Кібервійна Росії проти України: хто з хакерів на боці України, а хто — проти
Війна, яку розв’язала Росія проти України, триває не лише на полі бою, але й в кіберпросторі. Масовані кібератаки проти державних структур України та бізнесу розпочалися ще задовго до військового вторгнення. З початком воєнних дій 24 лютого 2022 року зросли удвічі з близько 200 до понад 400 на місяць, заявляють у Міністерстві цифрової трансформації (мінцифри) України.
У Державній службі спеціального зв’язку та захисту інформації (Держспецзв’язку) України вказують, що кібератаки стали повноцінною складовою війни. За цими даними, від початку року РФ запустила цілу низку сімейств шкідливого програмного забезпечення в Україні.
Чим займається IT-армія України
Для нейтралізації цих загроз під час перших днів повномасштабного російського вторгнення у мінцифри оголосили про створення ІТ-армії України. Заступник міністра цифрової трансформації України з питань розвитку ІТ-сфери Олександр Борняков у коментарі DW розповів, що ІТ-армія України складається з українських та міжнародних ІТ-фахівців та дестабілізує роботу ключових російських та білоруських інтернет-порталів.
Він зауважив, що участь ІТ-фахівців відбувається виключно на громадських засадах. За словами Борянкова, є публічні цілі, які публікуються в Telegram-каналі IT-армії, також є непублічні цілі, яких більше. Лише за тиждень з 9 по 15 травня українська ІТ-армія атакувала понад 240 онлайн-ресурсів, пов’язаних з російськими ЗМІ, авіасектором та сервісами для бізнесу, повідомляють у цифровому відомстві. Крім того, українські хакери взяли на себе відповідальність за масштабні DDoS-атаки, які 5 травня спричинили збої в роботі Єдиної державної автоматизованої інформаційної системи Росії, що, за даними російських ЗМІ, почало призводити до зупинки деяких пивоварних підприємств.
У мінцфири також зазначають, що наприкінці квітня українська ІТ-армія здійснила кібератаку на бухгалтерський сервіс 1С, унаслідок якої росіяни не могли подати необхідні звітності вчасно. Крім того, за словами міністра цифрової трансформації Михайла Федорова, українські кіберфахівці зламали понад 80 баз даних, «які є критичними для Російської Федерації».
Структура кіберзахисту
За словами Борянкова, від початку воєнних дій мінцифри повністю змінило формат роботи, а основні зусилля спрямувало на протидію РФ на кібер- та інформаційному фронті. Він зауважив, що протистояти кіберзагрозам самостійно неможливо, тому взаємодія відбувається на всіх рівнях, у тому числі держави і бізнесу. «Всередині країни у кожного суб’єкта та об’єкта національної системи кібербезпеки є свої ролі, які не дублюються між собою», — запевняє він.
У мінцифри вказують, що безпосередньо за кіберзахист в Україні відповідає орган зі спеціальним статусом Держспецзв’язку. Йому підпорядкований Державний центр кіберзахисту, підрозділ якого CERT-UA здійснює моніторинг і виявляє потенційні кіберзагрози. Кіберзахистом також займаються в МВС, міністерстві обороні, генштабі, СБУ.
Кіберполіція відповідальна за розслідування кіберзлочинів, міноборони та генштаб — забезпечують охорону військових об’єктів та об’єктів критичної інфраструктури, СБУ — запобігає терористичним атакам в кіберпросторі. Також наприкінці серпня минулого року президент України Володимир Зеленський підписав указ про створення кібервійськ у структурі українського міністерства оборони, проте до початку повномасштабної війни з РФ їх не встигли створити.
Мінцифри продовжує працювати над «цифровою блокадою» Росії. «Ми взаємодіємо із технологічними компаніями, щоб вони залишили ринок Росії, закривали офіси, припиняли підтримку сервісів і продуктів та запроваджували санкції. Станом на середину травня ми звернулись до загалом близько 500 компаній і більшість з них відреагували позитивно і пішли з Росії», — заявив Борняков.
Чи усунуті прогалини у кібербезпеці?
