Не Gamaredon-ом единственным. Кто осуществляет кибератаки на Украине и у скольких из них русские корни

Немного теории

Хакеров, атакующих Украину, можно условно разделить на три группы:

• Первая, наиболее опасная, — военные хакеры. Эта группировка спецслужб российской федерации, работающая целенаправленно по инфраструктуре нашей страны, выполняющая приказы и имеющая серьезные ресурсы.
• Вторая группа — киберпреступники, которые сотрудничают с правительством России, но преследуют свои меркантильные цели.
• Третья — это так называемые «хактивисты», люди с разным уровнем квалификации, которые объединяются для атак. Они могут контролироваться спецслужбами.

Кто осуществляет кибератаки на Украине

Среди наиболее активных хакерских группировок:

- Armageddon / Gamaredon (отслеживается CERT-UA по идентификатору UAC-0010). В 2022 году Gamaredon осуществил более ста кибератак в Украине.

В Gamaredon относятся хакеры ялтинского подразделения ФСБ — бывшие сотрудники СБУ в АРК, предавшие свою Родину и перешедшие на сторону врага. Основной целью Gamaredon является шпионаж. Отличительной особенностью фишинговых рассылок группировки является высокий уровень их подготовки: знание украинского контекста и понимание специфики работы тех или иных организаций.

Эта группировка атакует государственный сектор, государственные предприятия, сектор безопасности и обороны и правоохранительные органы. Например, Хакеры Gamaredon пытаются получить доступ ко всем возможным базам данных и извлечь максимум информации об автомобилях, их передвижении, камерах наблюдения, ситуации на дорогах, арестах и ​​т.д.

— Еще одна активная хакерская группа — Sandworm/UAC-0002 (UAC-0082/UAC-0165), деятельность которой ассоциируется с гу гшсс рф (ранее — ГРУ). В январе 2023 года эта группировка провела кибератаку на Украинское национальное информационное агентство УКРИНФОРМ. В апреле 2022 года — на один из энергетических объектов Украины с использованием вредоносных программ Industroyer2 и CaddyWiper.

— В прошлом году также многие кибератаки пыталась осуществить группа UAC-0056 (Pandora hVNC, RemoteUtilities, GrimPlant, GraphSteel): хактивисты-кибершпионы из России. Пример: в течение 2022 года было несколько случаев рассылки опасных писем из ШПЗ. Употребляют актуальные темы. Рассылку, в частности, осуществляли по скомпрометированным электронным адресам государственных органов Украины.

— Группа UAC-0098 (TrickBot — группа ассоциированная с РФ): финансово мотивированная в прошлом хакерская группа, которая в настоящее время действует в интересах правительства РФ. Пример: в апреле 2022 г. осуществляла кибератаку на государственные организации Украины путем рассылки опасных электронных писем с использованием темы «Азовстали» и вредоносной программы Cobalt Strike Beacon.

— Группировка UAC-0035 (InvisiMole). Этих хакеров связывают со Службой внешней разведки России. Группа совершает медленные и «тихие» атаки, направленные на шпионаж. Их основной мишенью являются высокопоставленные должностные лица, дипломаты и другие специалисты, имеющие доступ к наиболее чувствительной информации. Поскольку такие «тихие» атаки сложнее выявить, они могут иметь более критические последствия.

— Хакеры группировки UAC-0028 (АРТ28) (также известный как Pawn Storm, Fancy Bear, BlueDelta), которую ряд исследователей связывают со спецслужбами РФ, часто направляют свои усилия против Украины:

— в июле 2023 года CERT-UA обнаружила кибератаку АРТ28, направленную на угон данных украинцев для входа в почтовые сервисы;

— в июне благодаря сотрудничеству с Recorded Future обнаружили шпионскую кампанию против украинских организаций ();

— а в апреле киберзлоумышленники пытались атаковать госорганы Украины фейковыми «обновлениями операционной системы».

— Группа UAC-0100: мошенническая группа, действует с целью похищения средств граждан Украины. Мошенническая активность, осуществляемая неустановленной группой лиц путем создания фейковых веб-страниц и страниц в социальных сетях с использованием тематики «денежных пособий», «компенсаций», «опросов» с целью похищения данных платежных карт. В этом случае мы не можем однозначно утверждать, что эта группа ассоциирована с РФ.

В первой половине 2023 года команда реагирования на компьютерные ЧП CERT-UA зафиксировала постоянную деятельность по меньшей мере 23 российских кибертеррористических хакерских групп. Все они преследуют разные цели, в том числе и военные, и атакуют государственный и частный секторы.

