Анализ американской компании Recorded Future деятельности хакерской группы Джокер ДНР
Перевод:
Джокер ДНР и информационная война
Управляющее резюме
«Джокер ДНР» — это пророссийская хакерская группировка, которая приобрела известность во время продолжающегося вторжения России в Украину. Группа известна своими историческими и текущими каналами Telegram, которые она использует для распространения конфиденциальной информации и распространения пророссийской и антиукраинской пропаганды. На сегодняшний день наиболее значимой акцией «Джокера ДНР» является взлом DELTA, системы управления полем боя «BMS», которая доказала свою эффективность для национальной обороны Украины.
Предполагаемое нарушение со стороны Joker DPR вряд ли имело столь масштабные последствия, как утверждала группа.
Тем не менее, это часть растущего количества доказательств того, что Джокер ДНР сознательно поддерживает информационную войну России на Украине. Учитывая согласованность деятельности «Джокер ДНР» с целями российских операций влияния на Украине, в частности, подрыв поддержки украинских военных и правительственных аппаратов, вполне вероятно, что деятельность «Джокер ДНР» направлена на усиление российских информационных операций в Украине, возможно, при координации Российского государства.
Ключевые результаты
● Джокер DPR создал популярный ресурс. Несмотря на то, что в своих сообщениях он характеризуется как личность, вполне вероятно, что «Джокер ДНР» представляет собой группу украинцев, сочувствующих российской военной операции, и единомышленников для сбора конфиденциальной информации, которую она публикует.
● Joker DPR впервые появился 21 октября 2019 года, когда был создан первый Telegram-канал «Джокер ДНР», который набрал более 59 000 подписчиков, прежде чем был заблокирован в марте 2022 года.
● Сразу после блокировки своего первого канала Joker DPR основала второй Telegram-канал с таким же названием. На момент написания статьи второй «Джокер ДНР» набрал 247 000 подписчиков.
● На сегодняшний день наиболее значимой операцией «Джокера ДНР» является взлом системы DELTA, системы управления полем боя «BMS», которая доказала свою эффективность для национальной обороны Украины. Однако маловероятно, что это нарушение имело столь масштабные последствия, как утверждал Джокер DPR.
● Вероятно, что информационные операции и киберактивность «Джокера ДНР» направлены на поддержку информационной войны России в Украине путем подрыва доверия общества к Вооруженным силам Украины «ВСУ» и украинскому правительству, возможно, при координации или поддержке российского государства.
Анализ угроз
«Джокер ДНР» — пророссийская хакерская группировка, которая впервые появилась 21 октября 2019 года и приобрела известность на фоне продолжающейся войны Украины с Россией. Группа хорошо известна своей предполагаемой кибердеятельностью, в ходе которой была нацелена на публикацию конфиденциальной информации на украинских военных и правительственных веб-ресурсах, а также своим присутствием в социальных сетях, которое она использовала для распространения пророссийской и антиукраинской пропаганды.
Несмотря на то, что Joker DPR характеризует себя как «не человека или группу людей… а идею», в сообщениях Joker DPR часто указывается, что они были написаны одним человеком. Независимо от того, являются ли авторами сообщений «Джокер ДНР» один или несколько человек, вполне вероятно, что «Джокер ДНР» полагается на скоординированную человеческую инфраструктуру украинцев, которые симпатизируют России, и других украинцев для сбора конфиденциальной информации, которую публикует группа. Джокер ДНР часто ссылается на эту сеть в своих сообщениях, хвастаясь, что ее «шпионы и хакеры» выполняют ее указания. Джокер ДНР неоднократно заявлял, что эти агенты предоставили документацию, подтверждающую обвинения в коррупции в украинском правительстве и вооруженных силах, которые позже были размещены на каналах связи Джокер ДНР. Документация выглядит подлинной, что позволяет предположить, что часть кадровой инфраструктуры «Джокера ДНР» может быть встроена в украинское правительство или армию.
И наоборот, Джокер ДНР может просто преувеличивать участие украинских субъектов в своей инфраструктуре как часть более масштабной попытки подорвать доверие общества к украинскому правительству и военным институтам.
Рисунок 1. На своем ныне несуществующем Telegram-канале JokerDPR подробно рассказал о работе своих «шпионов и хакеров».
В значительной степени тайна истинной личности «Джокера» ДНР, по-видимому, способствует ее привлекательности: группа хакеров пользуется большой популярностью среди русскоязычных субъектов и, вероятно, заручилась поддержкой среди украинцев, симпатизирующих пророссийски.
