Война России с Украиной — это ещё и кибервойна. Что на ней происходит, кто чью сторону занял, и какова роль Anonymous

Действия за неделю обратились в хаос: хакеры «кладут» сайты и СМИ обеих сторон, взламывают приложения. Появляются IT-армии, а группировки раскалываются изнутри. Но самых разрушительных атак пока не было.

Россия седьмой день ведёт «специальную военную операцию» на Украине, но противостояние разворачивается не только на земле или в воздухе. В первые же дни конфликта значимыми фигурами стали хакеры, причём по обе стороны. При этом выглядит это не как полноценная кибервойна, а, скорее, напоминает киберхаос. Группировки объявляют «войну» то Украине, то России, и пока одни хакеры совершают крупные атаки, гораздо заметнее массовые, но более локальные взломы, в которых даже участвуют не целые «профессиональные» группы, а любители.

С 24 по 28 февраля хакерские атаки на российские компании, государственные органы, банки и СМИ участились как минимум в три раза по сравнению с февралем прошлого года. При этом трафик поступает из разных стран мира, в том числе и с территории России.

TJ попытался разобраться, кто из хакеров на чью сторону встал, и каких реально подтверждённых результатов, а не просто громких заявлений, им удалось добиться.

В ночь на 2 марта хакерская группа Network Battalion 65' объявила, что взломала систему управления спутниками «Роскосмоса» и требует, чтобы Путин вывел войск из Украины. Это стало продолжением кибервойны, которую группировка объявила российскому правительству 27 февраля, присоединившись к более масштабной хакерской группе Anonymous.

В своем твиттер-аккаунте Network Battalion 65' опубликовали скриншоты, доказывающие взлом госкорпорации, но в самом «Роскосмосе» информацию об этом опровергли.

И это не первый взлом в рамках кибервойны, на проверку оказавшийся фейком. Со дня её объявления Anonymous 25 февраля (группировка первой из прочих открыто заявило об этом) начались многодневные атаки на сайты российских госструктур: факт кибератак подтверждал Дмитрий Песков. Также группировка заявила, что взломала сайт Минобороны РФ и получила доступ к персональным данным сотрудников, после чего слила базу в сеть.

Однако позднее пресс-служба ведомства заявила, что информация о взломе сайте военного ведомства — это «примитивный до смеха» фейк. Представитель Минобороны подчеркнул, что списки персональных данных военнослужащих и других сотрудников не хранятся на серверах сайта из-за запрета по законодательству. Эксперты, ведущие телеграм-канал «Утечка информации» указали, что якобы слитые данные содержат «дистрибутив медиаплеера VLC и небольшую выборка паролей по доменам gov.ru и mil.ru из очень старых утечек».

В ночь на 27 февраля участники Anonymous объявили, что взломали российские федеральные каналы с целью «транслировать правду об Украине». Жертвами, как сообщали хакеры, стали Первый канал, «Россия-1», СТС, НТВ, «5 канал», ТНТ и «Рен-ТВ». В их эфире якобы начали транслировать стихотворение украинского певца Дмитрия Монатика — он под кадры военных действий с разрушениями разных городов и сёл в результате атак спрашивал: «Ты этого хотела, русская власть? Спасти Украину — и пришла убивать?».

Однако и эту информацию опровергли — россияне не заметили в эфире вышеуказанных телеканалов трансляцию стихотворения. По всей видимости, Монатика крутили только по некоторым частотам российского телевидения в Украине.

В «войне анонимуса» существует проблема: само устройство хакерской команды затрудняет окончательное приписывание этих атак Anonymous и их верификацию, хотя информация и публикуется в их твиттер-аккаунте. Группировка описывает себя как децентрализованный онлайн-коллектив без особой политической принадлежности, который противодействует цензуре и государственному контролю и продвигает свободу слова. Действия участников нечасто согласовываются: отдельные хакеры просто выступают от имени «легиона» при его поддержке.

