Цифровая армия. Как хакеры участвуют в войне России с Украиной
Липовый РунетПо мнению экспертов война России с Украиной — первая в истории, в которой в таком количестве принимают участие хакеры-добровольцы. Аффилированные с российским государством группы хакеров провели сотни кибератак против Украины. Сторонники движения Anonymous взламывают в ответ сайты российских госорганов и пропагандистских телеканалов. Благодаря их тактике подключиться к кибервойне можно из любой точки земного шара. Как идут сражения на «киберфронте» — рассказываем в нашем сегодняшнем материале.
Хакеры в погонах
Как явствует из специального отчета Microsoft, киберагрессия России против Украины началась за целый год до физического вторжения в страну российских войск. С марта 2021 года как минимум шесть связанных с российским государством хакерских группировок провели против Украины более 237 кибератак. Атаки были нацелены на то, чтобы подорвать доверие к руководству страны, лишить людей доступа к надёжной информации и дестабилизировать работу жизненно важных служб. Более 40% атак были направлены на критически важные сектора инфраструктуры, еще 32% — на украинские правительственные организации. Разрушительные атаки сопровождались сбором разведывательной информации.
Для доступа к целям российские хакеры использовали фишинг, незакрытые уязвимости и компрометацию поставщиков IT-услуг. Чтобы избежать обнаружения, хакеры постоянно модифицируют свое ПО.
По мнению Microsoft, с началом войны в феврале 2022 года кибератаки участились и начали напрямую координироваться с действиями российских военных. Вот лишь несколько подобных примеров. Российский хакер предпринял атаку на крупную украинскую телекомпанию 1 марта: в тот же день военные объявили о борьбе со средствами «дезинформации» и нанесли ракетный удар по телебашне в Киеве. Через несколько недель после того, как российские войска начали захват атомных электростанций, хакер похитил данные у организации по ядерной безопасности. Во время осады Мариуполя украинцы получали электронные письма якобы от жителя этого города, уверявшего, что правительство «бросило» мариупольцев.
В конце марта 2021 Минфин США года ввел санкции против 13 граждан РФ и 21 компании, которые, по данным ведомства, могут быть причастны к кибератакам, а также действуют в интересах российской армии и разведки. Среди них — зеленоградский завод «Микрон», ответственный за разработку чипов для карт «Мир», компания-производитель суперкомпьютеров «Т-платформы», чей основатель Всеволод Опанасенко по злой иронии судьбы с 2019 года находится под следствием (мы подробно рассказывали о его деле), и сеть компаний «Серния», поставляющих для нужд Минобороны микроэлектронное оборудование.
Помимо того подпали под санкции Центральный научно-исследовательский институт химии и механики (ЦНИИХМ) Сергей Гладков и его заместитель Константин Малеваный. Сам ЦНИИХМ находится под санкциями с 2020 года. Американцы уверены, что именно там был разработан компьютерный вирус Triton (он же TRISIS и HatMan), предназначенный для взлома сетей на промышленных объектах. В 2017 году вирус Triton использовался для атаки на нефтехимический завод в Саудовской Аравии.
Ранее мы уже разбирали, почему Минфин США решил ввести санкции против шести российских IT-компаний в августе 2021 года. Тогда в этот список тоже попали предприятия, связанные с вербовкой хакеров спецслужбами и злонамеренных киберопераций ФСБ, ГРУ и СВР.
Хакеры в масках Гая Фокса
То, что кибератаки аффилированных с ФСБ хакеров не останутся без ответа, стало понятно уже на следующий день после начала «спецоперации»: 24 февраля кибервойну российскому правительству объявило движение Anonymous.
Anonymous позиционирует себя как децентрализованный международный коллектив, выступающий против цензуры и контроля над интернетом. Членство в Anonymous открыто для всех, кто разделяет его ценности и хочет объявить себя участником.
Anonymous сформировались как онлайн-сообщество в 2003 году на сайте 4chan, а с 2008-го начали ассоциироваться с хакерским активизмом после серии DDoS-атак на Церковь Саентологии. Основные методы Anonymous — это «дефейс» (замена главной страницы сайта с публикацией на ней какой-либо информации или призывов) и DDoS-атака, обрушивающая сайт огромным количеством запросов. Принимать участие в последних может любой желающий. Первоначально для этих целей предлагалось использовать программу LOIC, но поскольку та не скрывает по умолчанию IP-адрес пользователя, отдельных неопытных «горе-хакеров» быстро навестили силовики. В 2012 году Anonymous разработали собственный инструментарий для организации кибератак.
