Над Московией измываются лучшие хакеры мира

А когда-то ее считали главной силой киберпространства.

Московитские хакеры заработали себе славу едва ли не сильнейшей силы в киберпространстве. Война в Украине показала, что их возможности были переоценены.

Большинcтво экспертов было уверенно — современная полномасштабная война невозможна без хакеров. Зависимость человечества от технологий стала настолько очевидной, что и вероятные попытки вывести эти технологии из строя во время боевых действий стали чем-то, что разумеется само собой.

В контексте вероятного нападения Кремля аналитики предполагали, что наступление наземных войск будет сопровождаться хакерскими атаками против объектов критической инфраструктуры, которые еще больше напугают людей и дестабилизируют ситуацию. В Московии существует большое количество хакерских группировок, которые якобы не связаны с правительством, однако часто действуют в интересах режима; кроме того, хакеры входят в состав вооруженных сил и разведывательных служб Московии.

Сайт «Новое время» разобрался, насколько эффективными были атаки московитских хакеров, как хакерское сообщество поддержало Украину и действительно ли спецоперации в онлайне стали тем самым оружием будущего.

Московитские хакеры против Украины

У московитов уже есть богатый опыт кибератак против Украины: в 2021 году Украина заняла второе место по количеству кибератак, которые проводились против конкретной страны. В феврале произошло что-то вроде генеральной репетиции, когда [предположительно] московитским хакерам удалось ненадолго положить некоторые украинские правительственные, военные и банковские сайты.

С начала войны московитские хакеры действительно активно поддерживали (и продолжают поддерживать) наземное наступление. И если бы не война, то, к примеру, новость о взломе спутникового провайдера Viasat, точно была бы среди самых обсуждаемых в те дни. Как минимум потому, что это — крупнейшая кибератака нашего времени: тысячи спутниковых модемов в Украине и за рубежом вышли из строя, оставив миллионы людей без связи.

Заместитель главы Госспецсвязи Виктор Жора рассказал, что «это была действительно огромная потеря связи в самом начале войны», а от атаки пострадали не только обычные пользователи — Viasat предоставлял услуги военным и объектам критической инфраструктуры. Именно поэтому московитские хакеры и выбрали компанию для своей атаки.

«В обычное время это была бы одна из самых громких историй в области информационной безопасности за целый год, если не больше. Однако непрекращающаяся жестокая война меняет психологическую среду для кибератак, вытесняя их из цикла новостей», — отмечает Томас Рид, профессор стратегических исследований Университета Джонса Хопкинса.

За два месяца войны как минимум шесть групп московитских хакеров провели более 430 кибератак. Многие из них совпадали по времени с ракетными атаками и наземными наступлениями на определенные объекты. Однако 2 мая Госспецзвязи заявило, что московитские кибератаки против Украины достигли максимума. Московитам так и не удалось провести широкомасштабную атаку, которая действительно нанесла бы существенный урон украинской экономике, армии или населению.

Но расслабляться рано. «Несмотря на то, что атаки [московитских хакеров] преимущественно не наносят значительного вреда нашей информационной инфраструктуре, их количество постоянно растет», — отмечают в Госспецсвязи.

Совокупность всех этих факторов приоткрыла миру сразу два важных момента:

Хакеры — далеко не то оружие будущего, о котором мы столько слышали. Их действия могут нести угрозу, однако во время войны ракетные удары и обстрелы очевидно воспринимаются серьезнее;

Сила московитских хакеров была завышена. Московитские хакеры, ставшие чем-то вроде бренда на Западе, оказались неспособным противостоять Украине и ее союзникам. Лучше всех это объяснил Стефани Де Бласи, аналитик киберугроз в компании Digital Shadows: «До сих пор Московия была одной из тех стран, от которых исходит киберугроза, а не которые становятся их жертвами».

Прямо сейчас огонь перекинулся уже «за поребрик» — от кибератак страдают именно московитские компании. Хакерские группировки по всему миру выступили в поддержку Украины, благодаря чему в интернет утекли миллионы внутренних документов госкомпаний РФ, среди которых Роскомнадзор, Центробанк РФ, Газпром и многие другие столпы московитского режима.