Считается, что движение зародилось на имиджбордах, таких как 4chan, в начале нулевых. С тех пор Anonymous атаковали ЦРУ, Церковь Саентологии и Исламское государство. В 2010 году операция хакеров в поддержку Джулиана Ассанжа и WikiLeaks переросла в масштабную атаку против PayPal и Mastercard за блокирование пожертвований WikiLeaks, а во время «арабской весны» 2011 года хакеры совершали DDoS-атаки на правительственные сайты Египта и Туниса.

Именно DDoS-атаки и являются основным оружием Anonymous, их задача — «положить» сайт огромным количеством запросов. Другой тип атаки, которую часто использует группировка, — «дефейс». В основе этого метода — подмена главной страницы сайта на другую, как правило, содержащую призывы, угрозы, шантаж или насмешки.

28 февраля хакеры Anonymous якобы взломали автоматическую систему идентификации судов и изменили название яхты, которая предположительно принадлежит Владимиру Путину — американские СМИ утверждают, что президент приобрёл её за 97 миллионов долларов, но официальных подтверждений нет.

В тот же день хакерская группировка Anonymous взломала ряд сайтов российских и белорусских СМИ, включая крупнейшие издания. В число пострадавших от атаки вошли российские ТАСС, «Коммерсант», Forbes, Znak, «Известия», белорусские «Онлайнер», ИА БелТА, и другие ресурсы. На некоторых из них хакеры разместили заявление: «Призываем вас остановить это безумие, не отправляйте сыновей и мужей на верную смерть».

Тогда же в сети появился ролик, в котором якобы от имени хакерского сообщества говорилось, что они 3 марта опустошат счета россиян и отправят их деньги украинской армии. Однако информацию скоро опровергли сами Anonymous, заявив, что они не крадут деньги у людей.

Не только Anonymous приняли участие в конфликте. 26 февраля министр цифровой трансформации Украины Михаил Фёдоров объявил о создании «IT-армии» — добровольческой кибердружины, которая должна помочь настоящим войскам.

Добровольцы организуются через каналы в телеграме, сейчас в самом популярном, IT ARMY of Ukraine, около 250 тысяч подписчиков. Согласно опубликованному Федоровым списку целей, в него входит защита критической инфраструктуры Украины, помощь правительству в кибершпионаже, удаление российской информации из интернета и нацеливание на российскую инфраструктуру, банки и правительственные сайты.

В частности, планировались DDoS-атаки на 25 российских сайтов, в число которых входили российские инфраструктурные предприятия («Газпром»), банки и правительственные сайты. 27 февраля администрация IT ARMY of Ukraine попросила добровольцев настроить таргетинг на веб-сайты, зарегистрированные в Беларуси, одном из ключевых союзников России. Канал также призвал подписчиков сообщать о каналах YouTube, которые якобы «откровенно лгут о войне в Украине».

Как рассказал изданию Wired украинский чиновник, знакомый с организацией IT-армии, её создали для того, чтобы Украина могла дать отпор российским кибератакам. У России есть значительные хакерские возможности: накануне вторжения кибератаки «положили» госсайты, а вредоносное ОС Wiper поразило украинский банк.

Поддерживаемая правительством IT-армия опирается на другие украинские хакерские усилия. 25 февраля Егор Аушев, который основал несколько компаний по кибербезопасности в Украине, провёл первый набор волонтёров с помощью Google-форм. Добровольцев спрашивали об опыте работы в разных IT-областях, начиная от сбора данных из открытых источников и заканчивая разработкой вредоносных программ.

Хакерам можно помогать и на пользовательском уровне. Для организации DDoS-атак в том числе используются списки сайтов, при открытии которых браузер пользователя сам начинает атаковать российские сайты. То есть достаточно просто зайти на фишинговый сайт — и автоматически присоединиться к атаке.

Влияние ИТ-армии пока трудно оценить. Хотя к каналу IT ARMY of Ukraine присоединились тысячи участников, нет никаких официальных данных о том, кто они, или на их участие в какой-либо атаке. Канал поделился скриншотами некоторых российских веб-сайтов, предположительно отключенных от сети, но неясно, насколько успешными были эти усилия и откуда они взялись.

Кроме того, о своей поддержке Украины объявила группировка Ghostsec. Эта группа, также известная как Ghost Security, считает себя группой «линчевателей» и изначально была создана для борьбы с сайтами ИГИЛ. Ghostsec также часто называют ответвлением Anonymous.