Олександр Борняков стверджує, що російські хакери зараз не в стані серйозно підірвати роботу державних сервісів. Попри це, за його словами, «все одно фіксували багато кібератак на державні ресурси та об’єкти критичної інфраструктури. Якісь російські кібератаки можуть бути успішними, але такого, щоб вони масово «клали» усе в нашій кіберінфраструктурі — цього немає», — стверджує Борняков.
Натомість експерт з кібербезпеки Костянтин Корсун у коментарі DW зазначив, що ще до початку війни в Україні було чимало проблем з кіберзахистом, які системно не вирішувалися.
«У нас кілька відомств імітували якусь активну роботу, але кіберзахисту на національному рівні в Україні не було і з настанням війни не виникло, тому що це тяжка тривала робота на об’єднання зусиль різних фахівців з державного та приватного секторів», — сказав Корсун. У цьому зв’язку пригадуються недавні атаки на урядові сайти, банки. У попередні роки однією з наймасштабніших стала атака на «Прикарпаттяобленерго«, яка продемонструвала серйозність загрози.
Експерт з кібербезпеки Костянтин Корсун
Ціллі російських хакерів
За словами Корсуна, у протистоянні у кіберпросторі з боку РФ залучені співробітники 18 центру ФСБ, хакери з Головного розвідувального управління РФ, представники «ботоферм» та ще кількох російських спецслужб.
У Держспецзв’язку переконані, що за допомогою кібератак РФ хоче створити в Україні гуманітарну катастрофу, адже хакери намагаються перешкоджати роботі енергетичного сектору, екстрених служб, зв’язку, логістики. Однак, на переконання заступника глави мінцифри, «рівень кіберзахисту України є достатньо високим, щоб критична інформаційна інфраструктура нормально функціонувала».
Найактивніше, за даними мінцифри, «росіяни атакують урядові інститути та органи місцевої влади. Найбільші успіхи якраз на місцевому рівні, де у нас не все захищено так, як треба. Також вони атакують енергетику, телеком, медіа, логістику і там вони зачіпають також приватні компанії», — розповідає Борянков.
За його словами, найпопулярнішими видами атак залишаються фішингові розсилання, розповсюдження шкідливого програмного забезпечення та DDoS-атаки. Крім того, як додає Борянков, метою кібератак є дестабілізація ситуації в країні та сіяння паніки й недовіри до влади серед населення.
«Кіберзагони» — приватна ініціатива кіберфахівців
Хоча потужність російських хакерів не варто недооцінювати, перевага у кіберпросторі, каже Корсун, «цілковито» на боці України, адже з початком повномасштабної агресії багато кіберфахівців, у тому числі й звичайних ІТ-спеціалістів, почали об’єднуватись у різні так звані «кіберзагони», не пов’язані з мінцифрою.
Хто ці люди? Корсун каже, що це «фахівці різного рівня кваліфікації та організації. Кожен на власний розсуд щось робить, щоб завдати шкоди Росії. І це стосується не тільки її державних ресурсів, але і банків, і платіжних систем, і об’єктів інфраструктури, і регіональних веб-ресурсів», — каже він і додає, що кіберзахист України не став кращим, але Росія змушена спрямовувати ресурси на «глуху оборону» у кіберпросторі.
Щодо участі у цій кібервійні міжнародних партнерів, то офіційних даних бракує. Однак Корсун упевнений, «що ця підтримка точно є, принаймні у наданні певних технологічних можливостей, програмного забезпечення, апаратно-програмних рішень як для захисту, так і для наступу», — каже експерт.
Специфіка кіберборотьби
Координатор одного з незалежних «кіберзагонів», харківський фахівець із кібербезпеки Микита Книш, який раніше працював у СБУ, а тепер веде Telegram-канал із завданнями для 10 тисяч учасників, розповів DW про свій досвід роботи на кіберфронті. «Моя команда напрацювала ряд завдань, які можуть завдати інформаційних та економічних збитків РФ, зробити деякий розрив логістичних ланцюжків, створити інформаційні акції та таке інше», — сказав він.
Робота ведеться і щодо відеонагляду на окупованих територіях, визначення позицій запуску ракет та розташування військової техніки за відеозаписами. «Велика кількість людей за матеріалами з TikTok від «кадирівців» визначають координати їхнього розташування та передають цю інформацію СБУ», — розповів Книш і додав, що багато інформації зараз має залишатися таємною.
