Великобритания обвинила ГРУ в связях с кибергруппировками. Что о них известно?

Великобритания обвинила Главное управление Генштаба в пособничестве киберпреступникам. Об этом говорится в пресс-релизе, размещенном на сайте МИД Великобритании. По версии британцев, Главное разведывательное управление России покрывает 12 хакерских группировок. Информация о стране происхождения, а также о деятельности киберпреступников весьма противоречивая. Западные СМИ придерживаются позиции «во всем виноваты русские», однако прямых доказательств нет.

Британский Национальный центр по кибербезопасности (NCSC, UK) приводит перечень организацией, которым, по его мнению, покровительствует ГРУ. В список попали: Fancy Bear, APT 28, Sofacy, Pawnstorm, Sednit, CyberCaliphate, Cyber Berkut, Voodoo Bear, Black Energy Actors, STRONTIUM, Tsar Team и Sandworm.

CyberCaliphate

CyberCaliphate («Киберхалифат») — это хактивисты, которые причисляют себя к «Исламскому государству» (ИГ, запрещенная в России террористическая организация). Группировку создал сын палестинских эмигрантов, 20-летний житель Бирмингема Джунейд Хуссейн (был ликвидирован американцами 24 августа 2015 года).

По словам Анастасии Тихоновой, руководителя группы исследования сложных угроз компании Group-IB, хакеры совершили ряд крупных атак: «Организация причастна ко взломам в январе 2015-го профилей Центрального командования ВС США (US Central Command) в Twitter и YouTube, где размещалась информация об авиаударах по ИГ, — говорит эксперт, отмечая: — В июле-августе 2018 года группы, поддерживающие CyberCaliphate, проводили кампанию Operation The World против различных стран. Группировка опубликовала таргет-лист из более 8700 человек и плакат, сообщающий об атаках на Facebook».

Кроме этого, в 2015 году организация разослала письма родственникам американских военных. Associated Press в своей публикации в качестве примера приводит сообщение, которое получила жена военнослужащего Анджела Риккетс: «Дорогая Анджела! Кровавый День святого Валентина!» «Мы знаем все о вас, вашем муже и ваших детях. Мы намного ближе, чем вы даже можете себе представить», — говорится в послании. Издание утверждает, что CyberCaliphate связана с Fancy Bear, которую обвиняют в связях с Москвой. Россия в свою очередь эту информацию отрицает.

По данным Group-IB, только за 2014 год злоумышленники атаковали порядка 600 российских интернет-ресурсов: «По предварительным оценкам, жертвами успешных атак уже стали некоторые банки, предприятия строительной сферы, заводы, государственные предприятия и даже лицеи и научные центры. Также в числе пострадавших — Североуральский краеведческий музей, городской портал «Мытищи» и МБОУ Лицей №5 г. Уфы», — говорится в отчете компании.

Black Energy Actors, Voodoo Bear и Sandworm

Black Energy Actors, она же Voodoo Bear и Sandworm, использует вредоносное ПО, созданное анонимным хакером под ником Cr4sh. В отчете «Лаборатории Касперского» сказано, что в 2007 году тот после прекращения работы на программным обеспечением продал исходный код за 700 долларов. Кто купил разработку — неизвестно.

Специалист Group-IB Анастасия Тихонова отмечает, что основная цель злоумышленников — это крупные энергетические объекты: «Целями группы в разное время становились либо объекты инфраструктуры, нарушение работы которой приводило к огромному ущербу (отключение электроэнергии в отдельном регионе, в целом нарушение работы промышленных компаний), либо такие организации, которые в ходе своей работы имеют доступ к стратегически важным данным, которые могут быть использованы атакующими в собственных интересах. Последняя активность группы Black Energy была замечена в мае 2018 года за использованием вредоноса VPNFilter, который нацелен на роутеры», — рассказывает Тихонова.

В июне этого же года Black Energy атаковала немецкие телерадиокомпании ZDF и WDR. Журналисты Der Spiegel говорят, что в ZDF были заражены около 10 компьютеров, но утечки данных не произошло. Источники издания связывают деятельность хакеров с ГРУ.