AgainstTheWest (ATW) тоже встал на сторону Украины. Группа активно работает над взломом российской инфраструктуры, включая РЖД и ее крупных подрядчиков.

Кто стоит за группировкой — не ясно. С октября 2021 года ATW публиковал различные утечки данных и доказательства порчи веб-сайтов на подпольном форуме RaidForums. ATW участвовала в недельной кампании по против Китайской Народной Республики: кибератаки направляли на правительство и корпоративные структуры, связанные с компартией.

К движению в поддержку Украины также подключился SHDWsec. Группа работает в сотрудничестве с ATW и Anonymous в операциях против России.

Белорусские «киберпартизаны» также встали на сторону Украины. Хакерская группа заявила о доступе к системам управления белорусских поездов в Минске, Орше и городе Осиповичи. Цель операции — «замедлить переброску» базирующихся в Белоруссии российских войск на Украину (технику перевозят в основном по железной дороге).

Белорусские киберпартизаны также оказались на стороне Украины. Хакерская группа якобы уже смогла получить доступ к компьютерам, которые управляют системой белорусских поездов в Минске и Орше, а также в городе Осиповичи. Их операция была призвана «замедлить переброску» базирующихся в Беларуси российских войск в Украину.

«Киберпартизаны» не в первый раз говорят об атаках ЖД-системы, правда, подтверждений этому не было. Но издание Bloomberg со ссылкой на «бывшего белорусского железнодорожника» сообщило, что движение поездов в Минске и Орше «парализовало». Кроме того, на белорусских форумах некоторые описывали перебои с движением поездов в Минске.

KelvinSecurity объявили, что поддерживают Украину: хакеры публикуют в твиттере доказательства своего участия в кибероперациях. О группировке известно не так уж много — её связывают со сливом персональных данных сотрудников Объединенного института ядерных исследований в 2015 году и с крупной утечкой данных из бизнес-консалтинговой компании Frost & Sullivan в 2020.

Англоязычный теневой форум Raidforum объявил, что активно атакует российские сайты и российскую инфраструктуру. У пользователей форума также есть предположения, что китайские хакеры могут стоять за взломом украинских сетей.

Что примечательно — ранее участники форума активно атаковали украинские сайты и ресурсы. Например, в ночь на 22 января один из пользователей выложил на Raidforum объявление о продаже якобы персональных данных украинцев, полученных во время кибератаки 14 января на государственные сайты Украины. Они включали в себя личные данные 2 миллионов украинцев из «Дії», которые продавали за 15 тысяч долларов.

Активизировались не только хакеры, поддерживающие Украину, но и «русские хакеры», ставшие известными в последние годы. Например, группировка Conti заявила о полной поддержке российского правительства, написав: «Если кто-либо решит организовать кибератаку или какие-либо военные действия против России, группа собирается использовать все возможные ресурсы, чтобы нанести ответный удар по критически важным инфраструктурам врага».

Однако вскоре после публикации сообщения участники Conti пересмотрел его, смягчив тон. В обновленном заявлении Conti говорит, что будет использовать «все свои возможности для принятия ответных мер в случае, если западные подстрекатели войны попытаются нацелиться на критически важную инфраструктуру в России или любом русскоязычном регионе мира».

Судя по всему, активная поддержка России расколола группировку. Вскоре после этого украинский участник команды слил в сеть внутренние данные Conti — более 60 тысяч внутренних сообщений и биткойн-адреса. База — полный лог чатов за последний год. Генеральный директор AdvIntel Виталий Кремез, который следил за работой Conti в течение последних лет, подтвердил, что утекшие сообщения являются подлинными и были взяты с сервера журналов для системы связи Jabber, используемой вымогателями.

Позднее Кремез опубликовал скриншоты, согласно которым Conti как минимум с 2021 года сотрудничали с Россией, и участвовали в атаках на США. По словам Кремеза, один из украинских членов группировки перебрался в Россию, скрываясь от преследования СБУ.