Главной жертвой первой в истории мировой кибервойны стал миф о московитском киберпревосходстве. Это далеко не первая мистификация, которую развенчала война в Украине — еще три месяца назад московитская машина пропаганды также считалась едва ли не сильнейшей в мире, как и рассказы о «второй армии мира». Теперь это далеко не так.

Однако в Госспецсвязи предупреждают, что не стоит недооценивать врага: «До сих пор Украине удавалось успешно противостоять кибератакам из Московии. Благодаря санкциям враг уже столкнулся с определенными ограничениями ресурсов — материальными и технологическими, и ему все сложнее будет готовить и проводить новые атаки. Однако нужно постоянно быть готовым к ним, ведь, несмотря на ограниченные ресурсы, московитские военные хакеры все еще имеют высокую мотивацию атаковать».

IT-армия

С самого начала войны во главе киберфронта стал проект IT-армии от Министерства цифровой трансформации — сообщество добровольцев, которые до сих пор организовывают постоянные DDoS-атаки против московитских ресурсов, координируя их при помощи Telegram-канала, в котором состоит почти 300 тыс. пользователей. Это публичная часть работы министерства, к которой может присоединиться каждый желающий, даже без наличия специальных навыков.

В начале войны именно DDoS-атаки были основным оружием ввиду своей простоты. Их использовала как Украина, так и Московия. Эксперты отмечают, что атаки на московитские сервера были более мощными — самая длительная из них растянулась на 177 часов.

IT-армия положила сотни различных московитских сайтов — среди них ресурсы госорганов и госструктур, сайты пропагандистских СМИ, популярные банковские сервисы и, конечно же, госкомпании. Из-за постоянных DDoS-атак на сервис 1С, в РФ отменили штрафы за несвоевременную подачу отчетов. Также в Московии решили отменить маркировку и проверку наличия маркировки на некоторых товарах из-за атаки на национальную систему Честный знак.

Однако DDoS на самом деле не окажет большого влияния на войну даже в киберпространстве. Рано или поздно серверы восстанавливаются, защита улучшается, а атаки становятся все менее эффективными.

Туман кибервойны

Намного более интересной наверняка окажется непубличная часть работы Минцифры — в целях безопасности рассказать о подробностях этих кибератак там пообещали уже после войны. В комментариях для НВ министр цифровой трансформации Михаил Федоров подтвердил информацию, что Украине помогают «очень большое количество компаний в сфере кибербезопасности»: они работают по «непубличным целям, которых большинство».

«Это комплексные атаки, цель которых не просто получить доступ к сайту или базе данных, но и распространить правду о том, что происходит. Мы уже взломали более 80 баз данных, которые являются критическими для РФ. Это базы данных граждан, бизнеса, достаточно сенситивные данные. Также цифровая блокада сделала, например, так, что сегодня ВКонтакте не могут даже купить себе серверы. Их сфера кибербезопасности очень пострадала из-за санкций», — говорит министр.

Одна из сильнейших московитских хакерских группировок Trickbot, которую уже давно подозревают в связях с ФСБ, в конце февраля заявила, что поддержит Московию в войне против Украины. Считается, что именно эта группировка стоит за DDoS-атаками на украинские сайты до начала войны.

Спустя несколько дней после начала войны анонимный пользователь из Украины опубликовал внутренние чаты, а затем и исходный код программы-вымогателя Conti, ставшего настоящей головной болью для экспертов по кибербезопасности из-за частого и достаточно эффективного его использования. Таким образом он практически разрушил одну из опаснейших московитских хакерских группировок, члены которой теперь вынуждены беспокоиться исключительно за свою безопасность, скрывая и уничтожая улики против себя.

Группировка Network Battalion 65' (NB65) пошла дальше — она модифицировала код Conti, а затем использовала его для взлома и блокировки файлов внутри московитских компаний. «Мы решили, что лучше всего ударить Московию ее же оружием. Conti годами использовалась против школ, больниц, университетов и компаний по всему миру. Мы будем использовать этот код против любой московитской компании, на которую мы попадем. Это наш способ сказать московитским хакерам — от*****есь!», — говорит представитель NB65 в комментариях НВ. Он предположил, что код Conti слил украинский участник группировки Tricked, который решил отомстить своим бывшим товарищам за поддержку войны.

