Перейти до основного вмісту

Кіберсили Російської Федерації

Цифрові відбитки «російських хакерів». Чому так неакуратно?

Еволюція підходів до кібербезпеки почалася задовго до розгортання Росією фронту гібридної агресії проти країн світу. І якщо на те, щоб увірувати в загрозу своїй національній безпеці від дезінформації, у західних країн пішло в середньому по чотири роки, з моменту початку агресії проти України, то боротьба в кіберсфері проти російських розвідок уже була для західних спецслужб досить звичайною справою. Починаючи з російської атаки проти естонської банківської системи в далекому 2007 році і закінчуючи еталоном кібероперацій проти інфраструктури — хробаком Stuxnet, спрямованим проти ядерних центрифуг іранського заводу зі збагачення урану.

Але й у цій сфері не обійшлося без тектонічних зрушень, які ініціювали незграбні та безкарні дії російських розвідок у цифровому просторі. Спочатку через пильну увагу медіа-експертів до теми і вільну інтерпретацію термінів, які вони не гребували використовувати на камеру, термін «кібербезпека» змішався з терміном «інформаційна безпека».

Однак питання кібербезпеки набагато відчутніші, як у плані опису, так й у плані фінансування. Для демонстрації того, наскільки серйозно у США ставляться до цих питань, Пентагон навіть закріпив у новій воєнній доктрині кіберпростір як «п'яте поле бою» (поряд із суходолом, морем, повітрям і космосом).

А ось із використанням термінів «інформаційний простір» та «інформаційна безпека», схоже, ясніше не стало, попри те, що «великий фахівець», автор опусу про «нооскоп» Антон Вайн очолив адміністрацію Путіна. На Заході не звикли до таких розмитих сутностей. Тому й концентруються більше на кібертемах, намагаючись розібратися в потоці російських атак.

Еволюція кібератак

Основна проблема традиційних підходів до «п'ятого полю бою» — кіберпростору — полягає в тому, що інструментарій гібридної війни розширив можливості використання результатів кібератак. Тепер їхні довгі руки дотягуються набагато далі, за межі цифрової та інфраструктурної сфер.

По суті, можна сказати, що головними цілями втручання в роботу автоматизованих систем були:

  • по-перше, отримання секретної або закритої інформації, яку пересилали каналами зв'язку,
  • по-друге, заподіяння шкоди або повне знищення інфраструктури.

Перша категорія атак характерна для розвідок. Одним із прикладів такої атаки можна було б вважати злам серверів Демократичної партії США (якби не одне «але», про яке нижче).

Друга категорія атак, з погляду логіки, перебуває в арсеналі інструментів збройних сил або міністерств оборони, як один із методів завдання ударів по противнику та його інфраструктурі.

Тут різні ризики розкриття джерел й ініціаторів. Так, військові операції із заподіяння шкоди завідомо грубіші і можуть вказати на зловмисника. Така вказівка називається «атрибуцією» — тобто наявністю фактичних слідів атакуючого.

Водночас у випадку з операціями зі зняття інформації жертва може й не усвідомлювати, що її листи читає хтось інший. А це дає для розвідки постійний і надійний канал отримання інформації. Тільки останній ідіот публікуватиме отримані відомості, таким чином відбираючи у себе ж можливість отримувати інсайди й надалі, як, наприклад, у випадку зі зламом поштових серверів Демократичної партії США (DNC).

Це справді один із багатьох показових випадків того, що російські хакерські команди ламають поштові ящики не для отримання інформації або заробітку на перепродажі, а саме для зливу у відкритий ефір. І це при тому, що кожен злам потребує певних інвестицій, як часу, так іноді й фінансів. У чому ж тоді профіт?

Все дуже просто. До двох описаних нами категорій кібератак додалася й дуже активно використовується російською стороною третя — злам із метою публікації вмісту і подальшого впливу на інформаційний простір і медіа.

У цьому й полягає один з основних інструментів гібридної агресії. Окремим суб'єктам у середовищі російських спецслужб нецікаво вибудовувати довгострокові стратегічні ігри проти західних країн. Борючись за місце під «сонцем» (іншими словами, за місце біля Путіна), вони здійснюють свої авантюри, організовуючи тактичні операції, особливо не замислюючись про наслідки. Саме в цьому й полягає їх вразливість.

