💳 Термінова новина! Trustee Plus — найкраще рішення для розрахунку криптою 👉
Вікторія ГорбікТакая жизнь
14 апреля 2022, 17:10
2022-04-14
Война миров. Тысячи хакеров в мире воюют на киберфронте: кто из них на стороне Украины, а кто против нас?
Война, начатая Россией против Украины, ведется и на киберфронте. И помимо официально провозглашенной IT ARMY of Ukraine, задействованными силами есть и другие отдельные хакерские группировки. Силы и предпочтения здесь тоже разделились.
Мы собрали группы хакеров, которые выступают как за Украину, так и воюют на противоположной стороне, поддерживая агрессора.
Этот список будет обновлен. Если у вас есть информация о деятельности любых групп на киберфронте, просим сообщать по адресу [email protected]
Война, начатая Россией против Украины, ведется и на киберфронте. И помимо официально провозглашенной IT ARMY of Ukraine, задействованными силами есть и другие отдельные хакерские группировки. Силы и предпочтения здесь тоже разделились.
Мы собрали группы хакеров, которые выступают как за Украину, так и воюют на противоположной стороне, поддерживая агрессора.
Этот список будет обновлен. Если у вас есть информация о деятельности любых групп на киберфронте, просим сообщать по адресу [email protected]
За Украину
Anonymous
Международная группировка начала свою деятельность с 2003 года. Это сообщество почти не знакомых между собой хакеров, после вторжения российских войск в Украину, объявивших кибервойну рф.
Anonymous не имеют четкой иерархии или структуры. Свою идеологию овны иллюстрируют цитатой: «Мы против корпораций и правительств, которые вмешиваются в Интернет. Мы считаем, что Интернет должен быть открытым и свободным для всех. Мы не забываем, мы не прощаем, нас — легион!»
С начала войны 24 февраля Anonymous обнародовали базу данных компании Nestle за отказ уйти с рынка агрессора, однако компания сказала, что утечка данных произошла по вине сотрудников.
Кроме того, они сломали Центральный банк России и обнародовали более 35 000 файлов с секретными соглашениями.
В марте хакеры сломали и обнародовали файлы с компьютеров сотрудников и руководителей Rosneft Deutschland, немецкого филиала российского гиганта «Роснефть». Компания подтвердила проблемы безопасности.
Кроме этого, участники группировки слили файлы «Роскомнадзора». Но обнародовали более 400 000 новых электронных писем из трех российских источников, включая более 100 000 писем от нефтяной, газовой и лесозаготовительной промышленности.
Все это кроме многочисленных атак на сайты российских госучреждений и других структур, в частности телеканал RT, сайты «Известия», ТАСС, «Коммерсант», Forbes, РБК и другие.
Against The West (ATW) (связан с Anonymous)
Группа хакеров, связывающая себя с Anonymous, сломала и раскрыла базу данных «Газпрома». Слитные данные включают в себя информацию, связанную с исходным кодом компании и проектами WellPro.
NB65 (связанные с Anonymous)
Группа «Сетевой батальон 65» (Network Battalion 65) появилась в Twitter с февраля 2022 года и имеет более 167 000 подписчиков.
Хакеры 1 апреля сломали и обнародовали более 150 000 электронных писем, 8 200 файлов и несколько сотен гигабайт баз данных от государственной компании «Мосэкспертиза», от Московской торгово-промышленной палаты. На вопрос об условиях, на которых данные могут быть возвращены, NB65 ответили: «Если требования выкупа будут удовлетворены, платеж будет передан на гуманитарные нужды в Украину».
А 8 апреля твитнули запись с камеры безопасности, расположенной в московском кинотеатре «Родина».
«Доброе утро, Москва. Просто хотели, чтобы вы знали, что мы наблюдаем. Камеры безопасности не очень защищены в „Родине“, не правда ли?» — пишут они.
Thblckrbbtworld (действуют от имени Anonymous)
В Twitter группа зарегистрирована с декабря 2021 года.
27 февраля они твитнули: «Путин угрожает невиновным людям ядерным оружием. Мы всегда здесь ради невинных. Многие сайты gov (.)ru сломаны! Опубликованы критические документы!»
После этого представители группы «Мира Черного Кролика» (The Black Rabbit World) сливали ядерные файлы Беларуси и полный список официальных служебных устройств России, сломали морское подразделение связи России, обнародовали документы «Росатом» и сломали их серверы, слили секретную информацию из министерства. экономики и многие другие атаки на госресурсы, экономический и энергетический сектор России. Отдельным акцентом стало подключение к видеонаблюдению замка Кремля.