Загалом оглядачі прогнозують, що інтенсивність протистояння у цифровому просторі наступним часом лише зростатиме.
Тисячі хакерів в світі воюють на кіберфронті: хто з них на боці України, а хто — проти нас?
Війна, яку розпочала Росія проти України, ведеться і на кіберфронті. І крім офіційно проголошеної IT ARMY of Ukraine, задіяними силами є й інші окремі хакерські угруповання. Сили і вподобання тут також розділились. На порталі DEV.ua зібрали ті групи хакерів, що виступають як за Україну, так і воюють на протилежному боці, підтримуючи агресора.
За Україну
Anonymous
Anonymous у саєнтологів в Лос-Анджелесі. Джерело: wikipedia.org
Міжнародне угруповання почало діяльність з 2003 року. Це спільнота майже не знайомих між собой хакерів, які, після вторгнення російських військ до України, оголосили кібервійну рф.
Anonymous не мають чіткої ієрархії чи структури. Свою ідеологію овни ілюструють цитатою: «Мы против корпораций и правительств, которые вмешиваются в Интернет. Мы считаем, что Интернет должен быть открытым и свободным для всех. Мы не забываем, мы не прощаем, нас — легион!»
З початку війни 24 лютого Anonymous оприлюднили базу даних компанії Nestle за відмову піти з ринку агресора, проте компанія сказала, что витік даних відбувся з вини співробітників.
Крім того вони зламали Центральний банк Росії та оприлюднили понад 35 000 файлів із секретними угодами.
В березні хакери зломали та оприлюднили файли з комп’ютерів співробітників та керівників Rosneft Deutschland, німецького філіалу російського гіганта «Роснефть». Компанія підтвердила проблеми з безпекою.
Крім цього учасники угрупування злили файли «Роскомнадзора». Та оприлюднили понад 400 000 нових електронних листів із трьох російських джерел, включаючи понад 100 000 листів від нафтової, газової та лісозаготівельної промисловості.
Все це крім численних атак на сайти російських держустанов ті інших структур, зокрема телеканал RT, сайти «Известия», ТАСС, «Коммерсант», Forbes, РБК та інших.
Against The West (ATW) (пов’язані з Anonymous)
Група хакерів, яка пов’язує себе з Anonymous, зламала та розкрила базу даних «Газпрому». Злиті дані включають інформацію, пов’язану з вихідним кодом компанії та проектами WellPro.
NB65 (пов’язані з Anonymous)
Група «Мережевий батальон 65» (Network Battalion 65) з’явилась у Twitter з лютого 2022 року та має більше 167 000 підписників.
Хакери 1 квітня зламали та оприлюднили понад 150 000 електронних листів, 8 200 файлів і кілька сотень гігабайт баз даних від державної компанії «Мосекспертиза», від Московської торгово-промислової палати. На питання про умови, на яких дані можуть бути повернуті, NB65 відповіли: «Якщо вимоги викупу будуть задоволені, платіж буде переданий на гуманітарні потреби в Україну».
А 8 квітні твітнули запис з камери безпеки, розташованій в московському кінотеатрі «Родина».
«Доброго ранку, Москва. Просто хотіли, щоб ви знали, що ми завжди спостерігаємо. Камери безпеки не дуже захищені в „Родині“, чи не так?» — пишуть вони.
Thblckrbbtworld (діють від імені Anonymous)
В Twitter група зареєстрована з грудня 2021 року.
27 лютого вони твітнули: «Путін погрожує невинним людям ядерною зброєю. Ми завжди тут заради невинних. Багато сайтів gov (.)ru зламано! Опубліковано критичні документи!»
Після цього представники групи «Світу Чорного Кролика» (The Black Rabbit World) зливали ядерні файли білорусі та повний список офіційних службових пристроїв рф, зламали морський підрозділ зв’язку рф, оприлюднили документи «Росатом» та зламали їх сервери, злили секретну інформацію з міністерства економіки та багато інших атак на держресурси, економічний та енергетичний сектор рф. Окремим акцентом стало підключення до відеонагляду замку Кремля.
