Российские киберпреступники в войне против Украины и Запада

В 2016-м вредоносная программа была обнаружена в сети аэропорта «Борисполь». Были сообщения, что прошла хакерская атака на Укрзализныцю. И это не считая атак на СМИ, на Центризбирком (помните известную ситуацию, когда после президентских выборов на центральном сайте ЦИК должно было появиться изображение Дмитрия Яроша, как победителя выборов), украинским службам киберзащиты удалось очистить систему за сорок минут до официального объявления результатов выборов. Кибервойна, как показала практика, полноценная часть войны гибридой.

Так в августе 2016 года Совет Национальной безопасности и обороны сообщил, что в течение полугода на государственные органы было совершено порядка 15 тысяч кибератак (событий информационной безопасности), из которых 170 носили характер Ddos-атак.

Тема киберзащиты очень закрытая в украинских органах власти, но она активно изучается международными исследовательскими центрами.

Мы решили, опираясь на англо- и русскоязычные источники, сделать обзор основных хакерских групп из РФ. Но сначала немного теории. 

Когда говорим о кибератаках, оперируем такими терминами: группы хакеров(киберпреступники) и вирус (обычно вредоносное программное обеспечение называют общим словом вирус). Очень часто название команды хакеров чередуют с названием используемого ими вируса. То есть та или иная хакерская команда часто в медиа называется тем же именем, что и используемая ею вирусная программа, или даже вирусная семья.  

Часто для серьезных кибератак используется комбинация трех вредоносных базовых программ. Первый вид: троянская программа. (Проходит в компьютер под видом легального программного обеспечения).

Второй вид: компьютерный червь – разновидность вредоносной программы, самостоятельно распространяющейся через локальные и глобальные компьютерные сети.

Третий вид – компьютерный вирус – вид вредоносного программного обеспечения, способного создавать копии самого себя и внедряться в код других программ, системные области памяти, загрузочные секторы, а также распространять свои копии по разнообразным каналам связи. 

Вот это главные «компоненты» кибероружия. Они могут видоизменяться, комбинироваться, совершенствоваться, но в целом поддаются вышеназванной классификации.

BLACKENERGY – СПЕЦИАЛИСТЫ ПО УКРАИНЕ

Группа Песчаный червь (Sandworm, она же Quedagh) и вирус BlackEnergy – «специалисты» по Украине. Во всяком случае, именно их сеть использовалась для атаки на государственные и коммерческие организации в Украине и в Польше. BlackEnergy был обнаружен при атаках на облэнерго. 

Команда «Песчаный червь», которую связывают с вирусом BlackEnergy, – наиболее технически продвинутая группа. В западных источниках она считается группой постоянной угрозы, имеющей господдержку и используемой в политических целях Российской Федерацией. Троянская же программа BlackEnergy, с которой они работают, по некоторым данным, впервые была обнаружена в 2007 году на российском подпольном рынке вредоносных программ. Первая версия BlackEnergy была сравнительно простым набором инструментов для создания сетей ботов и осуществления атак на отказ обслуживания.

За время его существования было создано еще две версии трояна, которые приобрели новые, более мощные возможности. Так, в 2010 году была обнаружена вторая версия трояна, BlackEnergy 2, которая уже могла подключать модули с такими дополнительными возможностями, как передача украденных данных на серверы злоумышленников, слежение за сетевым трафиком и т.д.. В 2014 году была обнаружена и третья версия данного трояна. Группа, возможно, в 2008 году принимала участие в кибератаках против Грузии.

ГРУППА СТРЕКОЗА, ОНА ЖЕ ЭНЕРГИЧНЫЙ МЕДВЕДЬ

Эта группа известна с 2011 года, и рассматривается, как угроза для Восточно-Европейского региона, нацеливаясь на его оборонную промышленность, энергетику, производителей информационных технологий и систем. Группа отличается способностью совершать технически сложные и длительные атаки, которые наводят на мысль о наличии государственного финансирования. 

Эти хакеры заинтересованы в установлении постоянного доступа к системам, которые они взломали. Энергичный Медведь специализируется на продуцировании вредоносных программ, атаки в основном происходили в рабочее время (понедельник – пятница, 9 утра – 6 вечера) центральноевропейского времени плюс четыре часа (UTC + 4), что соответствует периоду рабочего времени в России и Восточной Европе.

Большинство охранных фирм пришло к выводу, что Энергичный Медведь – российская группа, находящаяся на госфинансировании, поскольку ударам подвергаются национальные государства, которые находятся в оппозиции к России. Вредоносные программы в первую очередь ставят под угрозу нефтяные, нефтеперерабатывающие и энергетические системы, которые конкурируют с энергетическим комплексом России.

Энергичный Медведь, скорее всего, заинтересован в сборе информации о свох жертвах и странах их происхождения и установлении постоянного доступа к взломанным системам.  Высоко продвинутые программы позволяют саботировать операции целей, что позволяет привести к повреждению или нарушению в важнейших секторах инфраструктуры.

