Атакующие Украину хакеры из Крыма — одни из самых опасных в мире. Что о них известно и как они связаны с ФСБ?
Wired: Хакерская группировка Gamaredon вошла в список наиболее опасных в мире
Традиционно ассоциирующаяся с Россией хакерская группировка Gamaredon стала одной из наиболее изощренных и опасных в мире, заявило издание Wired. В списке самых вредоносных, но малоизвестных группировок оно отдало Gamaredon первое место. В материале Wired хакеров из этого объединения назвали «шпионами-перебежчиками, неустанно взламывающими Украину», а также сотрудниками ФСБ. «Лента.ру» разбиралась, чем занимаются Gamaredon и почему их связывают со спецслужбами.
На сегодняшний день это самая активная прогосударственная хакерская группа, атакующая украинские организации. Их работа очень эффективна. Объем — их главное отличие, и именно это делает их опасными
Роберт Липовски (исследователь кибербезопасности в компании ESET)
Почему Gamaredon ассоциируют с ФСБ?
В своей публикации журналисты Wired сначала прямо называют Gamaredon «группировкой хакеров из ФСБ», но затем добавляют к этой фразе слово «предположительно». При этом издание ссылается на отчет департамента кибербезопасности Службы безопасности Украины (СБУ), опубликованный еще в 2021 году. В нем ведомство утверждает, что группировка, тогда носившая еще и название Armagedon (другие распространенные варианты — Primitive Bear, UNC530, Actinium и Aqua Blizzard), провела более 5000 кибератак на госорганы и критическую инфраструктуру страны.
«Это сотрудники ФСБ Крыма (...). Хакерская группировка Armagedon — это спецпроект ФСБ, специально нацеленный на Украину. Это направление работы координируется 18-м Центром ФСБ, базирующимся в Москве», — заявляли украинские аналитики. Они также утверждали, что им удалось установить имена членов группировки, перехватить их сообщения и получить «неопровержимые доказательства» их причастности к атакам.
В СБУ отметили, что члены группировки не стремятся использовать дерзкие и замысловатые технические приемы, что свойственно другим хакерам, которым приписывают сотрудничество с ФСБ. Более того, они даже не пытаются оставить незамеченным свое пребывание в инфраструктуре сколько-нибудь продолжительное время. Зато, по признанию украинской разведки, они отличаются «навязчивостью и дерзостью»
«Хотя информации о ранних днях Armageddon немного, судя по имеющимся данным, в первые годы своего существования члены группы полагались на легитимные, общедоступные программные продукты, которые в конечном итоге были заменены на специализированное вредоносное ПО Pteranodon», — отметили в СБУ.
В СБУ жалуются, что уже 12 лет страдают от россиян с хакерскими навыками
Фото: SGr / Shutterstock / Fotodom
Украинским киберспециалистам, по их словам, удалось установить тысячи командно-контрольных серверов, используемых членами группировки в своих атаках. Для их развертывания Gamaredon якобы пользовался услугами преимущественно российских операторов связи — в СБУ даже назвали конкретные компании. Однако более детальными сведениями, подтверждающими эту информацию, а также связями членов объединения с ФСБ, украинская разведка не поделилась.
Тяжелая работа — основа их деятельности. Эта группировка буквально выжимает из себя победу. Они просто неумолимы. И это само по себе может быть своего рода суперсилой
Джон Халтквист (главный аналитик Threat Intelligence Group компании Google)
Наиболее популярными целями Gamaredon называются правительственные организации, объекты критической инфраструктуры, а также оборонные и правоохранительные органы. По данным CERT-UA, только в 2022 году на Украине зафиксировано более 70 инцидентов, связанных с этой группировкой, но за все время существования их сотни, если не тысячи.
«С октября 2021 года группировка атаковала учетные записи организаций, имеющих решающее значение для реагирования на чрезвычайные ситуации и обеспечения безопасности территории Украины, а также организаций, которые будут участвовать в координации распределения международной и гуманитарной помощи Украине в условиях кризиса», — отмечали аналитики The Microsoft Threat Intelligence Center.
Более того, Gamaredon, как утверждает Киев, также атакует союзников Украины, например Латвию. Эти данные подтвердили исследователи ESET, зафиксировавшие безуспешные попытки взлома объектов в нескольких странах НАТО — в Болгарии, той же Латвии, Литве и Польше. В одном из случаев, как утверждают исследователи Palo Alto Networks, жертвой должен был стать крупный нефтеперерабатывающий завод.