HackenProof
Група українських білих хакерів, які співпрацюють з кіберполіцією та СБУ. З 27 лютого спілка також долучилась до кібервійни та DDoS-атак на рф. З цього моменту українські хакери запровадили Bug Bounty-програму для криптобіржи Coinstore.com, платформи Web3 та платформи цифрових активів BitForex і надає винагороди кіберспеціалістам за пошук багів та вразливостей.
IT Army of Ukraine
26 лютого міністр цифрової трансформації Михайло Федоров заявив про створення армії IT-фахівців для боротьби у кіберпросторі. Для розміщення оперативних завдань створили окремий Telegram-канал, який наразі має близько 300 000 підписників. Як написав голова Мінцифри, завдання знайдуться для всіх.
Атаки спрямовані на сервіси для бізнесу в рф, онлайн-телебачення, телефонують родинам російської армії мародерів, які обікрали українські мирні родини. Крім того хакери, які воюють на кіберфронті, здійснюють атаки на міністерства, на систему маркування товарів.
HackYourMom
Це Telegram-канал українського білого хакера Микити Книша, який разом з однодумцями сформував «диванні війська» та завдяки їх атакує росію на кіберфронті.
Наразі вони поширюють віруси шифрувальники по рф, серед усіх IТшників, хто хоче допомогти зашифрувавши російську систему. А також масово виводять з ладу роутери/модеми/системи відеоспостереження в рф та відвантажують усі дані до СБУ.
До своїх лав Микита та його хакери запрошують не тільки IT-спеціалістів. Як пише Микита, для виконання деяких завдань навіть не потрібен компьютер, достатньо буде лише телефона.
Гільдія IT-фахівців
Гільдія IT-фахівців — це незалежне професійне ІТ-об’єднання України офіційно зареєстроване в 2021 році. Організація має президента, ним з грудня 2021 року став QA фахівець Тарас Розкішний.
Для боротьби на кіберфронті IT-фахівці гільдії розробили інструкцію для злому веб-сервісів країни-агресора та систему автоматичного дозвону до абонентів в росії та білорусі, щоб донести правду про війну в Україні. Довідники з номерами телефонів Южного військового округу рф, адресами та номерами телефонів російських та білоруських військовослужбовців, номерами телефонів співробітників КДБ білорусі, головного управління зв’язку збройних сил рф.
Проти України
Armageddon (UAC-0010)
Armageddon — це в першу чергу назва хакерької атаки на кеш багатоядерних ARM-процесорів. Вперше її представили на конференції Usenix Security Symposium п’ять винахідників навесні 2016 року. Перед ARMageddon уразливі сотні мільйонів пристроїв, в першу чергу смартфони, планшети та IoT-гаджети.
Група хакерів UAC-0010 (Armageddon) неодноразово здійснювала кібератаки на держустанови України та країни ЄС.
Команда CERT-UA, яка діє при Держспецзв’язку, попереджає, що члени групи, серед іншого, використовують Dynamic DNS сервіс NO-IP. Тобто спеціалісті попереджають, що необхідно звертати особливу увагу на з’єднання з доменними іменами, які використовуються згаданим сервісом.
Спеціалісти CERT-UA виявили наприкінці березня 2022 року декілька RAR-архівів з іменами «Assistance.rar», «Necessary_military_assistance.rar». Кожен з таких архівів містив шкідливі файли-ярлики. Використання англійської мови в назвах файлів та тексті електронного листа, а також той факт, що лист надіслано на адресу державного органу Латвії, однозначно свідчить за думкою фахівців про здійснення атак групою UAC-0010 (Armageddon) на державні органи країн ЄС.
Урядова команда також виявила розповсюдження серед держорганів України електронних листів з темою «Інформація щодо військових злочинців РФ». HTML-файл «Військові злочинці РФ.htm», який містився у листах, призводив до створення на комп’ютері RAR-архіву «Viyskovi_zlochinci_RU.rar». Файл-ярлик з якого під назвою «Військові-злочинці що знищують Україну (домашні адреси, фото, номера телефонів, сторінки у соціальних сетях).lnk» за допомогою VBScript-код завантажував та запускав powershell-скрипта «get.php» (GammaLoad.PS1). Скрипт визначав унікальний ідентифікатор комп’ютера (на основі імені комп’ютера та серійного номеру системного диску) та передавав цю інформацію для використання на сервер управління.