Последующий «послужной список» Anonymous пополнился взломом десятков сайтов с детской порнографией, кибервойной против Исламского Государства и организацией атак против правительственных учреждений США, Израиля, Туниса, Уганды и других стран. Активисты Anonymous перехватывали телеконференцию между ФБР и Скотланд-Ярдом, на которой обсуждались меры борьбы с хакерами, проводили крупнейшую (по их собственному заявлению) DDoS-атаку против американского правительства в отместку за закрытие сайта MegaUpload .com, взламывали сайт Ватикана и атаковали более 100 тысяч израильских сайтов в ответ на военную операцию в Секторе Газа. После ряда арестов активность Anonymous сильно снизилась, однако коллектив вновь дал о себе знать в ходе протестов, охвативших США вслед за убийством афроамериканца Джорджа Флойда.
Первой «жертвой» кибервойны с российским правительством 24 февраля стал сайт пропагандистского телеканала Russia Today. Вслед за ним недоступны сделались сайты Кремля и Министерства обороны. Несколько дней спустя хакеры провели одну из наиболее действенных акций: взломали сайты целого ряда крупнейших российских СМИ и разместили на их главной странице антивоенное обращение.
7 марта Anonymous взломали российские стриминговые сервисы и заменили онлайн-трансляцию крупнейших российских телеканалов («Первого», «России 24» и «Москвы 24») на антивоенные обращения и шокирующие видео разрушений, учиняемых российской армией.
Две недели спустя хакеры объявили, что взломали сайт российского Центробанка, и спустя 48 часов выложат в открытый доступ более 35 000 секретных файлов. ЦБ РФ опроверг заявления о взломе своих компьютерных систем. 26 марта взломщики исполнили свою угрозу и действительно выложили на файлообменниках около 30 гигабайт файлов. Впрочем, изучив эти документы, эксперты не обнаружили в них ничего «секретного». В основном в архиве находились аудиторские отчеты российских банков десятилетней давности и excel-файлы, которые и так лежат на сайте ЦБ в открытом доступе.
Дальнейшие события показали, однако, что взломщики из Anonymous способны не только на блеф. 3 апреля, вскоре после того, как миру стало известно о чудовищных преступлениях в Буче, хакеры выложили в сеть персональные данные 120 000 российских военных.
14 апреля в сети появилась электронная база с 230 000 письмами Минкультуры РФ, тем же количеством писем из администрации Благовещенска и 130 000 писем из аппарата губернатора Тверской области. В письмах из Минкультуры содержались сведения о зарплатах и увольнениях, переписка на тему дефектов объектов культурного наследия, а также внутренняя переписка сотрудников подведомственного Министерству культуры ФГБУ «Росгосэкспертиза».
9 мая хакеры атаковали российский видеохостинг Rutube, куда после начала спецоперации переехали с YouTube многие государственные телеканалы (о том, как из этой платформы возглавляемой бывшим главой Роскомнадзора Александром Жаровым пытаются сделать «патриотическую» замену YouTube, мы рассказывали тут). В результате сервис оставался не доступен три дня. Представители Rutube причитали, что атака была осуществлена, чтобы не дать им «показать парад Победы и праздничный салют».
Как заявили Anonymous в Twitter, это они взломали Rutube и якобы нанесли сервису грандиозный ущерб: в ходе атаки якоб пострадали или были уничтожены 75% баз данных и инфраструктуры основной версии сайта и 90% бэкапов и кластеров для восстановления БД.
Несколько дней спустя в сети появилось письмо, в котором директор Rutube Алексей Назаров якобы обращается к заместителю начальника Службы экономической безопасности ФСБ РФ Наибу Нагуманову по поводу хищения средств, выделенных на киберзащиту Rutube. В письме утверждается, что за сотни миллионов рублей Rutube получил у занятой кибербезопасностью компании «Group-IB» «неработоспособное» оборудование и обеспечение. Интересно, что генеральный директор «Group-IB» Илья Сачков, получавший от ФСБ многомиллионные подряды на помощь в поимке хакеров, находится сейчас в СИЗО по обвинению в госизмене, и ему грозит до 20 лет лишения свободы (об его уголовном деле мы подробно рассказывали). Так или иначе, в компании «Group-IB» в принципе отрицают, что они занимались защитой Rutube от киберугроз.