Однако не все довольны нынешней загадочностью Джокера ДНР. 1 ноября 2022 года, бывший киберпреступник с российским и украинским гражданством Владислав Горохорин в посте в Telegram-канале «CyberSec's» заявил, что Джокер ДПР на самом деле был «JokerStash», бывшим администратором несуществующей дарквеб-кардинговой мастерской». Тайник Джокера».
Рисунок 2. Владислав Горохор изложил свои аргументы в пользу того, почему Joker Stash мог переодеться в мантию Джокера ДНР — текст изображения, машинный перевод с русского с помощью Google Translate. Источник: Telegram-канал CyberSec’s)
Кардинговые центры предоставляют украденные данные платежных карт преступникам, стремящимся совершить мошенничество с платежами. До своего закрытия в январе 2021 года Joker’s Stash был выдающимся карточным магазином в даркнете: наши данные показывают, что с апреля 2017 года по январь 2021 года доход Joker’s Stash составил более 1,1 миллиарда долларов США. Аналогичным образом, анализ блокчейна, проведенный партнерской организацией, показывает, что с августа 2013 года по январь 2021 года Joker’s Stash получил 284 277 биткойнов «BTC» в более чем 1,4 миллионах криптовалютных транзакций. Хотя эти огромные доходы предоставили бы Joker DPR значительные ресурсы для ее деятельности, если бы она действительно была связана с JokerStash, мы считаем, что утверждение Хорохорина является спекуляцией.
Мотивы, личность и имя
В своих сообщениях «Джокер ДНР» заявил, что его миссия — «уничтожить клоунов», которые правят Украиной, и поддержать сепаратистские движения в украинском Донбассе. Джокер ДНР демонстрирует глубокое недоверие к основным средствам массовой информации и официальным коммуникациям, считая информацию мощным оружием. Группа заявила, что она одержима разоблачением коррупции и правонарушений, особенно в украинских вооруженных силах. С этой целью Джокер ДНР часто высмеивает украинское руководство, намекая, что сопротивление страны российским силам было бы значительно менее успешным, если бы не финансовая, военная и разведывательная поддержка Запада.
С 2019 года Джокер ДНР тщательно культивирует свою персону. Его стиль общения претерпел метаморфозу: его ранние сообщения были сосредоточены на личном унижении и насмешках, а самые последние сообщения предполагают наличие более образованного, аналитического и умного автора или авторов. Посты Джокера ДНР часто содержат черный юмор и частые упоминания о насилии. Это вполне уместно, поскольку прозвище является отсылкой к персонажу-социопата «Джокеру» из комиксов «Бэтмен» и связанных с ним франшиз, а «ДНР» — это англоязычное сокращение самопровозглашенной Донецкой Народной Республики, контролируемой сепаратистами. регион на востоке Украины.
Деятельность
Деятельность «Джокера ДНР» раскрывает группу угроз, которая сознательно и с энтузиазмом поддерживает информационную войну России на Украине. С 2019 года «Джокер ДНР» взяла на себя ответственность за различные киберкампании, в том числе за компрометацию веб-ресурсов правительства Украины и ВСУ «ВСУ». «Джокер» ДНР также опубликовала конфиденциальную военную информацию, связанную с ВСУ и правительством Украины, через свои Telegram-каналы.
Telegram-каналы Joker DPR впервые получил известность благодаря своему оригинальному Telegram-каналу «Джокер ДНР». Там группа публиковала утечки относительно украинских военных с октября 2019 по март 2022 года, когда, по данным «Джокера ДНР», жалобы украинцев вынудили закрыть канал. До закрытия оригинальный канал собрал более 59 000 подписчиков.
В марте 2022 года «Джокер ДНР» перевел свою деятельность на новый одноименный канал в Telegram. На момент написания этой статьи количество подписчиков второго Джокера ДНР выросло до более чем 247 000 подписчиков.
На сообщения, опубликованные на канале, время от времени ссылаются ведущие средства массовой информации.
Рисунок 3. Вторая итерация Telegram-канала «Джокер ДНР» создана в марте 2022 года. Источник: Telegram-канал Джокер ДНР.
С 2019 года «Джокер ДНР» регулярно публикует угрозы в адрес украинского правительства и военных, а также конфиденциальную украинскую военную информацию на обоих своих Telegram-каналах, включая конфиденциальную документацию, которая выглядит подлинной, спутниковые снимки украинских военных баз и тайников с военной техникой, а также утечки информации. обвинения в коррупции, правонарушениях или некомпетентности внутри ВСУ, которые иногда подтверждаются документально.