Останньою атакою Armageddon стала масова розсилка електронних листів «№ 1275 від 07.04.2022», яка містить HTML-файл. Він створює на комп’ютері архів з назвою «Щодо фактів переслідування та вбивства працівників Прокуратури з боку російських військових на тимчасово окупованих територіях.lnk», при розпакуванні якого зловмисники можуть отримати доступ до конфіденційної інформації, пошкодити дані та комп’ютерні системи.
Fancy Bear (APT28, Sofacy, Pawn storm, Sednit и Strontium)
Перша згадка про угруповання з’явилась з вересня 2016 року, коли відповідальність за кібератаку на Всесвітню антидопінгову агенцію Fancy Bear взяли на себе. В той же час з’явився сайт fancybear.net. Представники ВАДА звинуватили у зломі росію, але на той час цьому були лише непрямі докази, а саме коментарі в коді на кирилиці, версії операційних систем, на яких писався код, часові пояси, а головне, через те, що технології, які використовували зломщики, перетиналися з технологіями інших російськомовних хакерських груп.
Перші офіційні звинувачення Fancy Bear пред’явила в січні 2017 році розвідувальна спільнота Сполучених Штатів у зломі серверів внутрішньої мережі Демократичної партії США. Через півтора року подробиці, що підтвердили ці звинувачення, з’явились в судових документах після арешту 12 співробітників ГРУ. Вони розробляли, тестували та застосовували шкідливу програму X-Agent, яку часто використовували хакери Fancy Bear.
За даними спеціалістів з Cluster25, на початку березня 2021 року хакери групи APT28 почали фішингову атаку з використанням шкідливого ПЗ SkinnyBoy. Він доставляється через вбудований макрос документа Microsoft Word, що витягує файл DLL. Саме цей файл виступає як завантажувач шкідників. Принадою для таких поштових вкладень виступали підроблені запрошення на міжнародний науковий захід, який має відбутися в Іспанії наприкінці липня.
7 квітня корпорація Microsoft Corp зробила заяву, що їй вдалось запобігти злому багатьох серверів в Україні, странах ЄС та США, який намагалось здійснити групування Strontium, використавши сім інтернет-доменів.
Протягом тижнів кілька великих фішингових кампаній проти користувачів ukr.net влаштували хакери Fancy Bear.
Ghostwriter (UNC1151)
Хакерська група, країну походження якої за даними аналітичної компанії з кібербезпеки Mandiant припускають як білорусь. Верховний представник ЄС із закордонних справ та політики безпеки Жозеп Боррель у вересні 2021 року у своїй заяві зв’язав діяльність кіберзловмисників з російською державою.
У заяві Боррель акцентує, що діяльність хакерів була направлена на крадіжки особистих даних та облікових записів численних членів парламентів, урядовців, політиків, представників преси та громадянського суспільства в ЄС.
Перші активні дані про початок діяльності групи Ghostwriter Mandiant називають з 2016 року. Вони пов’язані в першу чергу з розповсюдженням дезінформації про НАТО. ЄС звинуватив цю групу в хакерстві німецьких урядовців.
В січні заступник секретаря Ради національної безпеки і оборони Сергій Демедюк заявив Reuters, що Україна звинуватила в п’ятничній атаці, яка призвела до псування урядових веб-сайтів за допомогою погроз
23 березня урядова команда CERT-UA заявила про кібератаку на держорганізації України. Базуючись на аналізі специфічності VBScript-коду, який був використаний, спеціалісти команди заявили про середню впевненість в тому, що участь в кіберзлочині брала група Ghostwriter.
Sandworm (UAC-0082)
Цю групу називають «Пісчаний хробак кремля» — це група хакерів всередині російського уряду, яку вважають підрозділом ГРУ.
Фахівці вважають, що хакери Sandworm причетні до кібератаці на енергосистему в Україні в грудні 2015 року. Також на їх рахунку кібератака в 2017 році з використанням шкідливого програмного забезпечення NotPetya, втручання під час президентських виборів у Франції 2017 року, і кібератака на церемонії відкриття зимових Олімпійських ігор 2018 року.
