Російські хакери безкарно тиснуть на український бізнес, вимикають їхні ІТ ресурси, залякують його власників та навіть можуть викликати українську поліцію, щоб та раптом навідалася до офісу.
Ми вирішили детально розписати одну з таких історій. Ось вона.
Хто герой
Українська компанія «Старлінк», як ми повідомляли, на початку березня виграла суд першої інстанції проти американської SpaceX. Її власник, київський підприємець Сергій Дулицький захищав свій бренд Starlink, який він придумав і почав використовувати набагато раніше Ілона Маска — у 2010 році.
Американці, через адвокатів в Україні, намагалися через суд анулювати свідоцтво на ТМ Сергія через те, що нібито він протягом 5 років не використовує цей бренд. Але довести це в залі суду не вдалося, бо ТОВ «Старлінк» — ІТ-компанія, що активно працює, і телеком-провайдер.
Може так збіглося, але у березні, після перемоги у суді Сергій Дулицький отримав іншу велику проблему — його почали атакувати хакери, ймовірно російські.
Ми вже писали новину про початок атаки. Наприкінці минулого тижня ІТ-ресурси компанії «Старлінк», включно з сайтом starlink.ua, намагалися покласти й вимагали $5000 за «сотрудничество».
На цьому атака не закінчилася. Навпаки, вона почала перетворюватися у щось більш масштабне, за чим можуть стояти значно більші ресурси, ніж просто хакер-вимагач. На цьому тижні Сергій пережив погрози, приїзд до нього в офіс оперативної групи поліції, атаку іранської ботнет-мережі.
А зараз про все це послідовно.
Від проджект менеджера до розробника. Найсвіжіші вакансії від кращих ІТ-компаній на jobs.dev.ua
Приїзд поліції
У вівторок зранку до офісу Сергія приїхала поліція. Причина — нібито це сам він її викликав через стрілянину в офісі. Звичайно ж, нічого такого Сергій не робив. Оперативники це швидко зрозуміли й допомогли підприємцю скласти вже зустрічну заяву до поліції — що його атакують зловмисники та погрожують.
Трохи пізніше Сергій написав заяву ще й до кіберполіції.
Потужні атаки та іранський ботнет
На цьому тижні кібератака на його ресурси також продовжилася. По швидкості DDOS досягав 60 Гбіт/сек у піку. Бізнесмен захистив сайт через CloudFlare, закрили сайт від світового трафіку (залишили доступ лише з України), але це допомогло лише на деякий час. Хакери почали класти цілу підмережу, разом з іншими ресурсами.
Системи захисту змогли проаналізувати атаки й помітили, що одного разу хакери використовували іранський ботнет.
DDOS та поліція, це був не єдиний елемент впливу на український бізнес. Хакери вимагали гроші усіма можливими засобами — через листи на пошту, через дзвінки.
Монологи хакера
Один із них зателефонував до офісу «Старлінк» через IP-телефонію та змінив голос. Говорив він російською.
«Алло, здравствуйте! Я вам уже интернет выключаю бл. всю неделю. Почему вы меня игнорите на почте, когда вы бабки заплатите? Дело в том, что мой ботнет х…рит весь ваш интернет, а вы ставите CloudFlare. Вы че, е…тые?
Представник Starlink не відповідав на ці репліки.
Тоді хакер сказав: «Мне надо сейчас сидеть, х…сить Украину, чтобы услышать какую-то реакцию в свою адрес?». На задньому фоні хтось почав вигукувати: «Бахму-у-ут… Бахму-у-ут».
Такий виклик через IP-телефонію міг тривати 5–7 хвилин. Під час цього монологу хакер іноді знов запускав атаку на сайт, так би мовити, у прямому ефірі:
«Так, атака поставлена. Ой у вас сайт опять упал».
Протягом розмови хакер неодноразово просив, щоб йому відправили гроші чи хоча б відповіли на пошту, потому что «у него ломка». «Я хотя бы куплю себе травы… расслабиться чтобы… у меня денег нет». Про те, що йому треба гроші на наркотики, хакер потім ще декілька разів повторює у наступних монологах.
Російський слід
«Старлінк» не реагує на дзвінки та листи. У себе на сайті, роботу якого вдається нормалізувати, компанія повісила картинку «Русский корабль, иди на.уй» і дописала, що жодних переговорів із хакерами не вела і вести не буде.
«Ми робимо все можливе, щоб ефект від атаки був нульовим», — йдеться в повідомленні.
Хакери на цьому не зупинилися і почали телефонувати клієнтам компанії Сергія. Як він каже, принаймні від однієї компанії він таку інформацію вже отримав. Хакери вимагають припинити співпрацю зі «Старлінк». Або ж їх також почнуть атакувати.
Хакер обіцяє продовжувати вибірково вимикати провайдерів, у яких «Старлінк» купує сервери для розміщення сайту/поштових серверів і інших застосунків.
«А за то что, вы прямо на вашем веб-сайте выложили картинку, которая оскорбляет Российскую Федерацию, то в подарок мы будем терроризировать каждого члена вашей семьи», — пише він.
Що кажуть експерти
Ми запитали в експертів, з якими хакерами має справу Сергій. Відгукнувся білий хакер Микита Книш.
За його словами, в інтернеті зараз цифрові дев’яності і найняти цифрових тролів або хакерів може кожний.
«Цифрові тролі наймаються на форумах і коштують в рублях. За 500 рублів тебе за…уть — цілодобово будуть телефонувати й скидати. Щоб тобі викликали поліцію — це коштує 300-500 російських рублів. А найняти професійних блейкхейтів можна за $3000–5000», — розповідає Микита.
Але у випадку зі «Старлінк», як він каже, судячи за почерком, найняли команду тролів, якій платять 200–300 доларів на добу, а вони вже наймають дешевших масових «школярів», що задовбують людину з метою досягнення певного результату, який указав замовник.
«Як правило так змушують прийняти певне рішення, або тиснуть перед судом. В Україні така практика кібератак з метою залякування популярна», — підкреслює Книш.
Судячи з того, як розвивається атака, хакери можуть здійснити проти власника «Старлінк» і інші форми «тролінгу».
«Прикиньте, я счас в ментуру позвоню, скажу, что у вас здание заминировано и у вас обыски будут, хотите?», — говорит во время одного из последних звонков сам хакер.
Він додає, що нібито з Москви й може це робити безкарно.
Що кажуть служби
Ми звернулися до представників Держспецзв’язку, Мінцифри, у Національний координаційний центр кібербезпеки за коментарем.
У Мінцифрі повідомили, що це не зовсім їхня тема. І порекомендували звернутися до Держзв’язку. «Кібертероризм — це до СБУ», — відповіла представниця пресслужби Держспецзв’язку. Ми написали речнику СБУ Артему Дегтяренку. Але він поки що не прочитав повідомлення.