CyberBerkut

CyberBerkut — одна из самых неоднозначных организаций из списка британского МИДа. Эта хакерская группировка появилась в 2014 году, после революции на Украине. Анонимы выступают против действующей украинской власти. В их багаже — атаки на правительственные сайты Украины. Злоумышленники сливали записи телефонных разговоров главы МВД Украины Арсена Авакова, бывшего премьер-министра Юлии Тимошенко и министра по чрезвычайным ситуациям Нестора Шуфрича.

Кроме этого, CyberBerkut выкладывал информацию о связях российской прессы и видеоблогера Навального с властями США. Впрочем, в СМИ утверждают, что эта информация — фейк. По данным ThreatConnect, CyberBerkut в своих атаках использовал инструменты другой хакерской группировки — Fancy Bear.

Tsar Team

Свою самую масштабную атаку Tsar Team («Царская команда») совершила в конце мая 2017 года. Злоумышленники опубликовали 25 тысяч фотографий и персональные данные клиентов литовской клиники пластической хирургии Grozio Chirurgija. За похищенную информацию киберпреступники потребовали у руководства медицинской организации выкуп в размере 300 биткойнов (1,9 миллиона долларов по настоящему курсу). Однако те отказались платить, в результате чего в Сеть данные утекли.

О личностях злоумышленников практически ничего не известно, равно как и о деятельности Tsar Team как отдельной группировки. Bloomberg утверждает, что за этой организацией стоят люди из Fancy Bear.

«Модный мишка» и Ко

В опубликованном списке МИДа Великобритании фигурируют еще шесть организаций: Fancy Bear, APT 28, Sofacy, Pawnstorm, STRONTIUM и Sednit. По данным Group-IB, за этими группировками могут скрываться одни и те же люди.

Про Fancy Bear («Модный мишка») мы уже писали в одном из материалов. Организацию обвиняют в атаке на национальный комитет Демократической партии. По версии американских властей, «Модные мишки» слили переписку Хиллари Клинтон в интернет. По мнению демократов США, это позволило Дональду Трампу победить в президентской гонке.

В NCSC (UK) считают, что ГРУ имеет отношение к краже у WADA конфиденциальных медицинских документов ряда спортсменов. Позже эти документы оказались в общем доступе на сайте группы хакеров Fancy Bear. Группировка атаковала FIFA. В августе 2017 года организация опубликовала данные о 150 футболистах, которые могли принимать допинг, а в октябре запустила вирус BadRabbit^ из-за которого пострадали российский банк и два СМИ: «Фонтанка» и «Интерфакс».

Однако Fancy Bear связывают с Кремлем. В качестве доказательства приводится два основных довода: использование кириллицы в хакерском коде и время активности, совпадающее с рабочим днем в Москве и Санкт-Петербурге (09:00—17:00). При этом эксперты признают, что использование кириллицы не может быть прямым доказательством, ибо иностранный алфавит зачастую используется хакерами других стран, дабы отвести подозрения. А в «московском» часовом поясе (UTC+3) находятся и другие страны.

Расследованием деятельности «русских хакеров» занималась американская компания FireEye. Ее основателем является Кевин Мандиа (Kevin R. Mandia) — бывший сотрудник компьютерной безопасности Пентагона, а действующий руководитель FireEye Лаура Галанте — экс-сотрудник Министерства обороны США.

В июле 2018 года правительство США рассказало, что ко взлому демократической партии США причастны 12 агентов ГРУ, которые использовали вредоносное ПО X-Agent. По данным компании ESET, вредонос разработал Fancy Bear.

По словам руководителя аналитического центра Zecurion Владимира Ульянова, в настоящее время многие страны занимаются развитием киберподразделений: «Если говорить в целом, существуют три основных направления. Тролли — те, кто действуют на массовое сознание. Кибершпионаж и подразделения реального воздействия, которые занимаются реальными атаками. Многие страны заинтересованы в развитии подобных вещей, потому что при небольших инвестициях можно получить хорошую отдачу».