Google бачить, кібератаки Росії, пов'язані з війною в Україні

Google бачить, що Росія координує свої дії з хакерами у кібератаках, пов'язаних із війною в Україні.

"Ми ніколи раніше не спостерігали такого обсягу кібератак, різноманітності суб'єктів загроз та координації зусиль", - йдеться у звіті; деякі установи США стали мішенню”.

За словами дослідників з Google, з'являється все більше доказів того, що проросійські хакери та онлайн-активісти співпрацюють із військовою розвідкою країни.

Західні офіційні особи та експерти з безпеки зацікавлені у можливих зв'язках Кремля, бо це допомогло б пояснити наміри Москви як усередині, так і за межами України, незважаючи на недавні військові невдачі, які спонукали президента Росії Володимира Путіна цього тижня оголосити про мобілізацію.

Офіційні особи в США та Європі попереджали впродовж усієї війни, що російські хакери можуть завдати удару по союзникам України, атакуючи критично важливу інфраструктуру та уряди за допомогою кібератак, але досі цього не сталося.

За останні кілька місяців група Google з кібербезпеки Mandiant спостерігала очевидну координацію між проросійськими хакерськими групами, які нібито складаються з хакерів-патріотів, і кіберзломами, які здійснюють російське військове розвідувальне управління або ГРУ. Mandiant стверджує, що у чотирьох випадках спостерігалася хакерська активність, пов'язана з ГРУ, коли в мережі жертви встановлювалося шкідливе програмне забезпечення Wiper.

Початкове програмне забезпечення очищення викликало збої, знищивши комп'ютерні системи по всій організації. Потім у справу вступили хактивісти. Після кожного з цих зломів — протягом 24 годин після стирання — хактивістські організації публікували дані, вкрадені в тих самих організацій.

За даними Mandiant, яка була придбана Google в рамках угоди, закритої раніше цього місяця, в цьому були замішані три проросійські групи хактивістів. Вони називаються XakNet Team, Infoccentr та CyberArmyofRussia_Reborn.

У поєднанні з іншою діяльністю, пов'язаною з війною, це створило безпрецедентну ситуацію, йдеться у звіті Mandiant про хактивістів, який має бути опублікований у п'ятницю. «Ми ніколи раніше не спостерігали такого обсягу кібератак, різноманітності суб'єктів загроз і координації зусиль протягом тих самих кількох місяців», — йдеться у звіті.

Представник посольства Росії у Вашингтоні не відповів на запити про коментарі, але Росія заперечує свою причетність до злому.

Групи хактивістів є способом для Росії проектувати розширену і більш загрозливу присутність в Інтернеті, сказав Майкл С. Роджерс, колишній глава Агентства національної безпеки, який наразі є операційним партнером у фірмі венчурного капіталу Team8 Labs Ltd.

«Російський уряд намагається створити більше потужностей, – сказав він. "Ці групи привабливі, тому що вони дають їм можливість правдоподібного заперечення".

Джон Халтквіст, віце-президент з аналізу розвідданих у Mandiant, сказав, що тепер, коли XakNet зарекомендувала себе як група хактивістів, її можна використовувати як прикриття для більш серйозної кібероперації, що проводиться російською розвідкою.Докази — не незаперечні докази, але неодноразові зв'язки між атаками, пов'язаними з ГРУ, та хактивістами «важко ігнорувати, і вони припускають, що зв'язок не випадковий», — сказав Халтквіст.

Минулої весни Міністерство внутрішньої безпеки опублікувало попередження, в якому XakNet (вимовляється як hack-net) та інша група, відома як Killnet, названі можливими загрозами для інфраструктури США. Він також попередив, що війна в Україні може призвести до сплеску атак з боку кримінальних та хактивістських груп.

Дослідники безпеки кажуть, що Killnet атакував ряд об'єктів, у тому числі мети в Японії, Італії, Норвегії, Естонії та Литві, за допомогою розподілених атак на кшталт «відмова в обслуговуванні» або DDoS, які намагаються перевантажити сервери інтернет-трафіком. За словами Халтквіста, часом група діє разом із XakNet.