В 2023 году наиболее активными группировками были UAC-0010 (Gamaredon / ФСБ), UAC-0056 (Ember Bear / гу гш зс рф (ГРУ), UAC-0028 (APT28 / (гу гш сс рф (ГРУ)), UAC-0002 (UAC-0082 / UAC-0165 / Sandworm / (ГУ ГШ ЗС РФ (ГРУ), UAC-0003 (UAC-0024 / Turla / (ГУ ГШ ЗС РФ (ГРУ), UAC-0004 (UAC-0029 / APT29 / СВР)), UAC-0109 (Заря — группа ассоциирована с РФ), UAC-0100, UAC-0106 (XakNet — группа ассоциирована с РФ), UAC-0107 (CyberArmyofRussia — группа ассоциирована с РФ) Зарегистрированные кибератаки были ассоциированы с этими APT .

Если рассмотреть распределение инцидентов и субъектов угрозы (представленных выше) и сосредоточиться на наиболее болезненных и угрожающих (изображенных на рисунке ниже), становится очевидным, что ведущую роль играют команды военной разведки гу гш с рф (ГРУ) — идентифицированы как UAC-0056 (Ember Bear), UAC-0028 (APT28) и UAC-0002 (UAC-0082/UAC-0165/Sandworm), на них приходится 50 серьезных инцидентов.

В противоположность этому, деятельность команды ФСБ — UAC-0010 (Gamaredon) — привела лишь к 11 инцидентам критического или высокого уровня тяжести (как показано ниже) из общего количества в 103 инцидента, ассоциированные с их TTP, которые мы наблюдали за период мониторинга среди всего спектра организаций, которые обращались к нам или находятся под нашей защитой.

Результаты нашего анализа свидетельствуют, что киберподразделению ФСБ Gamaredon удалось значительно увеличить общее количество сделок. Если за весь 2022 год CERT-UA зарегистрировала 128 случаев, то только за первое полугодие 2023 года уже 103. Однако не все из них были настолько успешными, как раньше.

Аналитика по деятельности групп ФСБ. UAC-0010 / Гамаредон

Как приведено в аналитике выше, более тщательное исследование зарегистрированных инцидентов показывает, что группировка UAC-0010 демонстрировала заметный рост производительности. Количество зарегистрированных случаев, связанных с этой группой, возросло с 76
во втором полугодии 2022 до 103 в первом полугодии 2023 года.

Такой значительный рост количества киберопераций вместе с изменением фокуса и тактики по сравнению с предыдущими периодами можно связать с несколькими факторами. В частности, мы наблюдаем серьезное распространение инструментов, инструкций, западных книг — всего, что позволяет увеличить вовлечение талантливой молодежи в хакинг.

Мы считаем, что Gamaredon сумел увеличить численность и потенциал команды благодаря вливанию новых талантов из огромного пула квалифицированных работников России и мобилизации IT-специалистов из частного сектора для службы в армии России.

Как отмечалось в материале Госспецсвязи, количество одновременно инфицированных UAC-0010 / FSB / Gamaderon компьютеров, функционирующих преимущественно в рамках информационно-коммуникационных систем государственных органов Украины, может достигать нескольких тысяч. Как вектор первичной компрометации злоумышленники обычно используют электронные письма и сообщения в мессенджерах (Telegram, WhatsApp, Signal), которые преимущественно распространяют с помощью заранее скомпрометированных аккаунтов.

В первом полугодии 2023 г. UAC-0010 демонстрировал явный интерес во всех направлениях правоохранительной деятельности (54,1% их случаев), а также проявлял устойчивый интерес ко всем организациям, связанным с силами обороны Украины. Обладая мощными человеческими ресурсами, эта группа применяет примитивные, однако достаточно результативные методы.

Мы предполагаем, что старые операторы возвращаются в известные мишени, тогда как новички работают над проникновением к новым жертвам (брокеры доступа). Из-за существенного улучшения частно-государственного сотрудничества и взаимодействия между ключевыми субъектами киберзащиты в стране они сталкиваются с трудностями в сохранении и поддержании доступа. Поэтому вынуждены ускорять проникновение и уход и не сжигать жертв, к которым они успешно поддерживают доступ.

Аналитика по деятельности групп гу гш с с рф (ГРУ). Sandworm UAC-0002 (UAC-0082/UAC-0165)

Медиа представляет интересную и актуальную мишень для военных хакеров из Главного управления Генерального штаба ВС российской федерации. Несмотря на то, что это сугубо гражданская цель, с точки зрения российского командования СМИ важны для военных и информационных операций. Поэтому они и дальше будут находиться под прицелом российских хакеров в форме. Ведь отличительной чертой этой гибридной войны является использование хакерских инструментов в операциях влияния: это стало визитной карточкой российской федерации.

