Війна світів. Тисячі хакерів в світі воюють на кіберфронті: хто з них на боці України, а хто - проти нас?

За Україну

Anonymous

Anonymous у саєнтологів в Лос-Анджелесі. Джерело: wikipedia.org

Міжнародне угруповання почало діяльність з 2003 року. Це спільнота майже не знайомих між собой хакерів, які, після вторгнення російських військ до України, оголосили кібервійну рф.

Anonymous не мають чіткої ієрархії чи структури. Свою ідеологію овни ілюструють цитатою: «Мы против корпораций и правительств, которые вмешиваются в Интернет. Мы считаем, что Интернет должен быть открытым и свободным для всех. Мы не забываем, мы не прощаем, нас — легион!»

З початку війни 24 лютого Anonymous оприлюднили базу даних компанії Nestle за відмову піти з ринку агресора, проте компанія сказала, что витік даних відбувся з вини співробітників.

Крім того вони зламали Центральний банк Росії та оприлюднили понад 35 000 файлів із секретними угодами.

В березні хакери зломали та оприлюднили файли з комп’ютерів співробітників та керівників Rosneft Deutschland, німецького філіалу російського гіганта «Роснефть». Компанія підтвердила проблеми з безпекою.

Крім цього учасники угрупування злили файли «Роскомнадзора». Та оприлюднили понад 400 000 нових електронних листів із трьох російських джерел, включаючи понад 100 000 листів від нафтової, газової та лісозаготівельної промисловості.

Все це крім численних атак на сайти російських держустанов ті інших структур, зокрема телеканал RT, сайти «Известия», ТАСС, «Коммерсант», Forbes, РБК та інших.

Against The West (ATW) (пов’язані з Anonymous) 

Група хакерів, яка пов’язує себе з Anonymous, зламала та розкрила базу даних «Газпрому». Злиті дані включають інформацію, пов’язану з вихідним кодом компанії та проектами WellPro.

NB65 (пов’язані з Anonymous)

Група «Мережевий батальон 65» (Network Battalion 65) з’явилась у Twitter з лютого 2022 року та має більше 167 000 підписників. 

Хакери 1 квітня зламали та оприлюднили понад 150 000 електронних листів, 8 200 файлів і кілька сотень гігабайт баз даних від державної компанії «Мосекспертиза», від Московської торгово-промислової палати. На питання про умови, на яких дані можуть бути повернуті, NB65 відповіли: «Якщо вимоги викупу будуть задоволені, платіж буде переданий на гуманітарні потреби в Україну».

А 8 квітні твітнули запис з камери безпеки, розташованій в московському кінотеатрі «Родина». 

«Доброго ранку, Москва. Просто хотіли, щоб ви знали, що ми завжди спостерігаємо. Камери безпеки не дуже захищені в „Родині“, чи не так?» — пишуть вони.

Thblckrbbtworld (діють від імені Anonymous)

В Twitter група зареєстрована з грудня 2021 року. 

27 лютого вони твітнули: «Путін погрожує невинним людям ядерною зброєю. Ми завжди тут заради невинних. Багато сайтів gov (.)ru зламано! Опубліковано критичні документи!»

Після цього представники групи «Світу Чорного Кролика» (The Black Rabbit World) зливали ядерні файли білорусі та повний список офіційних службових пристроїв рф, зламали морський підрозділ зв’язку рф, оприлюднили документи «Росатом» та зламали їх сервери, злили секретну інформацію з міністерства економіки та багато інших атак на держресурси, економічний та енергетичний сектор рф. Окремим акцентом стало підключення до відеонагляду замку Кремля. 

HackenProof

Група українських білих хакерів, які співпрацюють з кіберполіцією та СБУ. З 27 лютого спілка також долучилась до кібервійни та DDoS-атак на рф. З цього моменту українські хакери запровадили Bug Bounty-програму для криптобіржи Coinstore.com, платформи Web3 та платформи цифрових активів  BitForex і надає винагороди кіберспеціалістам за пошук багів та вразливостей.

IT Army of Ukraine

26 лютого міністр цифрової трансформації Михайло Федоров заявив про створення армії IT-фахівців для боротьби у кіберпросторі. Для розміщення оперативних завдань створили окремий Telegram-канал, який наразі має близько 300 000 підписників.  Як написав голова Мінцифри, завдання знайдуться для всіх. 