В останні місяці Killnet давав інтерв'ю російським ЗМІ, і дослідники кажуть, що увага ЗМІ, яка зміцнює ідею про те, що російська війна отримала громадську підтримку, може бути більш важливою метою, ніж будь-яка кіберруйнування. "Вони дуже гучні, але в кращому випадку вони трохи дратують", - сказав Влад Куйужуклу, аналітик компанії Flashpoint, яка займається розвідкою кіберзагроз.

Але було кілька інцидентів проти США. У липні Congress.gov, офіційного постачальника інформації про законодавство Конгресу, було відключено приблизно на дві години через DDoS-атаку, за словами представника Бібліотеки Конгресу."Мережа бібліотеки не була скомпрометована, і в результаті атаки не було втрачено жодних даних", - сказав представник.

У серпні Killnet заявила, що почала атаку на американського оборонного підрядника Lockheed Martin Corp., і приблизно в той же час вона виклала документи, які, за її словами, були взяті у Gorilla Circuits, підрядника оборонної промисловості, що базується в Сан-Хосе, Каліфорнія , що виробляє схеми.

Представник Gorilla Circuits підтвердив, що компанія зіткнулася з інцидентом безпеки кілька місяців тому – восени 2021 року. "Відповідно до застосовного законодавства Gorilla Circuits направила письмове повідомлення про інцидент фізичним та юридичним особам, чия інформація потенційно була задіяна", - сказав він. «З того часу у Gorilla Circuits не було жодного інциденту з безпекою».

Представник Lockheed Martin сказав: «Щодня ми стикаємося з загрозами з боку витончених зловмисників по всьому світу і регулярно вживаємо заходів для підвищення безпеки наших систем та захисту даних наших співробітників, клієнтів та програм».

Група кібербезпеки Mandiant компанії Google побачила можливу координацію між Кремлем та онлайн-активістами.

Групи хактивістів існують уже понад десять років. Російські хактивісти здійснили руйнівну онлайн-атаку на Естонію в 2007 році після того, як Естонія прибрала пам'ятник радянської доби зі своєї національної столиці Таллінна. Банки, урядові веб-сайти та медіа-компанії було відключено приблизно на тиждень.

Йонас Скардінскас, директор з управління кібербезпекою Національного агентства з кібербезпеки Литви, сказав, що Литва пережила як мінімум дві хвилі відмови в обслуговуванні веб-сайтів державних установ, які розпочалися у червні цього року. Але атаки - відповідальність за запуск деяких з яких узяв на себе Killnet - були незвичайними, тому що вони були розосереджені і ніколи не досягали критичного рівня, але тривали протягом тривалого часу.

«Вони мали бути швидше дратівливими, ніж руйнівними», — сказав Скардінскас в інтерв'ю.

Проте чиновники мають підстави для занепокоєння. Герт Ауверт, високопосадовець з кібербезпеки в Естонії, сказав в інтерв'ю в Таллінні минулого тижня, що невелика прибалтійська країна зазнала хвилі DDoS-атак у серпні після демонтажу радянських військових меморіалів, що залишилися. 

Killnet взяв на себе відповідальність за атаки, які, за словами деяких офіційних осіб, були наймасштабнішими з часів цифрової облоги 2007 року.

Естонія успішно відбила атаку, сказав пан Ауверт, але західні офіційні особи були здивовані рівнем трафіку, пов'язаного зі спробою, який досяг піку в більш ніж 200 гігабайт даних за секунду — кількість, що набагато перевищує звичайні однозначні суми, залучені до атак типу «відмова» в обслуговуванні».

«Під час обговорення цього питання з нашими союзниками як тут, у Європі, так і по той бік Атлантики ці цифри справили на них враження», — сказав Ауверт.

За матеріалами The Wall Street Journal

Центральний офіс у Києві:
03110, Україна, Київ,
вул. Солом'янська, 3-Б, оф. 205
Тел.: +380 (44) 520 2030
Факс: +380 (44) 520 2028
e-mail: infotel@infotel.ua
Представництво в Грузії:
0119, Грузія, Тбілісі, пр-т. Церетелі, 116
Тел.: +995 (32) 234 16 09
e-mail: infotel@infotel.ge
© Infotel Group 2004 - 2022.
Усі права захищені.