Російські хакери: хто більш страшний – кіберхробак чи кіберведмідь?
Протягом двох років Україна стає полігоном для російських хакерських груп, а на нас з неослабним інтересом дивляться міжнародні компанії, які займаються кіберзахистом.
З 2015 року російські хакери побували у надрах українських обленерго, спричинивши відключення електроенергії на кілька годин. Нагадаємо, що атаки здійснювалися на інформаційну інфраструктуру одночасно трьох енергопостачальників – «Прикарпаттяобленерго», «Чернівціобленерго» та «Київобленерго». У 2016-му шкідлива програма була виявлена у мережі аеропорту «Бориспіль». Були повідомлення, що відбулася хакерська атака на Укрзалізницю. І це, не рахуючи атак на ЗМІ, на Центрвиборчком (пам'ятаєте відому ситуацію, коли після президентських виборів на центральному сайті ЦВК повинно було з'явитися зображення Дмитра Яроша, як переможця виборів), українським службам кіберзахисту вдалося очистити систему за сорок хвилин до офіційного оголошення результатів виборів. Кібервійна, як показала практика, повноцінна складова війни гібридної.
Так, у серпні 2016 року Рада національної безпеки і оборони повідомила, що протягом півроку на державні органи було скоєно близько 15 тисяч кібератак (подій інформаційної безпеки), з яких 170 носили характер Ddos-атак.
Тема кіберзахисту дуже закрита в українських органах влади, однак вона активно вивчається міжнародними дослідницькими центрами.
Ми вирішили, спираючись на англо- та російськомовні джерела, здійснити огляд основних хакерських груп з РФ. Але спочатку трохи теорії.
Коли ми говоримо про кібератаки, оперуємо такими термінами: групи хакерів (кіберзлочинці) та вірус (зазвичай шкідливе програмне забезпечення називають узагальнюючим словом «вірус»). Дуже часто назву команди хакерів чергують з назвою використовуваного ними вірусу. Тобто, та чи інша хакерська команда нерідко у медіа називається тим же ім'ям, що і використовувана нею вірусна програма, або навіть вірусна сім'я.
Часто для серйозних кібератак використовується комбінація трьох шкідливих базових програм. Перший вид: троянська програма. (проникає до комп'ютера під виглядом легального програмного забезпечення).
Другий вид: комп'ютерний хробак – різновид шкідливої програми, що самостійно розповсюджується через локальні і глобальні комп'ютерні мережі.
Третій вид – комп'ютерний вірус – вид шкідливого програмного забезпечення, здатного створювати копії самого себе і проникати до коду інших програм, системних областей пам'яті, завантажувальних секторів, а також поширювати свої копії різноманітними каналами зв'язку.
Ось це головні «компоненти» кіберзброї. Вони можуть видозмінюватися, комбінуватися, вдосконалюватися, але в цілому надаються до вищезгаданої класифікації.
BLACKENERGY – ФАХІВЦІ З АТАК НА УКРАЇНУ
Група Піщаний хробак (Sandworm, вона ж Quedagh) та вірус BlackEnergy – «фахівці» по Україні. У всякому разі, саме їхня мережа використовувалася для атаки на державні та комерційні організації в Україні та Польщі. BlackEnergy був виявлений під час атак на обленерго.
Команда «Піщаний хробак», яку пов'язують з вірусом BlackEnergy, – найбільш технічно просунута група. У західних джерелах вона вважається групою постійної загрози, що має держпідтримку та використовується з політичною метою Російською Федерацією. Троянська програма BlackEnergy, з якою вони працюють, згідно з деякими даними, вперше була виявлена у 2007 році на російському підпільному ринку шкідливих програм. Перша версія BlackEnergy була порівняно простим набором інструментів для створення мереж ботів та здійснення атак на відмову обслуговування. За час його існування було створено ще дві версії трояна, які набули нових, більш потужних можливостей. Так, у 2010 році була виявлена друга версія трояна, BlackEnergy 2, яка вже могла підключати модулі з такими додатковими можливостями, як передача викрадених даних на сервери зловмисників, спостереження за мережевим трафіком і т. д. У 2014 році була виявлена і третя версія даного трояна. Група, можливо, у 2008 році брала участь у кібератаках проти Грузії.
ГРУПА БАБКА, ВОНА Ж – ЕНЕРГІЙНИЙ ВЕДМІДЬ
Ця група відома з 2011 року, і розглядається як загроза для Східно-Європейського регіону, націлена на його оборонну промисловість, енергетику, виробників інформаційних технологій та систем. Група вирізняється здатністю здійснювати технічно складні та тривалі атаки, які наштовхують на думку про наявність державного фінансування.
Ці хакери зацікавлені у встановленні постійного доступу до систем, зламаних ними. Енергійний Ведмідь спеціалізується на продукуванні шкідливих програм, атаки в основному відбувалися у робочий час (понеділок – п'ятниця, 9 ранку – 6 вечора) центральноєвропейського часу плюс чотири години (UTC + 4), що відповідає періоду робочого часу у Росії та Східній Європі. Більшість охоронних фірм дійшло висновку, що Енергійний Ведмідь – російська група, яка знаходиться на держфінансуванні, оскільки її ударам піддаються національні держави, що перебувають в опозиції до Росії. Шкідливі програми, насамперед, ставлять під загрозу нафтові, нафтопереробні та енергетичні системи, які конкурують з енергетичним комплексом Росії. Енергійний Ведмідь, швидше за все, зацікавлений у зборі інформації про своїх жертв та країни їх походження та у встановленні постійного доступу до зламаних систем. Високо просунуті програми дозволяють саботувати операції цілей, що може привести до пошкодження або порушення у найважливіших секторах інфраструктури.