HackenProof
Группа украинских белых хакеров, сотрудничающих с киберполицией и СБУ. С 27 февраля союз также присоединился к кибервойне и DDoS-атак на России. С этого момента украинские хакеры ввели Bug Bounty-программу для криптобиржи Coinstore.com, платформы Web3 и платформы цифровых активов BitForex и предоставляет вознаграждения киберспециалистам за поиск багов и уязвимостей.
IT Army of Ukraine
26 февраля министр цифровой трансформации Михаил Федоров заявил о создании армии IT-специалистов для борьбы в киберпространстве. Для размещения оперативных задач создали отдельный Telegram-канал, в настоящее время около 300 000 подписчиков. Как написал глава Минцифры, задачи найдутся для всех.
Атаки направлены на сервисы для бизнеса в России, онлайн-телевидения, звонят по телефону семьям российской армии мародеров, которые обокрали украинские мирные семьи. Кроме того, воюющие на киберфронте хакеры совершают атаки на министерства, на систему маркировки товаров.
HackYourMom
Это Telegram-канал украинского белого хакера Никиты Кныша, который вместе с единомышленниками сформировал «дивные войска» и благодаря им атакует россию на киберфронте.
Сейчас они распространяют вирусы шифровальщики по России, среди всех IТшников, кто хочет помочь зашифровав российскую систему. А также массово выводят из строя роутеры/модемы/системы видеонаблюдения в РФ и отгружают все данные в СБУ.
В свои ряды Никита и его хакеры приглашают не только IT-специалистов. Как пишет Никита, для выполнения некоторых задач даже не нужен компьютер, достаточно будет только телефона.
Гильдия IT-специалистов
Гильдия IT-специалистов — это независимое профессиональное ИТ-объединение Украины официально зарегистрированное в 2021 году. У организации есть президент, им с декабря 2021 года стал QA специалист Тарас Роскошный.
Для борьбы на киберфронте IT-специалисты гильдии разработали инструкцию по взлому веб-сервисов страны-агрессора и систему автоматического дозвона до абонентов в России и Беларуси, чтобы донести правду о войне в Украине. Справочники по номерам телефонов Южного военного округа России, адресам и номерам телефонов российских и белорусских военнослужащих, номерам телефонов сотрудников КГБ Беларуси, главному управлению связи вооруженных сил России.
Против Украины
Armageddon (UAC-0010)
Armageddon — это в первую очередь название хакерской атаки на кэш многоядерных ARM-процессоров. Впервые ее представили на конференции Usenix Security Symposium 5 изобретателей весной 2016 года. Перед ARMageddon уязвимы сотни миллионов устройств, в первую очередь смартфоны, планшеты и IoT-гаджеты.
Группа хакеров UAC-0010 (Armageddon) неоднократно производила кибератаки на госучреждения Украины и страны ЕС.
Команда CERT-UA, действующая при Госспецсвязи, предупреждает, что члены группы, в том числе, используют Dynamic DNS сервис NO-IP. То есть специалисты предупреждают, что необходимо обращать особое внимание на соединение с доменными именами, используемыми упомянутым сервисом.
Специалисты CERT-UA обнаружили в конце марта 2022 несколько RAR-архивов с именами «Assistance.rar», «Necessary_military_assistance.rar». Каждый из таких архивов содержал вредоносные файлы-ярлыки. Использование английского языка в названиях файлов и тексте электронного письма, а также тот факт, что письмо направлено в адрес государственного органа Латвии, однозначно свидетельствует по мнению специалистов об атаках группой UAC-0010 (Armageddon) на государственные органы стран ЕС.
Правительственная команда также выявила распространение среди госорганов Украины электронных писем по теме «Информация о военных преступниках РФ». Находившийся в письмах HTML-файл «Военные преступники РФ.htm» приводил к созданию на компьютере RAR-архива «Viyskovi_zlochinci_RU.rar». Файл-ярлык из которого под названием «Военные-преступники уничтожающие Украину (домашние адреса, фото, номера телефонов, страницы в социальных сетях).lnk» с помощью VBScript-кода загружал и запускал powershell-скрипта «get.php» (GammaLoad. PS1). Скрипт определял уникальный идентификатор компьютера (на основе имени компьютера и серийный номер системного диска) и передавал эту информацию для использования на сервере управления.
Последней атакой Armageddon стала массовая рассылка электронных писем «№ 1275 от 07.04.2022», содержащая HTML-файл. Он создает на компьютере архив под названием «О фактах преследования и убийства работников Прокуратуры со стороны российских военных на временно оккупированных территориях.lnk», при распаковке которого злоумышленники могут получить доступ к конфиденциальной информации, повредить данные и компьютерные системы.