Это свидетельствует о сохранении российского подхода, направленного на нанесение вреда гражданской инфраструктуре вне традиционного театра боевых действий.

Этот подход предполагает использование агрессивной пропаганды,
а также ракетных и дроновых ударов по критическим объектам энергетики и путям экспорта аграрной продукции. Это стратегическое видение находит свое отражение в задачах, поставленных перед военными хакерами, поскольку значительная часть их кибератак направлена ​​против важных гражданских служб, таких как СМИ, коммуникационных сетей и общественного сектора.

Кроме того, они охотятся за учетными записями отдельных военнослужащих, имеющих доступ к определенным важным военным платформам.

После полномасштабного вторжения России в Украину в большинстве случаев, к которым причастна группа Sandworm, конечной целью этой АРТ является осуществление разрушительных кибератак, связанных со стиранием серверов, выведением из строя систем виртуализации, отключением активного сетевого оборудования, удалением данных из систем хранения и шифрованием. конечных точек.

Энергетический сектор — один из их любимых. В определенных случаях своевременно обнаруженные попытки хакеров совершить атаки на энергетические объекты подтверждают факт применения конкретной тактики многоэтапного воздействия: обесточение, уничтожение контроля подстанции, уничтожение промежуточной телекоммуникационной подстанции (модема), разрушение рабочей станции работника и затирание серверного оборудования.

Сложность атак на энергетический сектор существенно повысилась, поскольку хакерам известно, что эти сети и компании (с 2014 г.) имеют схожее строение и общие слабые места или передовые практики защиты. Это позволило им лучше готовить операции.

«Хактивисты»
Killnet, HackNet, Zarya, NoName057, Anonymous Russia

Большинство атак было зафиксировано со стороны Killnet, NoName057(16), XakNet, Anonymous Russia и Cyber ​​Army of Russia. Все вышеперечисленные группы — ассоциированы с РФ.

Эти хакерские группы действительно сотрудничают между собой. Они атаковали те же или похожие цели и перепочтили сообщения друг друга в соцсетях. Впрочем, их заявления редко описывают характер возможных кибератак.

В первой половине 2023 г. мы заметили рост количества информационных операций с киберсоставной. Эта категория охватывает широкий спектр действий — от скоординированного нетипичного поведения в социальных сетях с продвижением нарративов, связанных с войной россии против Украины, до истоков якобы полученных «хактивистами» данных, направленных на нанесение репутационного ущерба.

Субъекты угрозы публиковали якобы эксфильтрированные данные (в том числе путем излома и утечки) по разным причинам:

• чтобы доказать факт заявленного вмешательства;
• чтобы нанести вред репутации жертвы;
• чтобы повлиять на общественное мнение или как образец большего массива данных для продажи.

Больше информации о том, как изменяются тактики, цели и возможности хакерских групп правительства РФ и контролируемых им группировок, можно узнать в аналитическом отчете Госспецсвязи Russia’s Cyber ​​Tactics H1'2023, в котором мы проанализировали и исследовали киберугрозы со стороны российских хакерских групп. в первом полугодии 2023 г., а также изменения в поведении киберзлоумышленников.

Первые полтора года войны показали, что потенциал русских хакеров был несколько переоценен. россия, как оказалось, не так сильна, как это пропагандировалось последние годы. Но даже несмотря на то, что россиянам пока не удалось достичь каких-либо стратегических целей в киберагрессии, мы ясно осознаем, что враг — коварный и опасный, имеет большие ресурсы. Понимаем, что они могут использовать время и разрабатывать инструменты дальнейших атак на Украину. Мы имеем ряд возможных сценариев развития событий в киберпространстве и осуществляем подготовку, опираясь на наименее оптимистичные из них.

Читайте главные IT-новости страны в нашем Telegram

По теме

Читайте главные IT-новости страны в нашем Telegram

Хакер из Украины помогал российской мафии отмывать деньги из-за криптовалюты

По теме

Хакер из Украины помогал российской мафии отмывать деньги из-за криптовалюты

Связующий с россией хакерский вебсайт с программой-вымогателем Ragnar Locker «накрыли» международные правоохранители

По теме

Связующий с россией хакерский вебсайт с программой-вымогателем Ragnar Locker «накрыли» международные правоохранители

«Админ „спал“, финальная часть забрала 15 мин». Как проходила спецоперация по уничтожению серверов российских хакеров из Trigona

По теме

«Админ „спал“, финальная часть забрала 15 мин». Как проходила спецоперация по уничтожению серверов российских хакеров из Trigona

«Предал Россию, поддержав Украину». Российские хакеры Killnet сломали правительственные сайты Израиля

По теме

«Предал Россию, поддержав Украину». Российские хакеры Killnet сломали правительственные сайты Израиля