Восени 2020 року Міністерство юстиції США визначило Sandworm як військову одиницю 74455 Головного розвідувального управління генерального штабу збройних сил рф після оприлюднення обвинувального акту заарештованих шістьох офіцерів цього підрозділу. Вони були звинувачені у змові з метою здійснення комп’ютерного шахрайства та зловживання, змові з метою здійснення шахрайства, шахрайства, пошкодження захищених комп’ютерів та крадіжки особистих даних при обтяжуючих обставинах.
У лютому 2022 року Sandworm нібито випустив зловмисне програмне забезпечення Cyclops Blink. Шкідливе програмне забезпечення схоже на VPNFilter. Шкідливе програмне забезпечення дозволяє створювати ботнет і впливає на маршрутизатори Asus і пристрої WatchGuard Firebox і XTM. CISA випустила попередження про це шкідливе програмне забезпечення.
На 8 квітня 2022 року, зловмисники групи планували відключення електричних підстанцій та виведення з ладу інфраструктури підприємства. Урядова команда CERT-UA відстежили, як хакери здійснили кібератаку на об’єкти енергетики України з використанням шкідливих програм Industroyer2 та CaddyWiper, та завадили їй за сприяння компаній Microsoft та ESET. Фахівці вважають, що це перша атака за п’ять років, в якій використано варіант шкідливого програмного забезпечення Industroyer під назвою Industroyer2.
Scarab
Хакерська група Scarab нібито пов’язана з урядом Китаю,такі висновки зробила американська охоронна компанія SentinelOne. За їх даними електронні листи, які розсилала Scarab, можливо, були створені на комп’ютері з використанням китайської мови.
Є інформація, що ці хакери брали участь у кібератаках з 2012 року, щоб зібрати інформацію від російськомовних урядовців у всьому світі.
Вперше про вірус-шифрувальник Scarab департамент кіберполіції Нацполіції України сповістив в листопаді 2017 року, був виявлений фахівцями з кібербезпеки у червні 2017 року за допомогою спам-ботнета мережі Necurs.
Угруповання використовує зловмисне програмне забезпечення з бекдором, яке може служити для передачі інших шкідливих програм, призначених для крадіжки або знищення інформації.
Електронні листи були замасковані під архіви з відсканованими зображеннями, які містили архів із скриптом Visual Basic. Той в свою чергу запустив EXE-файл віруса Scarab ransomware. Вірус шифрує дані на комп’ютері та залишає на робочому столі текстовий файл «ЕСЛИ ВЫ ХОТИТЕ ПОЛУЧИТЬ ВСЕ ВАШИ файлы обратно, ПОЖАЛУЙСТА, ПРОЧТИТЕ ЙОГО.TXT», що відкривається автоматично, в якому зловмисники вимагають гроші за дешифровку зіпсованих даних.
В березні китайські хакери Scarab за допомогою спеціального бекдору HeaderTip атакували українські організації. За словами експертів компанії SentinelOne, хакери Scarab розсилають архів RAR з файлом, що виконується, призначеним для потайної установки шкідливої DLL-бібліотеки під назвою HeaderTip у фоновому режимі.
TA416 (Mustang Panda, RedDelta, Temp.Hex)
TA416 — інша хакерська група, пов’язана з Китаєм. Дани про це надала американська охоронна компанія Proofpoint. Хакери поширювали дистанційно керовані віруси, які надсилали в дипломатичні організації європейських країн електронною поштою.
Mustang Panda вперше була виявлена у 2017 році CrowdStrike, але є ознаки того, що група діяла ще з 2014 року.
Хакери атакують державні установи та неурядові організації, особливо тих, хто критикує Китай. Група віддає перевагу неурядовим організаціям, які займаються соціальною, гуманітарною та екологічною політикою.
Угруповання відоме своїми атаками на організації, пов’язані з дипломатичними відносинами між Ватиканом та Комуністичною партією Китаю, а також на організації в М’янмі.
На початку 2022 року група переключилась на Європу на фоні загострення конфлікту між Україною та Росією. Китайські хакери націлилися на державні органи, які займаються біженцями, особливо наприкінці лютого після вторгнення російських військ, внаслідок чого їм вдалося зламати електронну пошту деяких співробітників.