Атаки спрямовані на сервіси для бізнесу в рф, онлайн-телебачення, телефонують родинам російської армії мародерів, які обікрали українські мирні родини. Крім того хакери, які воюють на кіберфронті, здійснюють атаки на міністерства, на систему маркування товарів.

HackYourMom

Це Telegram-канал українського білого хакера Микити Книша, який разом з однодумцями сформував «диванні війська» та завдяки їх атакує росію на кіберфронті.

Наразі вони поширюють віруси шифрувальники по рф, серед усіх IТшників, хто хоче допомогти зашифрувавши російську систему. А також масово виводять з ладу роутери/модеми/системи відеоспостереження в рф та відвантажують усі дані до СБУ.

До своїх лав Микита та його хакери запрошують не тільки IT-спеціалістів. Як пише Микита, для виконання деяких завдань навіть не потрібен компьютер, достатньо буде лише телефона.

Гільдія IT-фахівців

Гільдія IT-фахівців — це незалежне професійне ІТ-об’єднання України офіційно зареєстроване в 2021 році. Організація має президента, ним з грудня 2021 року став  QA фахівець Тарас Розкішний.

Для боротьби на кіберфронті IT-фахівці гільдії розробили інструкцію для злому веб-сервісів країни-агресора та систему автоматичного дозвону до абонентів в росії та білорусі, щоб донести правду про війну в Україні. Довідники з номерами телефонів Южного військового округу рф, адресами та номерами телефонів російських та білоруських військовослужбовців, номерами телефонів співробітників КДБ білорусі, головного управління зв’язку збройних сил рф.

Проти України

Armageddon (UAC-0010)

Armageddon — це в першу чергу назва хакерької атаки на кеш багатоядерних ARM-процесорів. Вперше її представили на конференції Usenix Security Symposium п’ять винахідників навесні 2016 року. Перед ARMageddon уразливі сотні мільйонів пристроїв, в першу чергу смартфони, планшети та IoT-гаджети.

Група хакерів UAC-0010 (Armageddon) неодноразово здійснювала кібератаки на держустанови України та країни ЄС. 

Команда CERT-UA, яка діє при Держспецзв’язку, попереджає, що члени групи, серед іншого, використовують Dynamic DNS сервіс NO-IP. Тобто спеціалісті попереджають, що необхідно звертати особливу увагу на з'єднання з доменними іменами, які використовуються згаданим сервісом.

Спеціалісти CERT-UA виявили  наприкінці березня 2022 року  декілька RAR-архівів з іменами «Assistance.rar», «Necessary_military_assistance.rar». Кожен з таких архівів містив шкідливі файли-ярлики. Використання англійської мови в назвах файлів та тексті електронного листа, а також той факт, що лист надіслано на адресу державного органу Латвії, однозначно свідчить за думкою фахівців про здійснення атак групою UAC-0010 (Armageddon) на державні органи країн ЄС.

Урядова команда також виявила розповсюдження серед держорганів України електронних листів з темою «Інформація щодо військових злочинців РФ». HTML-файл «Військові злочинці РФ.htm», який містився у листах, призводив до створення на комп’ютері RAR-архіву «Viyskovi_zlochinci_RU.rar». Файл-ярлик з якого під назвою «Військові-злочинці що знищують Україну (домашні адреси, фото, номера телефонів, сторінки у соціальних сетях).lnk» за допомогою VBScript-код завантажував та запускав powershell-скрипта «get.php» (GammaLoad.PS1). Скрипт визначав унікальний ідентифікатор комп’ютера (на основі імені комп’ютера та серійного номеру системного диску) та передавав цю інформацію для використання на сервер управління.

Останньою атакою Armageddon стала масова розсилка електронних листів «№ 1275 від 07.04.2022», яка містить HTML-файл. Він створює на комп’ютері архів з назвою «Щодо фактів переслідування та вбивства працівників Прокуратури з боку російських військових на тимчасово окупованих територіях.lnk», при розпакуванні якого зловмисники можуть отримати доступ до конфіденційної інформації, пошкодити дані та комп’ютерні системи.

Fancy Bear (APT28, Sofacy, Pawn storm, Sednit и Strontium)

Перша згадка про угруповання з’явилась з вересня 2016 року, коли відповідальність за кібератаку на Всесвітню антидопінгову агенцію Fancy Bear взяли на себе. В той же час з’явився сайт fancybear.net. Представники ВАДА звинуватили у зломі росію, але на той час цьому були лише непрямі докази, а саме коментарі в коді на кирилиці, версії операційних систем, на яких писався код, часові пояси, а головне, через те, що технології, які використовували зломщики, перетиналися з технологіями інших російськомовних хакерських груп. 

