💳 Термінова новина! Trustee Plus — найкраще рішення для розрахунку криптою 👉
Вікторія ГорбікВійна
28 жовтня 2023, 10:01
2023-10-28
Не Gamaredon-ом єдиним. Хто здійснює кібератаки на Україну і у скількох з них російське коріння
За даними Держспецзвʼязку, одне з найбільш активних і дієздатних ворожих хакерських угрупувань, російський Gamaredon (UAC-0010, Armageddon) долучилось лише до 11 інцидентів критичного або високого рівня тяжкості. Але, як повідомляють експерти, їх активність збільшилась.
Тож, ми спитали у спеціалістів Держспецзвʼязку, які угрупування завдають найбільшої шкоди українцям, у скількох з них стирчать російські вуха.
За даними Держспецзвʼязку, одне з найбільш активних і дієздатних ворожих хакерських угрупувань, російський Gamaredon (UAC-0010, Armageddon) долучилось лише до 11 інцидентів критичного або високого рівня тяжкості. Але, як повідомляють експерти, їх активність збільшилась.
Тож, ми спитали у спеціалістів Держспецзвʼязку, які угрупування завдають найбільшої шкоди українцям, у скількох з них стирчать російські вуха.
Трохи теорії
Хакерів, які атакують Україну, можна умовно розділити на три групи:
Перша, найбільш небезпечна, — військові хакери. Це угрупування спецслужб російської федерації, які працюють цілеспрямовано по інфраструктурі нашої країни, виконують накази і мають серйозні ресурси.
Друга група — кіберзлочинці, які співпрацюють з урядом рф, але переслідують свої меркантильні цілі.
Третя — це так звані «хактивісти», люди з різним рівнем кваліфікації, які об’єднуються задля атак. Вони можуть контролюватися спецслужбами.
Хто здійснює кібератаки на Україну
Серед найбільш активних хакерських угруповань:
— Armageddon / Gamaredon (відстежується CERT-UA за ідентифікатором за UAC-0010). У 2022 році Gamaredon здійснив більше ста кібератак на Україну.
До Gamaredon належать хакери ялтинського підрозділу фсб — колишні співробітники СБУ в АРК, які зрадили свою Батьківщину та перейшли на бік ворога. Основною метою Gamaredon є шпигунство. Відмінною рисою фішингових розсилань угруповання є високий рівень їхньої підготовки: знання українського контексту та розуміння специфіки роботи тих чи інших організацій.
Це угрупування атакує державний сектор, державні підприємства,сектор безпеки й оборони та правоохоронні органи. Наприклад, Хакери Gamaredon намагаються дістати доступ до всіх можливих баз даних і видобути максимум інформації про автомобілі, їх пересування, камери спостереження, ситуацію на дорогах, арешти тощо.
— Ще одна активна хакерська група — Sandworm / UAC-0002 (UAC-0082 / UAC-0165), діяльність якої асоціюється з гу гш зс рф (раніше — ГРУ). У січні 2023 року це угрупування здійснило кібератаку на Українське національне інформаційне агентство УКРІНФОРМ. У квітні 2022 року — на один з енергетичних об’єктів України з використанням шкідливих програм Industroyer2 та CaddyWiper.
— У минулому році також багато кібератак намагалася здійснити група UAC-0056 (Pandora hVNC, RemoteUtilities, GrimPlant, GraphSteel): хактивісти-кібершпигуни з рф. Приклад: протягом 2022 року було кілька випадків розсилання небезпечних листів з ШПЗ. Використовують актуальні теми. Розсилання, зокрема, здійснювали зі скомпрометованих електронних адрес державних органів України.
— Група UAC-0098 (TrickBot — група асоційована з рф): фінансово мотивована у минулому хакерська група, яка в даний час діє в інтересах уряду РФ. Приклад: у квітні 2022 року здійснювала кібератаку на державні організації України шляхом розсилання небезпечних електронних листів з використанням теми «Азовсталі» та шкідливої програми Cobalt Strike Beacon.
