Российские хакеры: кто более страшен – кіберхробак или кіберведмідь?

Російські хакери: хто більш страшний – кіберхробак чи кіберведмідь?

Обзор российских хакерских групп и шпионских программ

В течение двух лет Украина становится полигоном для российских хакерских групп, а на нас с неослабевающим интересом смотрят международные компании, которые занимаются самостоятельной.

С 2015 года российские хакеры побывали в недрах украинских облэнерго, вызвав отключения электроэнергии на несколько часов. Напомним, что атаки осуществлялись на информационную инфраструктуру одновременно трех энергопоставщиков – «Прикарпатьеоблэнерго», «Черновцыоблэнерго» и «Киевоблэнерго». В 2016-м вредоносная программа была обнаружена в сети аэропорта «Борисполь». Были сообщения, что произошла хакерская атака на “Укрзалізницю”. И это, не считая атак на СМИ, на Центризбирком (помните известную ситуацию, когда после президентских выборов на центральном сайте ЦИК должно было появиться изображение Дмитрия Яроша, как победителя выборов), украинским службам киберзащиты удалось очистить систему за сорок минут до официального объявления результатов выборов. Кибервойна, как показала практика, полноценная составляющая гибридной войны.

Так, в августе 2016 года Совет национальной безопасности и обороны сообщила, что в течение полугода на государственные органы было совершено около 15 тысяч кибератак (событий информационной безопасности), из которых 170 носили характер Ddos-атак.

Тема киберзащиты очень закрыта в украинских органах власти, однако она активно изучается международными исследовательскими центрами.

Мы решили, опираясь на англо – и русскоязычные источники, осуществить обзор основных хакерских групп из РФ. Но сначала немного теории.

Когда мы говорим о кибератаках, оперируем такими терминами: группы хакеров (киберпреступники) и вирус (обычно вредоносное программное обеспечение называют обобщающим словом «вирус»). Очень часто название команды хакеров чередуют с названием используемого ими вируса. То есть, та или иная хакерская команда нередко в медиа называется тем же именем, что и используемая ею вирусная программа, или даже вирусная семья.

Часто для серьезных кибератак используется комбинация трех вредных базовых программ. Первый вид: троянская программа. (проникает в компьютер под видом легального программного обеспечения).

Второй вид: компьютерный червь – разновидность вредоносной программы, самостоятельно распространяющейся через локальные и глобальные компьютерные сети.

Третий вид – компьютерный вирус – вид вредоносного программного обеспечения, способного создавать копии самого себя и внедряться в код других программ, системные области памяти, загрузочных секторов, а также распространять свои копии по различным каналам связи.

Вот это главные «компоненты» кибероружия. Они могут видоизменяться, комбинироваться, совершенствоваться, но в целом предоставляются в вышеупомянутой классификации.

Російські хакери: хто більш страшний – кіберхробак чи кіберведмідь?

BLACKENERGY – СПЕЦИАЛИСТЫ ИЗ АТАК НА УКРАИНУ

Группа Песчаный червь (Sandworm, она же Quedagh) и вирус BlackEnergy – «специалисты» по Украине. Во всяком случае, именно их сеть использовалась для атаки на государственные и коммерческие организации в Украине и Польше. BlackEnergy был обнаружен во время атак на облэнерго.

Команда «Песчаный червь», которую связывают с вирусом BlackEnergy, – наиболее технически продвинутая группа. В западных источниках она считается группой постоянной угрозы, имеет господдержку и используется с политической целью Российской Федерацией. Троянская программа BlackEnergy, с которой они работают, согласно некоторым данным, впервые была обнаружена в 2007 году на российском подпольном рынке вредоносных программ. Первая версия BlackEnergy была сравнительно простым набором инструментов для создания сетей ботов и осуществления атак на отказ в обслуживании. За время его существования было создано еще две версии трояна, которые приобрели новых, более мощных возможностей. Так, в 2010 году была обнаружена вторая версия трояна, BlackEnergy 2, которая уже могла подключать модули с такими дополнительными возможностями, как передача похищенных данных на серверы злоумышленников, наблюдения за сетевым трафиком и т. д. В 2014 году была обнаружена и третья версия данного трояна. Группа, возможно, в 2008 году принимала участие в кибератаках против Грузии.

ГРУППА СТРЕКОЗА, ОНА ЖЕ – ЭНЕРГИЧНЫЙ МЕДВЕДЬ

Эта группа известна с 2011 года, и рассматривается как угроза для Восточно-Европейского региона, нацеленная на его оборонную промышленность, энергетику, производителей информационных технологий и систем. Группа отличается способностью осуществлять технически сложные и длительные атаки, которые наталкивают на мысль о наличии государственного финансирования.

Эти хакеры заинтересованы в установлении постоянного доступа к систем, взломанных ими. Энергичный Медведь специализируется на производстве вредоносных программ, атаки в основном происходили в рабочее время (понедельник – пятница, 9 утра – 6 вечера) центральноевропейского времени плюс четыре часа (UTC + 4), что соответствует периоду рабочего времени в России и Восточной Европе. Большинство охранных фирм пришло к выводу, что Энергичный Медведь – русская группа, которая находится на госфинансировании, поскольку ее ударам подвергаются национальные государства, которые находятся в оппозиции к России. Вредоносные программы, прежде всего, ставят под угрозу нефтяные, нефтеперерабатывающие и энергетические системы, которые конкурируют с энергетическим комплексом России. Энергичный Медведь, скорее всего, заинтересован в сборе информации о своих жертвах и страны их происхождения и в установлении постоянного доступа взломанных систем. Высоко продвинутые программы позволяют саботировать целей операции, что может привести к повреждению или нарушению в важнейших секторах инфраструктуры.