NB65 активно взялись за дело — к примеру, 2 апреля группировка взломала самую популярную электронную платежную систему Московии — Qiwi: хакеры получили доступ ко внутренней информации и стерли 10,5 терабайт резервных копий компании. Ранее их жертвами также становились ВГТРК, Роскосмос, московитские банки и даже частные компании. Этим группировка отличается от большинства остальных хакеров вроде сообщества Anonymous, которое постоянно утверждает, что гражданское население Московии не является для них врагами, а отвечать за войну должна исключительно верхушка власти.

Хакеры рассказали, что продолжат работать по целям из РФ, пока не прекратится война. У них есть друзья и даже члены семей, которые «пострадали от военных преступлений Московии», а потому они не планируют останавливаться.

«Народная поддержка этой войны среди гражданского населения Московии пугающе высока. Учитывая характер большинства московитских компаний и их отношения с гопсударством, мы решили, что ни одна компания не будет считаться „закрытой“ для нас. Если они работают, то они способствуют кровопролитию в Украине. Московитские граждане хотят, чтобы их взломали? Наверняка нет. Но украинские граждане тоже не хотят, чтобы крылатые ракеты летели в их дома», — объясняют свое решение хакеры.

Члены NB65 также считают, что силу московитских хакеров явно переоценили. Представитель группировки уверен, что это произошло из-за активной работы онлайн-вымогателей из Московии, которые действовали по всему миру. «Сейчас стало очевидно, что они далеко не титаны кибербезопасности», — добавляют хакеры. Особенным открытием для них стало стало то, что «большая часть московитов использует взломанные Windows с поддельными ключами активации».

Море данных

NB65, наряду с Anonymous и AgainstTheWest — еще одной прозападной хакерской группировкой — стали одними из главных поставщиков взломанных архивов, содержащих внутреннюю информацию московитских компаний, которые обрабатывает и централизованно выкладывает организация DDoSecrets. Сайт проекта стал неофициальным центром для публикации терабайтов тщательно скрываемой внутренней информации московитских госкомпаний.

К примеру, движение Anonymous разместило в публичном доступе около 5,8 Тб данных с московитских источников. Сейчас главная проблема уже не раздобыть информацию, а изучить ее.

За первые 10 лет работы организация WikiLeaks, работавшая по схожему принципу, опубликовала около 10 миллионов документов. Журналистка DDoSecrets Лоракс Хорн в рассказала НВ, что столько же удалось получить за два с половиной месяца войны в Украине — и это без учета вложенных в электронные письма файлов.

«Поток данных московитских компаний дал нам множество бессонных ночей, и это действительно ошеломляет», — рассказывает соосновательница DDoSecrets Эмма Бест. Она уверена — журналистам и исследователям потребуется не один год, чтобы обработать всю информацию, которая появилась в открытом доступе за последнее время.

Однако добычей информации хакеры не ограничиваются. Некоторые действуют еще более грубо: например, в марте появилась новая программа-вымогатель RU_Ransom, которая на самом деле является вайпером. Сразу после запуска программа проверяет геолокацию пользователя — если он находится в Московии, все файлы на компьютере блокируются, после чего программа бесследно их стирает.

«Я, создатель RU_Ransom, создал эту вредоносную программу, чтобы навредить Московии… Нет никакого способа расшифровать ваши файлы. Никакой оплаты, только ущерб», — гласит сообщение, которое отображается при работе программы. Если попытаться запустить программу не в Московии, она покажет сообщение «Программу может запустить только московитский пользователь», после чего автоматически закроется. Однако до сих пор о массированном распространении этого ПО не сообщалось.

Некоторые эксперты предполагают, что в Московии уже давно задумываются о создании создании сплинтернета. Это что-то вроде интернета, в котором существуют сразу несколько расщепленных сетей, которые не зависят друг от друга. Шаги в этом направлении уже сделали Иран, Китай, Северная Корея, однако они до сих пор пользуются теми же технологиями, что и весь мир, а потому говорить о полноценном появлении сплинтернета пока рано.

Бесконечные кибератаки, которые подрывают не только обороноспособность Московии, но и авторитет «московитских хакеров», могут спровоцировать правительство еще активнее продвигать идею спрятаться в своем коконе и отгородиться от остального не только реального, но даже цифрового мира.