РОЗВІДНИКИ APT28 і APT29 (ЗАТИШНИЙ ТА МОДНИЙ ВЕДМЕДІ)
Російські групи кібершпіонажу, які пов'язують з російськими спецслужбами – APT28 і APT29. APT28 звинувачували у зламах урядових установ у Німеччині, США та НАТО. Це одна з груп, яку вважають причетною до останнього зламу сайту Демпартії у США. Ще одна назва цієї групи, яка гуляє Інтернетом, – «Модні ведмедики». До зламу американських урядових сайтів також має стосунок група APT29. Її вважають однією з найбільш кваліфікованих та досвідчених, діяльність яких доводилося відстежувати кіберохоронним структурам.
ЗМІЯ НА БАЛАНСІ ДЕРЖАВИ РОСІЙСЬКОЇ
Ще одна група, назва якої ідентична тому вірусу, який вона використовує: «Уроборос, Турла, Змія». Британські служби кіберзахисту писали, що це перший вірус, яким Росія розпочала війну проти України ще у березні 2014 року. Лише у перші місяці 2014 року українські комунікаційні мережі державної ваги зазнали 14 великих атак з боку хакерів, що вдвічі більше, ніж за весь 2013 рік. Вірус дозволяє контролювати інфіковані ПК, виконувати на них довільний код, приховуючи при цьому свою активність. Уроборос у стані викрадати дані і перехоплювати трафік, може видалити документацію і може надати хакерам «повний доступ до атакованої системи». Англійські та американські експерти вважають, що кібератаки проводилися під егідою російського уряду та вимагали високої організації великої групи хакерів.
Цікаво, що у 2008-му році комп'ютерним хробаком з цього ж сімейства Agent.BTZ були вражені комп'ютери Центрального командування збройних сил США на Близькому Сході, через що вірус удостоївся звання «найгіршої події у комп'ютерній історії ЗС США». Комп'ютерний хробак потрапив до системи Пентагону через USB-флешку, залишену на парковці комплексу, що належить Міноборони США на території військової бази на Близькому Сході. Накопичувач, що містив шкідливий код, був вставлений до USB-порту ноутбука, підключеного до комп'ютерної мережі Центрального командування ЗС США (United States Central Command). Пентагон витратив майже 14 місяців на ліквідацію наслідків зараження мереж ЗС і в результаті цей випадок став поштовхом для створення Кібернетичного командування США, внутрішнього підрозділу ЗС США.
CARBANAK – ТІЛЬКИ БІЗНЕС. БАНКІВСЬКИЙ
Carbanak – це і назва хакерської групи, і назву комп'ютерного хробака, що вражає комп'ютери банків під управлінням операційної системи Microsoft Windows. Його спеціалізація – банки.
Кінцевою метою атакуючих є виведення грошей з банку, через банкомати або онлайн-банкінг. Спочатку через електронну пошту заражаються комп'ютери рядових співробітників (їм надсилаються файли Word, Excel і т. п. або через фішинг). Друга фаза – це збір розвідданих про те, як влаштована робота у цьому банку, і хто за що відповідає. У цій фазі атакувальники підбираються до комп'ютерів непересічних користувачів (системних адміністраторів, адміністрацій різних рівнів). Третя фаза атаки – це виведення грошей різними способами, все залежить від конкретного банку (онлайн-перекази, передача грошей з певного банкомату, видача грошей у банкоматі в певний час). Вважається, що саме це група вивела з одного українського банку у 2016-му році близько 10 млн доларів.
Атаки на банки продовжують залишатися закритими у більшості західних країн, фінансові установи воліють вести власні війни з хакерами, не бажаючи лякати клієнтів. Наші джерела з антивірусних лабораторій переконані, що банківська група не має політичних цілей, що від неї страждає і російський фінансовий сектор, та що її завдання – виключно крадіжки.
Ну ось такі групи, якщо дуже коротко, працюють у Росії. Боятися не варто. У кожній пристойній країні є свої хакери та свої кіберзахисники. В Україні ця галузь теж проходить своє становлення. Що цікаво, блукаючи сайтами антивірусних лабораторій, я звернула увагу на те, що в Україні легко проникнути до програми не лише тому, що круті айтішники держустанові не по кишені. А ще й тому, що ми дуже чуттєві та допитливі. Влізти до комп'ютерів обленерго вдалося не лише тому, що ми не були готові до таких атак. А ще й тому, що у нас рука сама тягнеться відкрити чужий лист, якщо там стоїть принада «Все про зв'язок депутатів з ополченцями» або «Точні адреси «героїв Новоросії». Співробітники впускали «троян» до систему тому, що їхні проблеми, настрої та болі були «під мироскопом» вивчені російськими хакерами. Дуже багато чого можна уникнути, якщо дотримуватися елементарної кібергігієни. Але про це – у наступному матеріалі.
Лана Самохвалова, Київ