Перші офіційні звинувачення Fancy Bear пред’явила в січні 2017 році розвідувальна спільнота Сполучених Штатів у зломі серверів внутрішньої мережі Демократичної партії США. Через півтора року подробиці, що підтвердили ці звинувачення, з’явились в судових документах після арешту 12 співробітників ГРУ. Вони розробляли, тестували та застосовували шкідливу програму X-Agent, яку часто використовували хакери Fancy Bear.

За даними спеціалістів з Cluster25, на початку березня 2021 року хакери групи APT28 почали фішингову атаку з використанням шкідливого ПЗ SkinnyBoy. Він доставляється через вбудований макрос документа Microsoft Word, що витягує файл DLL. Саме цей файл виступає як завантажувач шкідників. Принадою для таких поштових вкладень виступали підроблені запрошення на міжнародний науковий захід, який має відбутися в Іспанії наприкінці липня.

7 квітня корпорація Microsoft Corp зробила заяву, що їй вдалось запобігти злому багатьох серверів в Україні, странах ЄС та США, який намагалось здійснити групування Strontium, використавши сім інтернет-доменів.

Протягом тижнів кілька великих фішингових кампаній проти користувачів ukr.net влаштували хакери Fancy Bear.

Ghostwriter (UNC1151)

Хакерська група, країну походження якої за даними аналітичної компанії з кібербезпеки Mandiant припускають як білорусь. Верховний представник ЄС із закордонних справ та політики безпеки Жозеп Боррель у вересні 2021 року у своїй заяві зв’язав діяльність кіберзловмисників з російською державою.

У заяві Боррель акцентує, що діяльність хакерів була направлена на крадіжки особистих даних та облікових записів численних членів парламентів, урядовців, політиків, представників преси та громадянського суспільства в ЄС.

Перші активні дані про початок діяльності групи Ghostwriter Mandiant називають з 2016 року. Вони пов’язані в першу чергу з розповсюдженням дезінформації про НАТО. ЄС звинуватив цю групу в хакерстві німецьких урядовців. 

В січні заступник секретаря Ради національної безпеки і оборони Сергій Демедюк заявив Reuters, що Україна звинуватила в п’ятничній атаці, яка призвела до псування урядових веб-сайтів за допомогою погроз

23 березня урядова команда CERT-UA заявила про кібератаку на держорганізації України. Базуючись на аналізі специфічності VBScript-коду, який був використаний, спеціалісти команди заявили про середню впевненість в тому, що участь в кіберзлочині брала група Ghostwriter.

Sandworm (UAC-0082)

Цю групу називають «Пісчаний хробак кремля» — це група хакерів всередині російського уряду, яку вважають підрозділом ГРУ.

Фахівці вважають, що хакери Sandworm причетні до кібератаці на енергосистему в Україні в грудні 2015 року. Також на їх рахунку кібератака в 2017 році з використанням шкідливого програмного забезпечення NotPetya, втручання під час президентських виборів у Франції 2017 року, і кібератака на церемонії відкриття зимових Олімпійських ігор 2018 року.

Восени 2020 року Міністерство юстиції США визначило Sandworm як військову одиницю 74455 Головного розвідувального управління генерального штабу збройних сил рф після оприлюднення обвинувального акту заарештованих шістьох офіцерів цього підрозділу. Вони були звинувачені у змові з метою здійснення комп’ютерного шахрайства та зловживання, змові з метою здійснення шахрайства, шахрайства, пошкодження захищених комп’ютерів та крадіжки особистих даних при обтяжуючих обставинах.

У лютому 2022 року Sandworm нібито випустив зловмисне програмне забезпечення Cyclops Blink. Шкідливе програмне забезпечення схоже на VPNFilter. Шкідливе програмне забезпечення дозволяє створювати ботнет і впливає на маршрутизатори Asus і пристрої WatchGuard Firebox і XTM. CISA випустила попередження про це шкідливе програмне забезпечення.