РАЗВЕДЧИКИ APT28 и APT29 (УЮТНЫЙ И МОДНЫЙ МЕДВЕДИ)

Российские группы кибершпионажа, которые связывают с российскими спецслужбами – APT28 и APT29. APT28 обвиняли во взломах правительственных учреждений в Германии, США и НАТО. Это одна из групп, которую считают причастной к последнему взлому сайта Демпартии в США. Еще одно название этой группы, которое гуляет по Интернету, – «Модные мишки». Ко взлому американских правительственных сайтов также имеет отношение группа APT29. Ее считают одной из наиболее квалифицированных и умелых, деятельность которых доводилось отслеживать киберохранным структурам.

ЗМЕЯ НА БАЛАНСЕ ГОСУДАРСТВА РОССИЙСКОГО

Еще одна группа, название которой идентично тому вирусу, который она использует: «Уроборос, Турла, Змея». Британские службы киберзащиты писали, что это первый вирус, которым Россия начала войну против Украины еще в марте 2014 года. Лишь в первые месяцы 2014 года украинские коммуникационные сети государственной важности подверглись 14 крупным атакам со стороны хакеров, что вдвое больше чем за весь 2013 год.

Вирус позволяет контролировать инфицированные ПК, исполнять на них произвольный код, скрывая при этом свою активность. Уроборос в состоянии похищать данные и перехватывать сетевой трафик, может удалить документацию и может предоставить хакерам "полный доступ к атакованной системе". Английские и американские эксперты считают, что кибератаки проводились под эгидой российского правительства и требовали высокой организации большой группы хакеров. 

Любопытно, что в 2008-м году компьютерным червем из этого же семейства Agent.BTZбыли заражены компьютеры Центрального командования вооруженных сил США на Ближнем Востоке, из-за чего вирус удостоился звания «худшего события в компьютерной истории ВС США». Компьютерный червяк попал в систему Пентагона через USB-флешку, оставленную на парковке комплекса, принадлежащего минобороны США на территории военной базы на Ближнем Востоке.

Накопитель, содержавший вредоносный код, был вставлен в USB-порт ноутбука, подключенного к компьютерной сети Центрального командования ВС США (United States Central Command). Пентагон потратил почти 14 месяцев на ликвидацию последствий заражения сетей ВС, и в результате этот случай послужил толчком для создания Кибернетического командования США, внутреннего подразделения ВС США. 

CARBANAK – ТОЛЬКО БИЗНЕС. БАНКОВСКИЙ

Carbanak – это и название хакерской группы, и название компьютерного червя, поражающего компьютеры банков под управлением операционной системы Microsoft Windows. Его специализация – банки.

Конечной целью атакующих является вывод денег из банка, через банкоматы или онлайн-банкинг. Сначала через электронную почту заражаются компьютеры рядовых сотрудников (им присылаются файлы Word, Excel и т.п. или через фишинг). Вторая фаза – это сбор разведданных о том, как устроена работа в этом банке, и кто за что отвечает. В этой фазе атакующие подбираются к компьютерам нерядовых пользователей (системных администраторов, администрации разных уровней). Третья фаза атаки – это вывод денег разными способами, и всё зависит от конкретного банка (онлайн-переводы, передача денег с определённого банкомата, выдача денег в банкомате в определённое время). Считается, что именно это группа вывела из одного украинского банка в 2016-м году порядка 10 млн долларов.

Атаки на банки продолжают оставаться закрытыми в большинстве западных стран, финансовые учреждения предпочитают вести свои войны с хакерами, не желая пугать клиентов. Наши источники из антивирусных лабораторий убеждены, что банковская группа не имеет политических целей, что от нее страдает и российский финансовый сектор, и что ее задача – исключительно воровство. 

Ну вот такие группы, если очень коротко, работают в России. Бояться не стоит. В каждой приличной стране есть свои хакеры и свои киберзащитники. В Украине эта отрасль тоже проходит свое становление. Что интересно, бродя по сайтам антивирусных лабораторий, я обратила внимание на то, что в Украине легко влезть в программу не только потому, что крутые айтишники госучреждению не по карману. А еще и потому, что мы очень чувствительны и любопытны.

Влезть в компьютеры облэнерго удалось не только потому, что мы не были готовы к таким атакам. А еще и потому, что у нас рука сама тянеться открыть чужое письмо, если там стоит приманка «Все о связи депутатов с ополченцами» или «точные адреса «героев Новороссии». Сотрудники впускали «троян» в систему потому, что их проблемы, настроения и боли были «под мироскопом» изучены российскими хакерами. Очень многого можно избежать, если соблюдать элементарную кибергигиену. Но об этом – в следующем материале.

Автор: Лана Самохвалова, Киев, УКРИНФОРМ