— Угрупування UAC-0035 (InvisiMole). Цих хакерів пов’язують з Службою зовнішньої розвідки рф. Група здійснює повільні та «тихі» атаки, спрямовані на шпигунство. Їхньою основною мішенню є високопосадовці, дипломати та інші фахівці, які мають доступ до найбільш чутливої інформації. Оскільки такі «тихі» атаки складніше виявити, вони можуть мати більш критичні наслідки.
— Хакери угрупування UAC-0028 (АРТ28) (також відоме як Pawn Storm, Fancy Bear, BlueDelta), яке низка дослідників пов’язують зі спецслужбами рф, часто спрямовують свої зусилля проти України:
— у липні 2023 року CERT-UA виявила кібератаку АРТ28, спрямовану на викрадення даних українців для входу в поштові сервіси;
— у червні завдяки співпраці з Recorded Future виявили шпигунську кампанію проти українських організацій ();
— а у квітні кіберзловмисники намагалися атакувати держоргани України фейковими «оновленнями операційної системи».
— Група UAC-0100: шахрайська група, діє з метою викрадення коштів громадян України. Шахрайська активність, що здійснюється невстановленою групою осіб шляхом створення фейкових веб-сторінок та сторінок в соціальних мережах з використанням тематики «грошових допомог», «компенсацій», «опитувань» з метою викрадення даних платіжних карток. В цьому випадку ми не можемо однозначно стверджувати, що ця група є асоційованою з рф.
В першій половині 2023 року команда реагування на комп’ютерні надзвичайні події CERT-UA зафіксувала постійну діяльність щонайменше 23 російських кібертерористичних хакерських груп. Усі вони переслідують різні цілі, зокрема і воєнні, та атакують державний і приватний сектори.
У 2023 році найбільш активними угрупованнями були UAC-0010 (Gamaredon / ФСБ), UAC-0056 (Ember Bear / гу гш зс рф (ГРУ), UAC-0028 (APT28 / (гу гш зс рф (ГРУ), UAC-0002 (UAC-0082 / UAC-0165 / Sandworm / (гу гш зс рф (ГРУ), UAC-0003 (UAC-0024 / Turla / (гу гш зс рф (ГРУ), UAC-0004 (UAC-0029 / APT29 / СВР), UAC-0109 (Заря — група асоційована з рф), UAC-0100, UAC-0106 (XakNet — група асоційована з рф), UAC-0107 (CyberArmyofRussia — група асоційована з рф). Зареєстровані кібератаки було асоційовано з цими APT-угрупованнями.
Якщо розглянути розподіл інцидентів і суб’єктів загрози (представлених вище) та зосередитися на найбільш болючих і загрозливих (зображених на рисунку нижче), стає очевидним, що провідну роль відіграють команди військової розвідки гу гш зс рф (ГРУ) — ідентифіковані як UAC-0056 (Ember Bear), UAC-0028 (APT28) і UAC-0002 (UAC-0082 / UAC-0165 / Sandworm. На них припадає 50 серйозних інцидентів.
На противагу цьому, діяльність команди ФСБ — UAC-0010 (Gamaredon) — призвела лише до 11 інцидентів критичного або високого рівня тяжкості (як показано нижче) із загальної кількості у 103 інциденти, асоційовані з їхніми TTP, які ми спостерігали за період моніторингу серед усього спектру організацій, що зверталися до нас або перебувають під нашим захистом.
Результати нашого аналізу свідчать, що кіберпідрозділу ФСБ Gamaredon вдалося значно збільшити загальну кількість операцій. Якщо за увесь 2022 рік CERT-UA зареєструвала 128 випадків, то лише за перше півріччя 2023 року — вже 103. Проте не всі з них були настільки успішними, як раніше.
Аналітика щодо діяльності груп ФСБ. UAC-0010 / Gamaredon
Як наведено в аналітиці вище, ретельніше дослідження зареєстрованих інцидентів показує, що угруповання UAC-0010 демонструвало помітне зростання продуктивності. Кількість зареєстрованих випадків, пов’язаних із цією групою, зросла з 76 у другому півріччі 2022 року до 103 у першому півріччі 2023 року.