На 8 квітня 2022 року, зловмисники групи планували відключення електричних підстанцій та виведення з ладу інфраструктури підприємства. Урядова команда  CERT-UA відстежили, як хакери здійснили кібератаку на об’єкти енергетики України з використанням шкідливих програм Industroyer2 та CaddyWiper, та завадили їй за сприяння компаній Microsoft та ESET. Фахівці вважають, що це перша атака за п’ять років, в якій використано варіант шкідливого програмного забезпечення Industroyer під назвою Industroyer2.

Scarab 

Хакерська група Scarab нібито пов’язана з урядом Китаю,такі висновки зробила американська охоронна компанія SentinelOne. За їх даними електронні листи, які розсилала Scarab, можливо, були створені на комп’ютері з використанням китайської мови. 

Є інформація, що ці хакери брали участь у кібератаках з 2012 року, щоб зібрати інформацію від російськомовних урядовців у всьому світі.

Вперше про вірус-шифрувальник Scarab департамент кіберполіції Нацполіції України сповістив в листопаді 2017 року, був виявлений фахівцями з кібербезпеки у червні 2017 року за допомогою спам-ботнета мережі Necurs.

Угруповання використовує зловмисне програмне забезпечення з бекдором, яке може служити для передачі інших шкідливих програм, призначених для крадіжки або знищення інформації.

Електронні листи були замасковані під архіви з відсканованими зображеннями, які містили архів із скриптом Visual Basic. Той в свою чергу запустив EXE-файл віруса Scarab ransomware. Вірус шифрує дані на комп’ютері та залишає на робочому столі текстовий файл «ЕСЛИ ВЫ ХОТИТЕ ПОЛУЧИТЬ ВСЕ ВАШИ файлы обратно, ПОЖАЛУЙСТА, ПРОЧТИТЕ ЙОГО.TXT», що відкривається автоматично, в якому зловмисники вимагають гроші за дешифровку зіпсованих даних.

В березні китайські хакери Scarab за допомогою спеціального бекдору HeaderTip атакували українські організації. За словами експертів компанії SentinelOne, хакери Scarab розсилають архів RAR з файлом, що виконується, призначеним для потайної установки шкідливої DLL-бібліотеки під назвою HeaderTip у фоновому режимі.

TA416 (Mustang Panda, RedDelta, Temp.Hex)

TA416 — інша хакерська група, пов’язана з Китаєм. Дани про це надала американська охоронна компанія Proofpoint. Хакери поширювали дистанційно керовані віруси, які надсилали в дипломатичні організації європейських країн електронною поштою. 

Mustang Panda вперше була виявлена у 2017 році CrowdStrike, але є ознаки того, що група діяла ще з 2014 року.

Хакери атакують державні установи та неурядові організації, особливо тих, хто критикує Китай. Група віддає перевагу неурядовим організаціям, які займаються соціальною, гуманітарною та екологічною політикою.

Угруповання відоме своїми атаками на організації, пов’язані з дипломатичними відносинами між Ватиканом та Комуністичною партією Китаю, а також на організації в М’янмі.

На початку 2022 року група переключилась на Європу на фоні загострення конфлікту між Україною та Росією. Китайські хакери націлилися на державні органи, які займаються біженцями, особливо наприкінці лютого після вторгнення російських військ, внаслідок чого їм вдалося зламати електронну пошту деяких співробітників.

Читайте головні IT-новини країни в нашому Telegram

По темi

Читайте головні IT-новини країни в нашому Telegram

Білоруські хакери зламували соцмережі українських військових і публікували заклики здаватися. 5 висновків зі звіту Meta

По темi

Білоруські хакери зламували соцмережі українських військових і публікували заклики здаватися. 5 висновків зі звіту Meta

Потрійний ріст кібератак, слід хакерів Gamaredon, нові деталі про атаку на «Укртелеком». Найцікавіше з брифінгу Держспецзв’язку

По темi

Потрійний ріст кібератак, слід хакерів Gamaredon, нові деталі про атаку на «Укртелеком». Найцікавіше з брифінгу Держспецзв’язку

Хакери Anonymous зламали російський Центробанк і помстилися компаніям, які не пішли з рф 

По темi

Хакери Anonymous зламали російський Центробанк і помстилися компаніям, які не пішли з рф

Хакери зламали один із супутників Viasat, що надавав українцям швидкісний інтернет. Наслідки атаки відчули далеко за межами України

По темi

Хакери зламали один із супутників Viasat, що надавав українцям швидкісний інтернет. Наслідки атаки відчули далеко за межами України