Google видит, что Россия координирует свои действия с хакерами в кибератаках, связанных с войной в Украине.
“Мы никогда ранее не наблюдали такого объема кибератак, разнообразия субъектов угроз и координации усилий», — говорится в отчете; некоторые учреждения США стали мишенью”
По словам исследователей из Google, появляется все больше доказательств того, что пророссийские хакеры и онлайн-активисты сотрудничают с военной разведкой страны.
Западные официальные лица и эксперты по безопасности заинтересованы в возможных связях Кремля, потому что это помогло бы объяснить намерения Москвы как внутри, так и за пределами Украины, несмотря на недавние военные неудачи, которые побудили президента России Владимира Путина на этой неделе объявить о мобилизации.
Официальные лица в США и Европе предупреждали на протяжении всей войны, что российские хакеры могут нанести удар по союзникам Украины, атакуя критически важную инфраструктуру и правительства с помощью кибератак, но до сих пор этого не произошло.
За последние несколько месяцев группа Google по кибербезопасности Mandiant наблюдала очевидную координацию между пророссийскими хакерскими группами, якобы состоящими из хакеров-патриотов, и кибервзломами, совершаемыми российским военным разведывательным управлением или ГРУ. Mandiant утверждает, что в четырех случаях наблюдалась хакерская активность, связанная с ГРУ, когда в сети жертвы устанавливалось вредоносное программное обеспечение «wiper».
Первоначальное программное обеспечение очистки вызвало сбои, уничтожив компьютерные системы по всей организации. Затем в дело вступили хактивисты. После каждого из этих взломов — в течение 24 часов после стирания — хактивистские организации публиковали данные, украденные у одних и тех же организаций.
По данным Mandiant, которая была приобретена Google в рамках сделки, закрытой ранее в этом месяце, в этом были замешаны три пророссийские группы хактивистов. Они называются XakNet Team, Infoccentr и CyberArmyofRussia_Reborn.
В сочетании с другой деятельностью, связанной с войной, это создало беспрецедентную ситуацию, говорится в отчете Mandiant о хактивистах, который должен быть опубликован в пятницу. «Мы никогда ранее не наблюдали такого объема кибератак, разнообразия субъектов угроз и координации усилий в течение одних и тех же нескольких месяцев», — говорится в отчете.
Представитель посольства России в Вашингтоне не ответил на запросы о комментариях, но Россия отрицает свою причастность к взлому.
Группы хактивистов представляют собой способ для России проецировать расширенное и более угрожающее присутствие в Интернете, сказал Майкл С. Роджерс, бывший глава Агентства национальной безопасности, который в настоящее время является операционным партнером в фирме венчурного капитала Team8 Labs Ltd.
«Российское правительство пытается создать больше мощностей, — сказал он. «Эти группы привлекательны, потому что они дают им возможность правдоподобного отрицания».
Джон Халтквист, вице-президент по анализу разведданных в Mandiant, сказал, что теперь, когда XakNet зарекомендовала себя как группа хактивистов, ее можно использовать в качестве прикрытия для более серьезной кибероперации, проводимой российской разведкой.
Доказательства — не неопровержимые доказательства, но неоднократные связи между атаками, связанными с ГРУ, и хактивистами «трудно игнорировать, и они предполагают, что связь не случайна», — сказал Халтквист.
Прошлой весной Министерство внутренней безопасности опубликовало предупреждение, в котором XakNet (произносится как hack-net) и другая группа, известная как Killnet, названы возможными угрозами для инфраструктуры США. Он также предупредил, что война в Украине может привести к всплеску атак со стороны криминальных и хактивистских групп.
Исследователи безопасности говорят, что Killnet атаковал ряд объектов, в том числе цели в Японии, Италии, Норвегии, Эстонии и Литве, с помощью распределенных атак типа «отказ в обслуживании» или DDoS, которые пытаются перегрузить серверы интернет-трафиком. По словам Халтквиста, временами группа действует заодно с XakNet.
В последние месяцы Killnet давал интервью российским СМИ, и исследователи говорят, что внимание СМИ, укрепляющее идею о том, что российская война получила общественную поддержку, может быть более важной целью, чем любое киберразрушение. «Они очень громкие, но в лучшем случае они немного раздражают», — сказал Влад Куйужуклу, аналитик компании Flashpoint, занимающейся разведкой киберугроз.
Но было несколько инцидентов, направленных против США. В июле Congress.gov, официальный поставщик информации о законодательстве Конгресса, был отключен примерно на два часа из-за DDoS-атаки, по словам представителя Библиотеки Конгресса. «Сеть библиотеки не была скомпрометирована, и в результате атаки не было потеряно никаких данных», — сказал представитель.
В августе Killnet заявила, что начала атаку на американского оборонного подрядчика Lockheed Martin Corp., и примерно в то же время она выложила документы, которые, по ее словам, были взяты у Gorilla Circuits, подрядчика оборонной промышленности, базирующегося в Сан-Хосе, Калифорния, который производит схемы.
Представитель Gorilla Circuits подтвердил, что компания столкнулась с инцидентом безопасности несколько месяцев назад — осенью 2021 года. «В соответствии с применимым законодательством Gorilla Circuits направила письменное уведомление об инциденте физическим и юридическим лицам, чья информация потенциально была задействована», — сказал он. «С тех пор в Gorilla Circuits не было ни одного инцидента с безопасностью».
Представитель Lockheed Martin сказал: «Каждый день мы сталкиваемся с угрозами со стороны изощренных злоумышленников по всему миру и регулярно принимаем меры для повышения безопасности наших систем и защиты данных наших сотрудников, клиентов и программ».
.jpg)
Группа кибербезопасности Mandiant компании Google усмотрела возможную координацию между Кремлем и онлайн-активистами.
Группы хактивистов существуют уже более десяти лет. Российские хактивисты предприняли разрушительную онлайн-атаку на Эстонию в 2007 году после того, как Эстония убрала памятник советской эпохи из своей национальной столицы Таллинна. Банки, правительственные веб-сайты и медиа-компании были отключены примерно на неделю.
Йонас Скардинскас, директор по управлению кибербезопасностью Национального агентства по кибербезопасности Литвы, сказал, что Литва пережила как минимум две волны отказа в обслуживании веб-сайтов государственных учреждений, которые начались в июне этого года. Но атаки — ответственность за запуск некоторых из которых взял на себя Killnet — были необычными, потому что они были рассредоточенными и никогда не достигали критического уровня, но продолжались в течение длительного времени.
«Они должны были быть скорее раздражающими, чем разрушительными», — сказал г-н Скардинскас в интервью.
Тем не менее у чиновников есть основания для беспокойства. Герт Аувярт, высокопоставленный чиновник по кибербезопасности в Эстонии, сказал в интервью в Таллинне на прошлой неделе, что небольшая прибалтийская страна подверглась волне DDoS-атак в августе после демонтажа оставшихся советских военных мемориалов. Killnet взял на себя ответственность за атаки, которые, по словам некоторых официальных лиц, были самыми масштабными со времен цифровой осады 2007 года.
Эстония успешно отразила атаку, сказал г-н Аувярт, но западные официальные лица были удивлены уровнем трафика, связанного с попыткой, который достиг пика в более чем 200 гигабайт данных в секунду — количество, намного превышающее обычные однозначные суммы, вовлеченные в атаки типа «отказ в обслуживании».
«При обсуждении этого вопроса с нашими союзниками как здесь, в Европе, так и по ту сторону Атлантики, эти цифры произвели на них впечатление», — сказал г-н Аувярт.
По материалам The Wall Street Journal