Таке значне зростання кількості кібероперацій разом зі зміною фокусу і тактики порівняно з попередніми періодами можна пов’язати з декількома факторами. Зокрема, ми спостерігаємо серйозне розповсюдження інструментів, інструкцій, західних книжок — всього, що дозволяє збільшити залучення талановитої молоді до хакінгу.
Ми вважаємо, що Gamaredon зумів збільшити чисельність і потенціал команди завдяки вливанню нових талантів із величезного пулу кваліфікованих працівників росії та мобілізації IT-фахівців із приватного сектора для служби в армії рф.
Як зазначалося в матеріалі Держспецзвʼязку, кількість одночасно інфікованих UAC-0010 / FSB / Gamaderon комп’ютерів, які функціонують переважно в межах інформаційно-комунікаційних систем державних органів України, може сягати кількох тисяч. Як вектор первинної компрометації зловмисники здебільшого використовують електронні листи та повідомлення в месенджерах (Telegram, WhatsApp, Signal), які переважно розповсюджують за допомогою заздалегідь скомпрометованих облікових записів.
У першому півріччі 2023 р. UAC-0010 демонструвало явну зацікавленість щодо усіх напрямів правоохоронної діяльності (54,1% їхніх випадків), а також проявляло стійкий інтерес до всіх організацій, пов’язаних із силами оборони України. Маючи потужні людські ресурси, ця група застосовує примітивні, проте досить результативні методи.
Ми припускаємо, що старі оператори повертаються до відомих мішеней, тоді як новачки працюють над проникненням до нових жертв (брокери доступу). Через суттєве покращення приватно-державної співпраці та взаємодії між ключовими суб'єктами кіберзахисту в країні вони стикаються з труднощами у збереженні і підтриманні доступу. Тож змушені прискорювати проникнення і відхід та не «спалювати» жертв, до яких вони успішно підтримують доступ.
Аналітика щодо діяльності груп гу гш зс рф (ГРУ). Sandworm UAC-0002 (UAC-0082 / UAC-0165)
Медіа є цікавою та актуальною мішенню для військових хакерів із Головного управління Генерального штабу ЗС російської федерації. Незважаючи на те, що це суто цивільна ціль, з погляду російського командування ЗМІ є важливими для воєнних та інформаційних операцій. Тож вони і надалі перебуватимуть під прицілом російських хакерів у формі. Адже характерною рисою цієї гібридної війни є використання хакерських інструментів в операціях впливу: це стало візитівкою російської федерації.
Це свідчить про збереження російського підходу, спрямованого на завдання шкоди цивільній інфраструктурі поза традиційним театром бойових дій.
Цей підхід передбачає використання агресивної пропаганди, а також ракетних і дронових ударів по критичних об’єктах енергетики і шляхах експорту аграрної продукції. Це стратегічне бачення знаходить своє відображення у завданнях, поставлених перед військовими хакерами, оскільки значна частка їхніх кібератак спрямована проти важливих цивільних служб, як-от ЗМІ, комунікаційних мереж та громадського сектора.
Крім того, вони полюють за обліковими записами окремих військовослужбовців, які мають доступ до певних важливих військових платформ.
Після повномасштабного вторгнення росії в Україну в більшості випадків, до яких причетна група Sandworm, кінцевою метою цієї АРТ є здійснення руйнівних кібератак, пов’язаних зі стиранням серверів, виведенням із ладу систем віртуалізації, відключенням активного мережевого обладнання, видаленням даних із систем зберігання і шифруванням кінцевих точок.
Енергетичний сектор — один з їхніх улюблених. У певних випадках своєчасно виявлені спроби хакерів здійснити атаки на енергетичні об’єкти підтверджують факт застосування конкретної тактики багатоетапного впливу: знеструмлення, знищення контролю підстанції, знищення проміжної телекомунікаційної підстанції (модему), руйнування робочої станції працівника і затирання серверного обладнання.