14 мая в сети появился ролик, в котором неизвестные берут на себя ответственность за взлом сайта Rutube. Его авторы утверждают, что атака на сервис была осуществлена силами всего лишь двух человек.
Хакеры-«патриоты»
15 апреля издание «Лента.ру» опубликовало интервью с некими хакерами из российской группировки Killnet, которые заняли в войне с Украиной «патриотическую» позицию и еще за 10 часов до начала «спецоперации» отключили около 67 украинских правительственных ресурсов. В ответ на атаку на сайт Russia Today «хакеры-патриоты» из Killnet якобы на целых 10 дней обрушили сервер, на котором хостился сайт самих Anonymous. Новость о «мощнейшей DDoS-атаке» на Anonymous со стороны «хакеров-патриотов» облетела все российские прогосударственные СМИ. При этом у движения Anonymous, согласно их собственным заявлениям, вообще нет «официального» сайта, а с миром они коммуницируют посредством аккаунтов в социальных сетях.
Неназванный собеседник «Ленты.ру» хвастался, что в движении Killnet входит более 4500 человек, и его «финансируют энтузиасты и патриоты своей страны» (при этом телеграм-канал «могущественной группировки» появился лишь 2 марта текущего года и насчитывает сейчас немногим более 9600 подписчиков). Как будто этого мало, Killnet объявило о создании «Международного альянса хактивистов», который возьмется за борьбу с интернет-мошенничеством, нацизмом и расширением НАТО «вплоть до уничтожения его IT-инфраструктуры с помощью хакерских атак».
Странно лишь, что в довесок к этим обещаниям «хакеры» из Killnet не пообещали бороться с онлайн-казино и буллингом в сети, а заодно заниматься раздельным сбором мусора и переводить старушек через дорогу. Впрочем, у здравомыслящих людей эти гротескные заявления и так едва ли оставили сомнения в том, что никакой группировки Killnet на деле не существует, и в ее лице мы имеем дело с топорно сработанной провокацией российских спецслужб.
К несчастью, далеко не вся деятельность российских хакеров на этой войне носит столь же фейковый характер. 10 мая «деструктивную киберактивность России» осудил государственный секретарь США Энтони Блинкен. По его словам, в начале российского вторжения была совершена массированная кибератака на коммерческие сети спутниковой связи с целью «нарушить командование и управление Украины». В результате вышли из строя десятки тысяч терминалов спутниковой связи с антенной небольшого размера (VSAT) не только в Украине, но и по всей Европе. Эти терминалы, помимо прочего, обслуживают ветряные турбины и предоставляют интернет-услуги частным лицам.
Сейчас правительство США разработало новые механизмы, которые помогут украинцам справляться с киберугрозами; в частности, с правительством Зеленского обменивается информацией ФБР.
«Впервые любой желающий может присоединиться к кибервойне»
Уже сейчас понятно, что среди отличительных черт, которыми эта война запомнится людям всего мира, будет не только страшная жестокость российских войск по отношению к мирному населению и беззастенчивая ложь российской пропаганды, но и беспрецедентное участие в ней “цифровых волонтеров” из разных уголков земного шара. Как заявил американский телеканал CNBS со ссылкой на исследователей из Check Point Software и CyberProof, цифровым атакам России помогает противостоять около 400 000 хакеров со всего мира.
«Впервые в истории любой желающий может присоединиться к кибервойне, — объяснил Лотем Финкельштейн, руководитель направления киберразведки компании Check Point Software (CPR). — Мы видим участие всего киберсообщества, в котором группировки и отдельные лица приняли сторону либо России, либо Украины». В CPR утверждают, что никогда не видели такого уровня вовлечённости внешних акторов, не связанных с конфликтом.
С первых недель войны на Донбассе добровольцами уезжали поддерживать как антитеррористическую операцию, так и самопровозглашенные республики люди из самых разных стран, в том числе очень далеких от Украины. Однако почувствовать себя причастным к войне можно, не покупая билет на самолет и не рискуя жизнью. Для этого достаточно установить на свой компьютер программу для DDOS-атак и присоединиться к «киберармии».
И если уже сейчас в этом противостоянии участвуют сотни тысяч идейных активистов и нанятых правительством хакеров, то следующим его этапом может стать полномасштабная «кибервойна» России с Западом.