На сегодняшний день самым смелым заявлением Джокера ДНР является предполагаемая компрометация DELTA, разработанной в Украине системы управления полем боя «BMS», которая обеспечивает вооруженные силы в режиме реального времени ситуационной осведомленностью как о дружественных, так и о вражеских подразделениях.
Предполагаемое нарушение DELTA 1 ноября 2022 года компания Joker DPR заявила, что ей удалось проникнуть в DELTA, утверждая, что она получила возможность в режиме реального времени видеть использование системы ВСУ. Хотя это утверждение вряд ли было полностью правдивым, российские СМИ быстро подхватили эту историю. В тот же день Министерство обороны Украины опровергло факт какого-либо нарушения системы ДЕЛЬТА, заявив, что заявление Джокера ДНР было частью психологической операции, призванной подорвать доверие к ДЕЛЬТА. ДЕЛЬТА является компонентом украинской доктрины сетецентрической войны «NCW», которая делает упор на быстрое и децентрализованное принятие решений.
3 ноября 2022 года «Джокер ДНР» получил несанкционированный доступ к странице в Instagram главнокомандующего ВСУ генерала Валерия Залужного. Группа повторила свое заявление на странице Залужного в Instagram.
Рисунок 4. Джокер заявил, что проник в разработанную Украиной систему BMS DELTA. Источник: Telegram-канал JokerDPR.
Хотя официально DELTA не была принята ВСУ до 4 февраля 2023 года, она находилась в разработке с 2016 года и претерпела значительные обновления незадолго до начала полномасштабного российского вторжения в феврале 2022 года. Принятие и выполнение Украиной NCW сыграли важную роль в отражении ранние нападения русских на ключевые поля боя в начале вторжения; Со своей стороны, ДЕЛЬТА сыграла роль в затоплении флагмана Черноморского флота России «Москва». Учитывая роль, которую DELTA продолжает играть в обороне Украины, широкомасштабная компрометация системы, вероятно, будет иметь серьезные последствия для продолжающейся войны в Украине и почти наверняка подорвет способность ВСУ проводить скоординированные боевые действия.
Однако заявление Joker DPR о широкомасштабном компромиссе DELTA сомнительно. В целом изображения и документы, предположительно взятые из DELTA и опубликованные в Telegram-канале группы угроз, вероятно, были доступны из отдельных учетных записей пользователей. Это говорит о том, что, хотя Joker DPR мог получить доступ к ограниченным данным посредством инсайдерских угроз или скомпрометированных учетных данных, он, возможно, не получил доступа к системе в целом.
Рисунок 5. JokerDPR предоставил видеодоказательства того, что получил доступ к DELTA. Источник: Telegram-канал «JokerDPR»).
Заявление Joker DPR еще больше подрывается ограниченной реакцией ВСУ на предполагаемое нарушение. Как сообщается в The Record, кибербезопасность является приоритетом для разработчиков DELTA, которые осознают, что враждебные субъекты угроз регулярно нападают на DELTA, признавая «опасность, которую она представляет» для российских военных усилий.
Узнав о претензиях ДНР «Джокер», вполне вероятно, что ВСУ провели бы проверку безопасности БМС. Если бы было обнаружено серьезное проникновение, ВСУ, скорее всего, перенесли бы операции на другую БМС, имеющуюся в его распоряжении, например, на «Кропиву». Более того, если бы произошло серьезное проникновение, маловероятно, что ВСУ приступили бы к официальному принятию на вооружение ДЕЛЬТА 4 февраля 2023 года. К тому же, учитывая, что Джокер ДНР выразил заинтересованность в обмене разведданными с российским государством, маловероятно, что группа угроз была бы настолько близорукой, чтобы поставить под угрозу свой доступ к DELTA публичными объявлениями о взломе.
Наконец, маловероятно, что официальные российские СМИ так широко поддержали бы заявление Джокера ДНР, если бы DELTA действительно подверглась серьезному нарушению. Российские средства массовой информации подвергаются строгому государственному контролю, и отклонение от официальных правительственных директив недопустимо. Если бы российское правительство оценило доступ «Джокера ДНР» к DELTA как столь широкое, как он утверждает, средства массовой информации, вероятно, попытались бы сдержать новости о взломе, чтобы предоставить российским военным и разведывательным органам возможность использовать и использовать предполагаемый компромисс Джокера ДНР.
Факты свидетельствуют о том, что Джокер ДНР поддерживает российские информационные операции
Вполне вероятно, что деятельность «Джокера ДНР» направлена на поддержку и усиление российских информационных операций, возможно, в координации с российским государством. Такая координация далеко не беспрецедентна, и действия Джокера ДНР продемонстрировали преднамеренное, давнее соответствие целям российских операций влияния на Украине.