Специалисты по кибербезопасности считают, что пророссийские хакеры приберегли новые методы работы для кибервойны — и особенно этого опасаются в США. Широко распространено мнение, что российские злоумышленники закрепились в корпоративных и государственных системах — с помощью нарушений цепочки поставок программного обеспечения, подобных SolarWinds, уязвимости Log4j или даже самого взлома SolarWinds — которые просто ещё не были обнаружены.

В декабре 2020 года была обнаружена атака на SolarWinds и клиентов — ее связали с российской разведкой. Злоумышленникам удалось взломать цепочку поставок программного обеспечения и внедрить вредоносный код в приложение, которое затем было распространено в виде обновления среди тысяч клиентов. В результате хакеры, как полагают, получили доступ на целых девять месяцев к многочисленным компаниям и государственным учреждениям, включая FireEye, Microsoft и министерства обороны и казначейство.

Киберэксперты предупреждают о повышенном риске кибератак из России после санкций, которые исключили крупные российские банки из финансовой системы SWIFT. Этот шаг, затрудняющий российским банкам проведение международных транзакций, последовал за другими раундами санкций в связи с вторжением России на Украину. Кибератаки в такой ситуации выглядят как вероятный ответный удар Западу

У киберэкспертов есть опасения, что российские злоумышленники — будь то правительственные учреждения, такие как ГРУ и СВР, или сочувствующие группы, такие как Conti — почти наверняка скомпрометировали цепочки поставок программного обеспечения, о которых ещё не стало известно. И в любых маневрах кибервойны, нацеленных на Запад, они могут использовать этот доступ.

Масштабная атака с помощью вируса NotPetya в 2017 году произошла из-за уязвимости популярного на Украине бухгалтерского приложения MeDoc. Уже от этой компании вредоносной ПО в итоге распространилось по всему миру. Эта кибератака считается одной из самых разрушительных в истории — общая сумма ущерба от неё превысила 10 миллиардов долларов.

По всей вероятности, хакеры, стоящие за атакой на SolarWinds, всё ещё имеют доступ к бреши во многих компаниях, которая до сих пор не использовалась, считают эксперты. В этом контексте вспоминают и обнаруженную в декабре уязвимость Apache Log4j, которую шуточно назвали «русским подарком к Рождеству».

Американские банки, по информации Reuters, уже готовятся к возможным кибератакам после того, как западные страны ввели ряд жестких санкций против России за вторжение в Украину. Они усиливают мониторинг сети, отрабатывают сценарии кибератак, ищут в своих сетях угрозы и выстраивают дополнительный персонал на случай всплеска враждебной активности.

Впрочем, и среди хакеров нашлись люди «вне политики» — вымогатели LockBit заняли нейтральную позицию, заявив о своей аполитичности. LockBit — известная российская группировка, распространяющая программы-шифровальщики.

В целом происходящее сейчас сложно назвать полноценной кибервойной, но это точно киберхаос, считает Джо Тайди, репортёр «Би-би-си», специализирующийся на кибербезопасности.

Множество разрозненных атак разного типа и правда не выглядят как нечто системное и организованное. Тем более, что группировки участвуют в «кибервойне» в основном не альянсами, а по отдельности, а значит не координируют свои действия. Более того, учитывая анонимный характер членства в них, сложно сказать, сколько именно специалистов в этом участвует — и это если не брать во внимание хакеров-одиночек.

В действительности и правда трудно установить, кто именно совершает атаки и взламывает сервисы. Так, например, было в случае с аптекой «Озерки», от имени которой пользователям пришли сообщения о войне России с Украиной. Одни предположили хакерский взлом приложения сети и системы push-уведомлений, другие решили, что это инициатива сотрудников компании.

По словам экспертов, обычно нападения хакеров на сайты носят любительский характер и являются скорее цифровым выражением социального протеста. Если цель крупная, то ее атакуют с помощью продвинутых техник — за период с 24 февраля до 28 февраля таких нападений зафиксировано 32% от общего числа.

Пока что никаких серьёзных взломов подтверждено не было, хотя различные группировки и спешат брать на себя ответственность за них. В реальности, из подтверждённого — только «упавшие» сайты, и слив нескольких некритических баз данных.

#войнасукраиной #технологии #кибератаки