Російські хакери: хто більш страшний – кіберхробак чи кіберведмідь?

РАЗВЕДЧИКИ APT28 и APT29 (УЮТНЫЙ И МОДНЫЙ МЕДВЕДИ)

Российские группы кибершпионажа, которые связывают с российскими спецслужбами – APT28 и APT29. APT28 обвиняли в взломах правительственных учреждений в Германии, США и НАТО. Это одна из групп, которую считают причастной к последнего взлома сайта Демпартии в США. Еще одно название этой группы, которая гуляет по Интернету, – «Модные мишки». К взлому американских правительственных сайтов также имеет отношение группа APT29. Ее считают одной из наиболее квалифицированных и опытных, деятельность которых приходилось отслеживать кіберохоронним структурам.

ЗМЕЯ НА БАЛАНСЕ ГОСУДАРСТВА РОССИЙСКОГО

Еще одна группа, название которой идентична тому вирусу, который она использует: «Уроборос, Турла, Змея». Британские службы киберзащиты писали, что это первый вирус, которым Россия начала войну против Украины еще в марте 2014 года. Только в первые месяцы 2014 года украинские коммуникационные сети государственной важности подверглись 14 крупных атак со стороны хакеров, что вдвое больше, чем за весь 2013 год. Вирус позволяет контролировать инфицированные ПК, выполнять произвольный код, скрывая при этом свою активность. Уроборос в состоянии похищать данные и перехватывать трафик, может удалить документацию и может предоставить хакерам полный доступ к атакуемой системы». Английские и американские эксперты считают, что кибератаки проводились под эгидой российского правительства и требовали высокой организации большой группы хакеров.

Интересно, что в 2008-м году компьютерным червем из этого же семейства Agent.BTZ были поражены компьютеры Центрального командования вооруженных сил США на Ближнем Востоке, через что вирус удостоился звания «худшего события в компьютерной истории ВС США». Компьютерный червь попал в систему Пентагона через USB-флешку, оставленную на парковке комплекса, принадлежащего Минобороны США на территории военной базы на Ближнем Востоке. Накопитель, который содержал вредоносный код, был вставлен в USB-порту ноутбука, подключенного к компьютерной сети Центрального командования ВС США (United States Central Command). Пентагон потратил почти 14 месяцев на ликвидацию последствий заражения сетей ВС и в результате этот случай стал толчком для создания Кибернетического командования США, внутреннего подразделения ВС США.

Російські хакери: хто більш страшний – кіберхробак чи кіберведмідь?

CARBANAK – ТОЛЬКО БИЗНЕС. БАНКОВСКИЙ

Carbanak – это и название хакерской группы, и название компьютерного червя, поражающего компьютеры банков под управлением операционной системы Microsoft Windows. Его специализация – банки.

Конечной целью атакующих является вывод денег из банка, через банкоматы или онлайн-банкинг. Сначала через электронную почту заражаются компьютеры рядовых сотрудников (им направляются файлы Word, Excel и т. п. или фишинг). Вторая фаза – это сбор разведданных о том, как устроена работа в этом банке, и кто за что отвечает. В этой фазе атакувальники подбираются к компьютерам нерядовых пользователей (системных администраторов, администраций различных уровней). Третья фаза атаки – это вывод денег различными способами, все зависит от конкретного банка (онлайн-переводы, передача денег с определенного банкомата, выдача денег в банкомате в определенное время). Считается, что именно это группа вывела из одного украинского банка в 2016-м году около 10 млн долларов.

Атаки на банки продолжают оставаться закрытыми в большинстве западных стран, финансовые учреждения предпочитают вести собственные войны с хакерами, не желая пугать клиентов. Наши источники из антивирусных лабораторий убеждены, что банковская группа не имеет политических целей, что от нее страдает и российский финансовый сектор, и что ее задача – исключительно кражи.

Ну вот такие группы, если очень коротко, работающих в России. Бояться не стоит. В каждой приличной стране есть свои хакеры и свои кіберзахисники. В Украине эта отрасль тоже проходит свое становление. Что интересно, блуждая сайтами антивирусных лабораторий, я обратила внимание на то, что в Украине легко проникнуть в программу не только потому, что крутые айтишники госучреждении не по карману. А еще и потому, что мы очень чувственны и любознательны. Влезть к компьютерам облэнерго удалось не только потому, что мы не были готовы к таким атакам. А еще и потому, что у нас рука сама тянется открыть чужое письмо, если там стоит приманка «Все о связь депутатов с ополченцами» или «Точные адреса «героев Новороссии». Сотрудники впускали «троян» в систему потому, что их проблемы, настроения и боли были «под мироскопом» изучены российскими хакерами. Очень многого можно избежать, если соблюдать элементарную кібергігієни. Но об этом – в следующем материале.

Лана Самохвалова, Киев