительством, и мы осуждаем продолжающуюся войну. Однако, поскольку Запад, как известно, ведёт свои войны, в первую очередь нанося удары по гражданскому населению, мы будем использовать наши ресурсы, чтобы нанести ответный удар, если благополучие и безопасность мирных граждан будет поставлено на карту из-за американской киберагрессии.

Conti

Судя по всему, активная поддержка России расколола группировку. Вскоре после этого украинский участник команды слил в сеть внутренние данные Conti — более 60 тысяч внутренних сообщений и биткойн-адреса. База — полный лог чатов за последний год. Генеральный директор AdvIntel Виталий Кремез, который следил за работой Conti в течение последних лет, подтвердил, что утекшие сообщения являются подлинными и были взяты с сервера журналов для системы связи Jabber, используемой вымогателями.

Позднее Кремез опубликовал скриншоты, согласно которым Conti как минимум с 2021 года сотрудничали с Россией, и участвовали в атаках на США. По словам Кремеза, один из украинских членов группировки перебрался в Россию, скрываясь от преследования СБУ.

Кто ещё встал на сторону России — и почему этих хакеров подозревают в работе на спецслужбы

  • Coomingproject — группа сообщила, что поможет российскому правительству в случае кибератак и действий против РФ. Банду связывают с утечкой данных Южноафриканского национального космического агентства в 2021 году.
  • Минская группа UNC1151 — считается спонсируемой Белоруссией и якобы работает над взломом учетных записей электронной почты украинских военнослужащих. Члены группы, как считают украинские официальные лица, — офицеры Минобороны Республики Беларусь», сообщает The Record.
  • Freecivilian объявила о продаже данных, украденных с 50 различных украинских правительственных веб-сайтов после атаки 23 февраля. Атаки на веб-сайты включали отображаемые сообщения о порче, которые были почти идентичны сообщениям от атаки 15 января, связанной с UNC1151. Хотя группа утверждает, что является независимым киберпреступником, многие подозревают, что эта группа связана с государственными структурами.
  • SandWorm известна своим недавним вредоносным ПО под названием Cyclops Blinks и состоит из хакеров, предположительно спонсируемых Россией. Вредоносное ПО было впервые развернуто в июне 2019 года и «в первую очередь было обнаружено, что оно нацелено на брандмауэры WatchGuard Firebox, но они не исключают возможности заражения и других типов сетевого оборудования.
  • The RedBandits — коллектив заявляет себя как киберпреступная группа из России, однако многие предполагают, что на самом деле это российская разведка.

Похоже, что больше всего атак пророссийских хакеров опасаются в американских банках

Специалисты по кибербезопасности считают, что пророссийские хакеры приберегли новые методы работы для кибервойны — и особенно этого опасаются в США. Широко распространено мнение, что российские злоумышленники закрепились в корпоративных и государственных системах — с помощью нарушений цепочки поставок программного обеспечения, подобных SolarWinds, уязвимости Log4j или даже самого взлома SolarWinds — которые просто ещё не были обнаружены.

В декабре 2020 года была обнаружена атака на SolarWinds и клиентов — ее связали с российской разведкой. Злоумышленникам удалось взломать цепочку поставок программного обеспечения и внедрить вредоносный код в приложение, которое затем было распространено в виде обновления среди тысяч клиентов. В результате хакеры, как полагают, получили доступ на целых девять месяцев к многочисленным компаниям и государственным учреждениям, включая FireEye, Microsoft и министерства обороны и казначейство.

Киберэксперты предупреждают о повышенном риске кибератак из России после санкций, которые исключили крупные российские банки из финансовой системы SWIFT. Этот шаг, затрудняющий российским банкам проведение международных транзакций, последовал за другими раундами санкций в связи с вторжением России на Украину. Кибератаки в такой ситуации выглядят как вероятный ответный удар Западу

У киберэкспертов есть опасения, что российские злоумышленники — будь то правительственные учреждения, такие как ГРУ и СВР, или сочувствующие группы, такие как Conti — почти наверняка скомпрометировали цепочки поставок программного обеспечения, о которых ещё не стало известно. И в любых маневрах кибервойны, нацеленных на Запад, они могут использовать этот доступ.

Готов поспорить, что русские не использовали даже части пуль из своего киберарсенала.

Эрик Байрес

Масштабная атака с помощью вируса NotPetya в 2017 году произошла из-за уязвимости популярного на Украине бухгалтерского приложения MeDoc. Уже от этой компании вредоносной ПО в итоге распространилось по всему миру. Эта кибератака считается одной из самых разрушительных в истории — общая сумма ущерба от неё превысила 10 миллиардов долларов.

По всей вероятности, хакеры, стоящие за атакой на SolarWinds, всё ещё имеют доступ к бреши во многих компаниях, которая до сих пор не использовалась, считают эксперты. В этом контексте вспоминают и обнаруженную в декабре уязвимость Apache Log4j, которую шуточно назвали «русским подарком к Рождеству».

Американские банки, по информации Reuters, уже готовятся к возможным кибератакам после того, как западные страны ввели ряд жестких санкций против России за вторжение в Украину. Они усиливают мониторинг сети, отрабатывают сценарии кибератак, ищут в своих сетях угрозы и выстраивают дополнительный персонал на случай всплеска враждебной активности.

Хакерская группа LockBit не заняла ничью сторону, для них хакерство — это «просто бизнес»

Впрочем, и среди хакеров нашлись люди «вне политики» — вымогатели LockBit заняли нейтральную позицию, заявив о своей аполитичности. LockBit — известная российская группировка, распространяющая программы-шифровальщики.

Для нас это просто бизнес, и мы все аполитичны. Нас интересуют только деньги за нашу безобидную и полезную работу. Всё, что мы делаем, — это платное обучение системных администраторов по всему миру тому, как правильно настроить корпоративную сеть. Мы никогда и ни при каких обстоятельствах не будем принимать участие в кибератаках на критически важные инфраструктуры любой страны мира или вступать в какие-либо международные конфликты.

LockBit

Разрозненные атаки не нанесли серьёзного ущерба, а часть из них и вовсе не подтвердилась

В целом происходящее сейчас сложно назвать полноценной кибервойной, но это точно киберхаос, считает Джо Тайди, репортёр «Би-би-си», специализирующийся на кибербезопасности.

Множество разрозненных атак разного типа и правда не выглядят как нечто системное и организованное. Тем более, что группировки участвуют в «кибервойне» в основном не альянсами, а по отдельности, а значит не координируют свои действия. Более того, учитывая анонимный характер членства в них, сложно сказать, сколько именно специалистов в этом участвует — и это если не брать во внимание хакеров-одиночек.

В действительности и правда трудно установить, кто именно совершает атаки и взламывает сервисы. Так, например, было в случае с аптекой «Озерки», от имени которой пользователям пришли сообщения о войне России с Украиной. Одни предположили хакерский взлом приложения сети и системы push-уведомлений, другие решили, что это инициатива сотрудников компании.

https://tjournal.ru/post/548776

По словам экспертов, обычно нападения хакеров на сайты носят любительский характер и являются скорее цифровым выражением социального протеста. Если цель крупная, то ее атакуют с помощью продвинутых техник — за период с 24 февраля до 28 февраля таких нападений зафиксировано 32% от общего числа.

Пока что никаких серьёзных взломов подтверждено не было, хотя различные группировки и спешат брать на себя ответственность за них. В реальности, из подтверждённого — только «упавшие» сайты, и слив нескольких некритических баз данных.

#войнасукраиной #технологии #кибератаки