Fancy Bear (APT28, Sofacy, Pawn storm, Sednit и Strontium)
Первое упоминание об группировке появилось с сентября 2016 года, когда ответственность за кибератаку на Всемирное антидопинговое агентство Fancy Bear взяли на себя. Вместе с тем появился сайт fancybear.net. Представители ВАДА обвинили во взломе россия, но в то время этому были лишь косвенные доказательства, а именно комментарии в коде на кириллице, версии операционных систем, на которых писался код, часовые пояса, а главное, потому, что технологии, которые использовали взломщики, пересекались с технологиями других русскоязычных хакерских групп.
Первые официальные обвинения Fancy Bear предъявило в январе 2017 года разведывательное сообщество Соединенных Штатов во взломе серверов внутренней сети Демократической партии США. Полтора года спустя подробности, подтвердившие эти обвинения, появились в судебных документах после ареста 12 сотрудников ГРУ. Они разрабатывали, тестировали и применяли вредоносную программу X-Agent, которую часто использовали хакеры Fancy Bear.
По данным специалистов из Cluster25, в начале марта 2021 года хакеры группы APT28 начали фишинговую атаку с использованием вредоносного ПО SkinnyBoy. Он доставляется через встроенный макрос документа Microsoft Word, извлекающий файл DLL. Конкретно этот файл выступает как загрузчик вредителей. Прелестью для таких почтовых вложений выступали поддельные приглашения на международное научное мероприятие, которое должно состояться в Испании в конце июля.
7 апреля корпорация Microsoft Corp сделала заявление, что ей удалось предотвратить взлом многих серверов в Украине, странах ЕС и США, который пыталось осуществить группировку Strontium, использовав семь интернет-доменов.
В течение недели несколько крупных фишинговых кампаний против пользователей ukr.net устроили хакеры Fancy Bear.
Ghostwriter (UNC1151)
Хакерская группа, страну происхождения которой по данным аналитической компании по кибербезопасности Mandiant предполагают как Беларусь. Верховный представитель ЕС по иностранным делам и политике безопасности Жозеп Боррель в сентябре 2021 года в своем заявлении связал деятельность киберзлоумышленников с российским государством.
В заявлении Боррель акцентирует внимание, что деятельность хакеров была направлена на кражи личных данных и учетных записей многочисленных членов парламентов, чиновников, политиков, представителей прессы и гражданского общества в ЕС.
Первые активные данные о начале деятельности группы Ghostwriter Mandiant называют с 2016 года. Они связаны в первую очередь с распространением дезинформации о НАТО. ЕС обвинил эту группу в хакерстве немецких чиновников.
В январе заместитель секретаря Совета национальной безопасности и обороны Сергей Демедюк заявил Reuters, что Украина обвинила в пятничной атаке, приведшей к порче правительственных веб-сайтов с помощью угроз
23 марта правительственная команда CERT-UA заявила о кибератаке на госорганизации Украины. Основываясь на анализе специфичности VBScript-кода, который был использован, специалисты команды заявили о средней уверенности в том, что участие в киберпреступлении принимала группа Ghostwriter.
Sandworm (UAC-0082)
Эту группу называют «Песчаный червь кремля» — это группа хакеров внутри российского правительства, которую считают подразделением ГРУ.
Специалисты считают, что хакеры Sandworm имеют отношение к кибератаке на энергосистему в Украине в декабре 2015 года. Также на их счету кибератака в 2017 году с использованием вредоносного программного обеспечения NotPetya, вмешательства во время президентских выборов во Франции 2017 года, и кибератака на церемонии открытия зимних Олимпийских игр в 2018 году.
Осенью 2020 года Министерство юстиции США определило Sandworm как военную единицу 74455 Главного разведывательного управления генерального штаба вооруженных сил России после обнародования обвинительного акта арестованных шести офицеров этого подразделения. Они были обвинены в сговоре с целью совершения компьютерного мошенничества и злоупотребления, сговоре с целью совершения мошенничества, мошенничества, повреждения защищенных компьютеров и кражи личных данных при отягчающих обстоятельствах.
В феврале 2022 года Sandworm якобы выпустил вредоносное программное обеспечение Cyclops Blink. Вредоносное ПО похоже на VPNFilter. Вредоносное ПО позволяет создавать ботнет и влияет на маршрутизаторы Asus и устройства WatchGuard Firebox и XTM. CISA выпустила предупреждение об этом вредоносном программном обеспечении.
На 8 апреля 2022 г. злоумышленники группы планировали отключение электрических подстанций и выведение из строя инфраструктуры предприятия. Правительственная команда CERT-UA отследила, как хакеры осуществили кибератаку на объекты энергетики Украины с использованием вредоносных программ Industroyer2 и CaddyWiper, и помешали ей при содействии компаний Microsoft и ESET. Специалисты считают, что это первая атака за пять лет, в которой использован вариант вредоносного ПО Industroyer под названием Industroyer2.
