Categories
Ексклюзив Росія

Атаки російських хакерів

Кібератака на трубопровід Colonial Pipeline розпочалася 6 травня 2021 року. За наявними даними незакінченого розслідування, служба ФБР каже про участь російських хакерів. Даний інцидент на нетривалий час паралізував 45% східного узбережжя США, оскільки люди просто не могли заправити бензином свої автомобілі.

Кібератаки вже стали невіддільною частиною гібридної війни. Росія раз у раз потрапляє в скандали, пов’язані з крадіжкою даних із зарубіжних урядових або приватних компаній, кібершпіонажем, блокуванням метрополітенів, електростанцій і так далі. Найбільш відомими російськими групами хакерів є Fancy Bear, Tsar Team, APT28, DarkSide, Cozy Bear, TG-4127, а також одинак Guccifer 2.0. Є припущення, що всі ці назви можуть належати одній групі людей, а також, що ця група прямо або побічно пов’язана з спецпідрозділом зовнішньої розвідки ГРУ і підпорядковується безпосередньо Кремлю.

Нижче будуть представлені найгучніші кіберзлочини, вчинені тією чи іншою групою зловмисників.

Атака на антидопінгове агентство

Одним з найменш серйозних випадків була атака, здійснена на антидопінгове агентство. 13 вересня 2016 року група зловмисників Fancy Bear зламала бази даних адміністрації агентства. В результаті, хакерам стала доступна інформація про медичні дані учасників всіляких змагань.

Атака на передвиборчий штаб Хілларі Клінтон

Одним з найгучніших кіберзлочинів, здійсненим російськими хакерами, став напад на передвиборчий штаб Хілларі Клінтон в 2016 році. Посилаючись на правоохоронні органи США, відома американська газета заявила, що атаку провела все та ж група – Fancy Bear. Хакери злили на «Wikileaks» – міжнародну некомерційну організацію, яка публікує секретні дані, взяті із закритих джерел, більше 20 тис. електронних листів. Всі вони були або відправлені Клінтон особисто, або в них йшлося про неї і про її передвиборчу гонку.

Архіви метаданих з електронними листами Хілларі Клінтон
Архіви метаданих з електронними листами Хілларі Клінтон

Архіви метаданих з електронними листами Хілларі Клінтон

Спецслужби США припустили, що Fancy Bear пов’язані з ГРУ і фактично є співробітниками особливого спецпідрозділу, який займається кібернетичною діяльністю. Незважаючи на те, що це було всього лише припущення, розслідуванням займався Мін’юст США, а це значить, що вже тоді в Америці знали про іноземне походження хакерів.

В опублікованих листах було видно, що глава DNC (Демократичний національний комітет) Деббі Вассерман Шульц, а також її помічники усіма силами намагалися просувати Клінтон і навпаки не давали іншому однопартійцю – Берні Сандерсу, стати лідером від DNC. Після цього рейтинги Клінтон впали, а Шульц подала у відставку. Таким чином, Fancy Bear втрутилися у внутрішні справи передвиборчої гонки в США в 2016 році.

Архіви, в яких міститися листування Вассерман Шульц про перешкоджання у виборах однопартійця Клінтон Берні Сандерса

Архіви, в яких міститься листування Вассерман Шульц щодо перешкоджання у виборах однопартійцю Клінтон Берні Сандерсу

Аналізуючи ситуацію, одночасно дві компанії, які спеціалізуються з питань кібербезпеки, прийшли до висновку, що Cozy Bear, нібито друга, незалежна від Fancy Bear група хакерів, мала доступ до серверів DNC ще з літа 2015 року.

Розслідування CrowdStrike, в якому говориться, що російські хакери вже мали доступ до серверів DNC ще за рік до офіційного злому

Розслідування CrowdStrike, в якому говориться, що російські хакери вже мали доступ до серверів DNC ще за рік до офіційного злому

Інша фірма з кібербезпеки SecureWorks, що належить компанії Dell, провівши розслідування, визначила, що група хакерів, яка зламала сервери DNC, називається TG-4127. Вони також зламали пошту Хілларі Клінтон.

Звіт SecureWorks про проведене розслідування і висновках про причетність угруповання TG -4127 до злому серверів DNC

Звіт SecureWorks про проведене розслідування і висновки про причетність угруповання TG -4127 до злому серверів DNC

Спеціаліст Том Фінні з SecureWorks пояснив, що TG-4127 і Fancy Bear використовували одну і ту ж вірусну програму для отримання доступу до серверів. На підставі цього, SecureWorks заявили, що Fancy Bear і TG-4127 – одна і та ж група осіб. Електронна пошта DNC розташовувалася в Google, тому зловмисники відправляли їм електронні листи, всередині яких містилося посилання на сторонній сайт. Зовні, він в точності був таким же, як інтернет сторінка для входу в пошту Google. При натисканні на посилання, людина потрапляла на головну сторінку Gmail, де в полі “Ім’я”, вже була назва електронної скриньки держслужбовця і йому необхідно було ввести тільки пароль, після введення якого хакери і здобувати доступ до всього листування. Необхідно відзначити, що за даними CrowdStrike, Cozy Bear використовували вірус всередині листів. Він був зашифрований в посилання у листі, при натисканні на яке вірус заражав весь комп’ютер. Тобто, це ще раз підтверджує, що Fancy Bear і TG-4127 – одна і та ж група, в той самий час Cozy Bear може дійсно бути незалежною організацією від них.