Складність атак на енергетичний сектор істотно підвищилася, оскільки хакерам відомо, що ці мережі та компанії (з 2014 року) мають схожу будову і спільні слабкі місця чи передові практики захисту. Це дало їм змогу краще готувати операції.
«Хактивісти» Killnet, HackNet, Zarya, NoName057, Anonymous Russia
Більшість атак було зафіксовано з боку Killnet, NoName057(16), XakNet, Anonymous Russia і Cyber Army of Russia. Всі вищезазначені групи — асоційовані з рф.
Ці хакерські групи насправді співпрацюють між собою. Вони атакували ті самі або схожі цілі та перепощували повідомлення одна одної в соцмережах. Втім, їхні заяви рідко описують характер ймовірних кібератак.
Протягом першої половини 2023 р. ми помітили зростання кількості інформаційних операцій із кіберскладовою. Ця категорія охоплює широкий спектр дій — від скоординованої нетипової поведінки в соціальних мережах із просуванням наративів, пов’язаних із війною росії проти України, до витоків начебто здобутих «хактивістами» даних, спрямованих на завдання репутаційної шкоди.
Суб’єкти загрози публікували нібито ексфільтровані дані (в тому числі шляхом зламу й витоку) з різних причин:
щоб довести факт заявленого втручання;
щоб завдати шкоди репутації жертви;
щоб вплинути на громадську думку або як зразок більшого масиву даних для продажу.
Більше інформації про те як змінюються тактики, цілі і спроможності хакерських груп уряду рф та контрольованих ним угруповань можна дізнатися в аналітичному звіті Держспецзв’язку Russia’s Cyber Tactics H1’2023, в якому ми проаналізували та дослідили кіберзагрози з боку російських хакерських угруповань у 2022 році та у першому півріччі 2023 року, а також зміни в поведінці кіберзловмисників.
Перші півтора роки війни показали, що потенціал російських хакерів був дещо переоцінений. росія, як виявилося, не така сильна, як це пропагувалося останні роки. Але навіть попри те, що росіянам поки не вдалося досягти якихось стратегічних цілей у кіберагресії, ми чітко усвідомлюємо, що ворог — підступний і небезпечний, має великі ресурси. Розуміємо, що вони можуть використовувати час і розробляти інструменти для подальших атак на Україну. Ми маємо низку можливих сценарії розвитку подій у кіберпросторі і здійснюємо підготовку, спираючись на найменш оптимістичні з них.
УЧАСТЬ В АЗАРТНИХ ІГРАХ МОЖЕ ВИКЛИКАТИ ІГРОВУ ЗАЛЕЖНІСТЬ. ДОТРИМУЙТЕСЯ ПРАВИЛ (ПРИНЦИПІВ) ВІДПОВІДАЛЬНОЇ ГРИ.
Ліцензія видана ТОВ "СЛОТС Ю.ЕЙ." на провадження діяльності з організації та проведення азартних ігор казино у мережі Інтернет від 15.09.23 (рішення КРАІЛ №245 від 31.08.2023); ТОВ "СЛОТС Ю.ЕЙ." – на провадження діяльності з організації та проведення азартних ігор казино у мережі Інтернет від 26.04.2021 (рішення КРАІЛ №150 від 12.04.2021); ТОВ «СПЕЙСИКС» – на провадження діяльності з організації та проведення азартних ігор казино у мережі Інтернет від 08.02.2021 (рішення КРАІЛ №34 від 02.02.2021); ТОВ «ГЕЙМДЕВ» – на провадження діяльності з організації та проведення азартних ігор казино у мережі Інтернет від 16.02.2021 (рішення № 47 від 10.02.2021).
«Росіяни завжди хочуть когось трахнути». Микита Книш розповів FT, як українські хакери видавали себе за дівчат, зламували камери відеоспостереження та россайти заради перемоги
Видання Financial Times опублікувало статтю про роботу українських хакерів у війні проти рф, засновану на розмові з українським білим хакером Микитою Книшем. Він, як і сотні інших хакерів, допомагає боротися із російськими загарбниками в кіберпросторі. Наводимо адаптований переклад матеріалу.