Как обсуждалось в нашем предыдущем репортаже, угроза, которую представляют пророссийские хакеры, заключается не в их атаках, а в их способности сеять панику и дезинформацию. Предполагаемое нарушение DELTA со стороны «Джокера ДНР» является лишь последним в длинной цепочке сообщений, которые активно поддерживают информационную войну России в Украине, подрывая доверие к украинским военным или правительственным учреждениям. Повторно распространяя заявление группы угроз, российские СМИ – и, как следствие, российские власти и военные – возможно, намеревались подорвать доверие общества к эффективному украинскому активу.
Для DELTA доверие имеет решающее значение. Система обеспечивает быструю связь на поле боя, что в конечном итоге способствует более быстрому принятию решений. Создание сомнений среди украинских командиров, заставляющее их не решаться использовать или передавать информацию в систему, будет иметь серьезные последствия для исхода войны.
Возможное использование Россией «Джокера ДНР» для достижения своих целей на Украине полностью соответствует ее нынешнему стратегическому мышлению, которое наблюдатели окрестили «гибридной войной» или «доктриной Герасимова». Доктрина Герасимова уделяет больше внимания кибероперациям и операциям влияния по сравнению с традиционными кинетическими операциями. На практике такое асимметричное взаимодействие позволяет России достичь целей, которые, возможно, остались недостижимыми традиционными средствами.
Качество и стиль коммуникаций Качество и контент, опубликованные Joker DPR, также указывают на то, что коммуникации группы, возможно, начали получать руководство, которого ей ранее не хватало. В первых сообщениях «Джокера ДНР» постоянно пренебрегают персонал ВСУ и украинских чиновники. Их стиль письма был неформальным, основанным на разговорной речи и иногда отмеченным орфографическими или грамматическими ошибками. Тем не менее, более поздние сообщения Джокера ДПР четкие, отточенные и кажутся стратегическими, поскольку автор предпочитает контекстуализировать и анализировать события, а не использовать их в качестве трамплина для уничижительных замечаний.
Исходя из этого, не исключено, что «Джокер ДНР» изначально мог начать свою деятельность по собственной инициативе как индивидуальное, полупрофессиональное или профессиональное движение. По мере того, как влияние канала росло, возможно, российские государственные структуры сочли целесообразным формально или неформально развивать группу угроз — или увеличивать ресурсы, выделяемые на деятельность группы, если группа угроз с самого начала существовала как российский актив.
Заявления Джокер ДНР о сотрудничестве с другими пророссийскими хакерскими группами, а именно «Берегини», «Спрут», «Лимма» и «Киллнет», также позволяют предположить, что Джокер ДНР работает вместе с российским государством.
Берегини ранее поддерживала операции влияния России, а Killnet выразил желание координировать свои операции с российским правительством. С момента начала полномасштабного вторжения России в Украину Killnet провел серию распределенных атак типа «отказ в обслуживании» (DDoS) против правительственных учреждений и частных предприятий, расположенных в государствах-членах НАТО. Аналогичным образом, украинский хакер Андрей Баранович обвинил Берегини в том, что ею руководят российские спецслужбы.
Рисунок 6. В посте JokerDPR перечислил своих «подписчиков», в том числе и Берегини. Источник: Telegram-канал Джокер ДНР.
Перспективы
Джокер ДНР, скорее всего, продолжит заниматься информационными и пропагандистскими операциями, которые подрывают доверие к ВСУ и правительству Украины, ставят под угрозу жизнь личного состава ВСУ и в конечном итоге ставят под угрозу национальную безопасность Украины. Потенциально далеко идущие последствия предполагаемого нарушения DELTA со стороны Джокера ДНР — в частности, подрыв веры общества в актив, который был важен для обороны Украины — демонстрируют, что деятельность группы угроз может повлиять на исход войны в Украине.
Джокер ДНР приобрел значительное количество подписчиков на своем канале в Telegram. По мере того, как его аудитория и инфраструктура растут, он может получить больше возможностей подорвать военные усилия Украины. Хотя украинские власти еще не преследовали «Джокер ДНР», недавние события позволяют предположить, что они предпримут усилия по выявлению, аресту и судебному преследованию членов сети «Джокер ДНР», когда у них будут ресурсы и возможности для этого или по мере влияния и уровня угрозы «Джокера». ДНР растет. Хотя предполагаемое проникновение Джокера ДНР в DELTA вряд ли будет таким масштабным, как утверждала группа, подобная деятельность может привести к усилению международного внимания к пророссийским хакерским группировкам.