Після проведеного розслідування спецслужбами США, передвиборчий штаб Хілларі Клінтон відкрито звинуватив Росію в кібератаці. Вони пояснили це тим, що Кремль підтримує Дональда Трампа у виборах в президенти США.

Однак, дещо пізніше, всю відповідальність взяв на себе хакер-одинак – Guccifer 2.0. Людина має свій сайт, на якому розповідає про себе, про свою діяльність, про те, що злом серверів DNC – це його особистий проєкт.

Розповідь Guccifer 2.0 про себе на сайті, а також його ставлення до виборів в США в 2016 році
Розповідь Guccifer 2.0 про себе на сайті, а також його ставлення до виборів в США в 2016 році

Розповідь Guccifer 2.0 про себе на сайті, а також його ставлення до виборів в США в 2016 році

Крім інформації про свої “подвиги”, хакер надає розрахункові рахунки зі штабу Хілларі Клінтон і деякі електронні листи з обговоренням виборів:

Частина зламаних даних зі штабу DN З про іноземні інвестиції, витратах на подорожі, передвиборних стратегіях і т.д.
Частина зламаних даних зі штабу DN З про іноземні інвестиції, витратах на подорожі, передвиборних стратегіях і т.д.
Частина зламаних даних зі штабу DN З про іноземні інвестиції, витратах на подорожі, передвиборних стратегіях і т.д.
Частина зламаних даних зі штабу DN З про іноземні інвестиції, витратах на подорожі, передвиборних стратегіях і т.д.
Частина зламаних даних зі штабу DN З про іноземні інвестиції, витратах на подорожі, передвиборних стратегіях і т.д.
Частина зламаних даних зі штабу DN З про іноземні інвестиції, витратах на подорожі, передвиборних стратегіях і т.д.

Частина зламаних даних зі штабу DN З про іноземні інвестиції, витрати на подорожі, передвиборчі стратегії і т.д.

Guccifer 2.0 говорить, що народився в Східній Європі. Його поява, на думку фахівців з США, не випадкова. Саме так, Росія хотіла довести свою непричетність. “Guccifer 2.0 – це ні що інше, як частина російської дезінформаційної програми, а не незалежний гравець”, – повідомили в ThreatConnect, компанії, що спеціалізується на кібербезпеці. Що стосується даних, які він надав, нібито зламавши пошту DNC, то їх могли передати TG-4127/FancyBear.

Атака на блок НАТО

Хакери, які зламали пошту Нацкомітету Демократичної партії США, можуть бути причетні до цілої серії кіберзлочинів. За даними агентства Bloomberg – одного з двох провідних американських агентств з надання фінансової інформації для учасників фінансових ринків, та ж сама група зламала пошту і колишнього командувача силами НАТО в Європі Філіпа Брідлава, а також сервери інституту “Відкрите суспільство”, заснованого і фінансованого Джорджем Соросом. Хакери опублікували зібрану ними інформацію на сайті DCLeaks (ще один ресурс, який публікує секретну інформацію, отримувану з таємних джерел). Зокрема, там було розміщене листування Брідлава, що датується 2012 роком, коли генерал ще очолював сили НАТО в Європі, а також дані про роботу фонду Сороса.

На фото зображений Філіп Брідлав, коротка інформація про нього і нижче файли з листами з його електронної пошти
На фото зображений Філіп Брідлав, коротка інформація про нього і нижче файли з листами з його електронної пошти

На фото зображений Філіп Брідлав, коротка інформація про нього і нижче файли з листами з його електронної пошти

Атака на ХДС

У тому ж 2016 році, в травні, була здійснена кібератака на сервери ХДС (Християнсько-демократична партія). Це одна з правлячих партій в Німеччині, що входить в коаліцію уряду. Керівник партії – Ангела Меркель. За даними розслідування, цього разу групою хакерів виявилася Pawn Storm. Спецслужби ФРН також стверджують, що Pawn Storm причетна до російських спецслужб, однак вагомих доказів спецслужбам Німеччини знайти не вдалося. Проте, методи і програми для злому, що використовуються хакерами, ідентичні Fancy Bear.

