След русских хакеров: как работают группировки из России, и кто ими управляет?

Из новостей кажется, что группировок, которые занимаются политическими взломами, ― штук десять. Некая Tsar Team ломает НАТО, «Киберхалифат» атакует французский телеканал, группировке «Модный мишка» приписывают атаки на кампанию Хиллари Клинтон, а команде APT28 ― на Всемирное антидопинговое агентство.

На самом деле все это ― одна хакерская команда, как ее ни называй. Так, по крайней мере, считают сразу четыре компании по киберзащите. Пятой к ним сегодня присоединилась ESET ― там провели исследование и пришли к выводу, что все это одни и те же люди, которые, по заявлению аналитиков из CrowdStrike, выполняют поручения ГРУ.

ESET предпочитает называть этих кибершпионов Sednit. Опубликованный сегодня доклад ESET рассказывает: с 2014 года группа постоянно атакует посольства и чиновников по всему миру, особенно в Восточной Европе. Целями Sednit были посольство Пакистана в Киеве и пять Министерств обороны по всему миру – в том числе Минобороны Турции. К сожалению, доклад не указывает даты этих атак, и о том, связаны ли они были, например, с охлаждением между Россией и Турцией, можно только спекулировать.

Еще взламывали руководство национальной полиции Украины. Спикер украинского МВД Артем Шевченко говорит, что ведомство чаще всего страдает от взломов соцсетей первых лиц: «Периодически министру какие-то пакости делают». Особенно часто, по его словам, на проблемы в фейсбуке жалуется один из замов: «Поломали аккаунт, от его имени написали какую-то чушь. Он к киберам ― наши кибера работают, восстанавливают контроль над аккаунтом».

Авторы исследования составили список всех жертв ― там под две тысячи целей, в том числе доклад упоминает и «российских политических диссидентов». Один из людей, знакомых с ходом расследования компании ESET, говорит, что был атакован человек из Фонда по борьбе с коррупцией ― и это не Алексей Навальный. Константин Мерзликин из ПАРНАСа тоже подтверждает, что атаки были, он испытал их на себе ― хакеры выманивали пароль. Вообще почти все в партии вынужденно стали практически экспертами в безопасности. «Фишинговая вещь, рассчитана просто на неискушенность пользователя. Люди должны знать, что нужно просто внимательно смотреть. Когда приходят письма от имени крупных операторов типа Google, не надо на них автоматом реагировать, не надо ни на что кликать ни в коем случае», ― советует Мерзликин.

Еще те же самые люди атаковали некие «чеченские организации». Неизвестно, правда, о чем идет речь ― о представительствах чеченской эмигрантской общины в Европе или о ведомствах внутри Чеченской республики. Если верно последнее, то, получается, отношения центральной власти с республиканской были в какой-то момент даже напряженнее, чем мы предполагали.

Доклад о российских хакерах изучает их вредоносный арсенал. Например, жертве присылают письмо, в нем ссылки, при переходе по которым компьютер заражается. Тему письма придумывают поинтересней, чтобы жертва точно перешла по ссылке или открыла прикрепленный файл. И тут интересно, что, по мнению хакеров, их жертвы настолько захотят прочитать. Такая хакерская атака ― это чистая психология: что будет интересно потенциальному противнику?

Например, на Украине слали документ об обострении России и ЕС, а в марте этого года хакеры рассылали письма якобы от американской разведывательно-аналитической компании Stratfor ― она тогда постоянно отслеживала ситуацию с российской кампанией в Сирии и почти всегда критиковала действия России. Адрес, по которому приглашают перейти, очень похож на настоящий адрес Stratfor, но это не он.

Другой важный вопрос: может быть, эти хакеры только поставляют заинтересованным людям кибероружие и умывают руки? Специалист по кибербезопасности, близкий к исследованию компании ESET, объяснил Дождю, что такие сложные инструменты простые ITшники с улицы использовать не смогут, тем более сложно представить, что таким софтом с легкостью пользуется заинтересованный чиновник у себя в кабинете. Но сами идеи атак, по мнению эксперта Андрея Солдатова, придумывают часто даже не чиновники и не спецслужбисты, а просто авантюристы: «Друзья, повара, владельцы каких-то компаний, пиарщики, которые имеют прямой доступ к людям в Кремле. В тот момент, когда там происходит какой-то кризис, ― с Украиной ли это кризис или с потерей контроля над интернетом, ― эти люди получают шанс продвинуть свое решение».

По оценке авторов доклада, у этой хакерской группы есть деньги ― такое вредоносное ПО просто так нигде не достать. Еще они копируют код Carberp ― это очень известный у кибермошенников троян. То есть у российских политических хакеров могут быть крепкие связи с киберкриминальным подпольем. «Очевидно, что любое государство, которое видит себя в будущем, инвестирует в компетенции по киберразведке, так скажем. Это касается любой страны, например, США. Вы можете вспомнить, какую компетенцию они создали за последние 20 лет», ― рассказал Дождю директор департамента сетевой безопасности Group-IB Никита Кислицын.

Наконец, может быть, самая неожиданная атака этой хакерской группы ― атака на «Шалтай-Болтай». Выходит, что прокремлевская ― и это оценка сразу двух компаний по киберзащите, CrowdStrike и FireEye ― группировка пыталась взломать «Анонимный интернационал» хакеров, которые так часто ломали российских чиновников, что создали себе репутацию антиправительственных. Это то ли косвенное доказательство того, что группа Sednit все-таки действует в интересах правительства, то ли доказательство того, что «Шалтай-Болтай», они же «Интернационал» ― действительно не связаны со спецслужбами. Самое интересное ― будет ли «Интернационал» на эту атаку отвечать? 

Фото: DepositPhotos