Scarab
Хакерская группа Scarab якобы связана с правительством Китая, такие выводы сделала американская охранная компания SentinelOne. По их данным, электронные письма, которые рассылала Scarab, возможно, были созданы на компьютере с использованием китайского языка.
Есть информация, что эти хакеры участвовали в кибератаках с 2012 года, чтобы собрать информацию от русскоговорящих чиновников по всему миру.
Впервые о вирусе-шифровке Scarab департамент киберполиции Нацполиции Украины сообщил в ноябре 2017 года, был обнаружен специалистами по кибербезопасности в июне 2017 года с помощью спам-ботнета сети Necurs.
Группировка использует вредоносное ПО с бэкдором, которое может служить для передачи других вредоносных программ, предназначенных для кражи или уничтожения информации.
Электронные письма были замаскированы под архивы с отсканированными изображениями, содержащими архив со скриптом Visual Basic. Он в свою очередь запустил EXE-файл вируса Scarab ransomware. Вирус шифрует данные на компьютере и оставляет на рабочем столе текстовый файл «Если вы хотите получить все ваши файлы обратно, пожалуйста, прочтите его.TXT», что открывается автоматически, в котором злоумышленники требуют деньги за дешифровку испорченных.
В марте китайские хакеры Scarab с помощью специального бэкдора HeaderTip атаковали украинские организации. По словам экспертов компании SentinelOne, хакеры Scarab рассылают архив RAR с выполняемым файлом, предназначенным для потайной установки вредоносной DLL-библиотеки под названием HeaderTip в фоновом режиме.
TA416 (Mustang Panda, RedDelta, Temp.Hex)
TA416 — другая хакерская группа, связанная с Китаем. Данные об этом представила американская охранная компания Proofpoint. Хакеры распространяли дистанционно управляемые вирусы, которые посылали в дипломатические организации европейских стран по электронной почте.
Mustang Panda впервые была обнаружена в 2017 году CrowdStrike, но есть признаки того, что группа действовала еще с 2014 года.
Хакеры атакуют государственные учреждения и неправительственные организации, особенно критикующих Китай. Группа предпочитает неправительственные организации, занимающиеся социальной, гуманитарной и экологической политикой.
Группировка известна своими атаками на организации, связанные с дипломатическими отношениями между Ватиканом и Коммунистической партией Китая, а также на организации в Мьянме.
В начале 2022 года группа переключилась на Европу на фоне обострения конфликта между Украиной и Россией. Китайские хакеры нацелились на государственные органы, занимающиеся беженцами, особенно в конце февраля после вторжения российских войск, в результате чего им удалось сломать электронную почту некоторых сотрудников.
Хакеры сломали один из спутников Viasat, предоставлявший украинцам скоростной интернет. Последствия атаки ощутили далеко за пределами Украины
УЧАСТЬ В АЗАРТНИХ ІГРАХ МОЖЕ ВИКЛИКАТИ ІГРОВУ ЗАЛЕЖНІСТЬ. ДОТРИМУЙТЕСЯ ПРАВИЛ (ПРИНЦИПІВ) ВІДПОВІДАЛЬНОЇ ГРИ.
Ліцензія видана ТОВ "СЛОТС Ю.ЕЙ." на провадження діяльності з організації та проведення азартних ігор казино у мережі Інтернет від 15.09.23 (рішення КРАІЛ №245 від 31.08.2023); ТОВ "СЛОТС Ю.ЕЙ." – на провадження діяльності з організації та проведення азартних ігор казино у мережі Інтернет від 26.04.2021 (рішення КРАІЛ №150 від 12.04.2021); ТОВ «СПЕЙСИКС» – на провадження діяльності з організації та проведення азартних ігор казино у мережі Інтернет від 08.02.2021 (рішення КРАІЛ №34 від 02.02.2021); ТОВ «ГЕЙМДЕВ» – на провадження діяльності з організації та проведення азартних ігор казино у мережі Інтернет від 16.02.2021 (рішення № 47 від 10.02.2021).
«Россияне всегда хотят кого-то трахнуть». Никита Кныш рассказал FT, как украинские хакеры выдавали себя за девушек, взламывали камеры видеонаблюдения и россайты ради победы
Издание Financial Times опубликовало статью о работе украинских хакеров в войне против России, основанную на разговоре с украинским белым хакером Никитой Кнышем. Он, как и сотни других хакеров, помогает бороться с русскими захватчиками в киберпространстве. Приводим адаптированный перевод материала.