Атака на Бундестаг

Однією з перших великих кібератак з причетністю російських спецслужб стала атака на сервери Бундестагу в 2014 році. Хакерам вдалося роздобути доступ до 14 серверів парламенту, а також до головного сервера, на якому зберігалися всі паролі до баз даних Бундестагу. На той час атака російських кіберзлочинців виявилася настільки значною, що німцям довелося відключити всі бази даних парламенту на кілька днів, щоб не допустити витоку інформації. Звинувачення саме російських спецслужб було висловлено службою безпеки Німеччини.

Атака на мережі урядових структур США

Один з недавніх скандалів, пов’язаних з нападом хакерів на урядові структури США, також виявився справою рук російських кіберзлочинців. Про це заявив президент Microsoft Бред Сміт. Він підкреслив, що співробітникам компанії вдалося зібрати неспростовні докази того, що саме російські спецслужби причетні до кібератаки на американські компанії і відомчі комітети в грудні 2020 року.

Кевін Манді, глава FireEye, підтвердив слова Сміта, підкресливши, що ті методи, які використовували хакери, неодноразово застосовувалися російськими зловмисниками раніше.

Метою кіберзлочинців цього разу було все те ж шпигунство. Вони хотіли отримати бази даних ФБР, АНБ, ODNI, CISA і інших урядових структур.

Вже 14 грудня авторитетне американське інформаційне видання сповістило, що хакери зламали Мін’юст, а також деякі сектори Міністерства торгівлі США. Це стало можливо завдяки “Троянському коню”, в ролі якого виступила компанія SolarWinds, програмним забезпеченням якої користувалися урядові організації в Америці. Якщо бути конкретнішими, то хакери використовували програму Orion, в якій був зашифрований код. При установці софта і наступному його оновленні, вірус в певний момент починав діяти, надаючи хакерам необхідну інформацію. За даними розслідування, за атакою стоїть вже відоме угруповання Cozy Bear, яке також відоме під іншим ім’ям – APT29. За даними авторитетного видавництва, Cozy Bear працює на СЗР РФ.

Colonial Pipeline

Останньою і однією з найбільш значущих на сьогодні є кібератака на трубопровід компанії Colonial Pipeline. Вся серйозність ситуації полягає не в типовому шпигунстві, а саме в диверсії державного масштабу, адже кібератакака блокувала роботу трубопроводу, який постачав паливом 45% східного узбережжя США.

ФБР вже мають деякі відомості про те, що хакерська атака, здійснена 6 травня 2021 року, справа рук російських хакерів, які називають свою групу DarkSide.

Про це угруповання стало відомо в серпні 2020 року. Хакери займаються тим, що блокують роботу приватних компаній і вимагають викуп за деактивацію коду. Поки атака на Colonial Pipeline найбільша в їхньому “портфоліо”.

Проте, причетність до російських спецслужб DarkSide ще не доведена, але і не заперечується. Якщо в ході розслідування з’ясується, що вони все ж працюють з Кремлем, то їхні дії будуть рівносильні оголошенню війни. Самі ж представники DarkSide дали інтерв’ю для одного сайту, на якому сказали, що їхньою метою були лише гроші, а блокування всієї системи – побічний ефект. Цікаво, що представник угруповання, що давав інтерв’ю, говорив по-російськи.

Висновки

Фахівці CrowdStrike і SecureWorks вважають, що обидві групи хакерів, Cozy Bear і Fancy Bear (або TG-4127), діяли в інтересах російської влади. За словами експертів з SecureWorks, вони близько року стежили за групою TG-4127 і їм вдалося з’ясувати, що серед тих, хто піддавався атаці хакерів, виявилися українські політики і армія, а також уряд Грузії.

Кіберзламники також атакували представників Збройних сил США і Великобританії, російських політиків і журналістів, які критикувала офіційна влада РФ. “Ми подивилися на цілі атак – Грузія, Україна, опоненти російської влади – і задалися питанням: у якої країни можуть бути інтереси у всіх цих сферах”, – пояснив фахівець з SecureWorks, додавши, що складно знайти іншу країну крім Росії з такою широтою інтересів.

Примітно те, що хакери зламують листування і західних політиків. Вони хочуть показати, що в цих країнах все продажне і скільки грошей витрачається на передвиборчі маніпуляції. Однак всі ці країни вже кілька століть розвивають капіталізм і дивуватися особливо не доводиться. Інше питання, якщо вони ототожнюють себе як інтернаціоналісти, говорячи про це на своїх сайтах і в інтерв’ю для новинних порталів, то чому не здійснюють “атаки” на російських політиків? Людям набагато цікавіше було б дізнатися про листування всередині Кремля, про те, скільки мільярдів витрачається на утримання Путіна і на його передвиборчу компанію. Однак хакери вважають за краще блокувати роботу саме західних політиків і компаній. І якщо російський уряд і далі продовжує заперечувати причетність до кібератаки, то Кремль не може заперечувати той факт, що він не перешкоджає роботі хакерів, а значить, уряд РФ, напевно, позитивно ставиться до діяльності кіберзлочинців.