Зламо-злив

Винуватцями того, що операції такого роду стали надефективними, були самі медіа. Ну хто ж не передрукує в себе якусь бездоказову «полуничку», під гаслом «я журналіст — моя справа дати інформацію читачеві, щоб він ухвалив рішення»?

Саме для експлуатування цієї журналістської позиції й використали блог Guccifer 2.0 і всесвітньо відомий сайт Wikileaks Джуліана Ассанжа. Міністерство юстиції США пов'язує і першого, і другого з російською військовою розвідкою. Людина, яка ховалася під ніком Guccifer 2.0, навіть завела блог, щоб давати там коментарі про злиті у відкритий доступ листи соратників Хілларі Клінтон. Однак високою є ймовірність того, що це лише ширма для членів хакерської групи, контрольованої ГРУ. Що стосується співпраці Ассанжа з російською розвідкою, то навіть не ясно, у кого такий факт може викликати сумніви.

Таким чином, аж ніяк не злив поштових відправлень був самоціллю хакерів. Головним результатом цієї спецоперації була дестабілізація політичного ландшафту США. І він стався — після того як кожне поважне (і не поважне) медіа почало обговорювати й коментувати злив. Тобто початковою метою кібератаки був інформаційний вплив на медіаполе і на сприйняття людей.

Хто за ширмою?

Попри те, що західні спецслужби і Мін'юст США вже оголосили досить багато інформації про конкретні суб'єкти російських кібернападів, головним джерелом інформації про те, хто і що стоїть за кремлівськими кібератаками, залишається конфлікт між Шойгу і ГРУ з одного боку і ФСБ-СЗР — з іншого.

Взагалі в медіа з'явилося вже стільки інформації про російські розвідструктури, що й перерахувати її досить складно.

Так, наприклад, в обвинувальному висновку Мін'юсту США йдеться про конкретні підрозділи ГРУ в Москві: в/ч 26165 (також відома як «Головний спеціальний сервісний центр ГРУ 85», розташований на Комсомольському проспекті, 20) і в/ч 74455 (розташована в Хімках на вулиці Кірова, 22). Журналіст «Медузи» Данило Туровський описав схожі структури ще рік тому.

У медіа також фігурує величезна кількість інформації про так звані «наукові роти», які 2012 року придумав і сформував міністр оборони Сергій Шойгу (як, наприклад, 9 наукова рота, що дислокується в Тамбові).

Однак досвід вивчення російських спецоперацій свідчить про те, що офіційні структури і підрозділи найчастіше не відіграють ніякої ролі в «реальних бійках». Тим більше, вони не придатні для внутрішньополітичного використання, як, наприклад, той самий «Хитун-Бовтун».

Жертвами операцій групи «Хитун-Бовтун» зі зламо-зливу були відомий «кухар Путіна» Євген Пригожин, начальник управління внутрішньої політики АП РФ Тимур Прокопенко і навіть колишній начальник департаменту будівництва МО РФ Роман Філімонов. Саме через злам поштової скриньки помічниці Філімонова, в якій містилися серйозні документи, «Хитун-Бовтун» надіслали листа Сергію Шойгу з пропозицією застрелитися або подати у відставку. Шойгу сприйняв це дуже болісно і почав мститися.

Як часто буває в Росії, виявилося, що за «Хитуном-Бовтуном» весь цей час стояв Центр інформаційної безпеки ФСБ РФ. Щоб якось зам'яти скандал, учасників цих спецоперацій злили. Керівників ЦІБ ФСБ Сергія Михайлова і його заступника Дмитра Докучаєва заарештували і звинуватили в державній зраді.

Також були заарештовані і засуджені члени «Хитуна-Бовтуна» Володимир Анікєєв (Льюїс), Олександр Філінов і Костянтин Тепляков. Начальника ЦІБ ФСБ генерала Андрія Герасимова відправили у відставку. На додачу до всього на Сергія Михайлова повісили ще й розкриття даних про хакерів, які зламали DNC.

Вся ситуація зі скандалом навколо керівництва ЦІБ ФСБ досконально відома українським хакерам Ukrainian Cyber Alliance. І вони неодноразово висловлювалися про неї.

Здавалося б, важлива інфраструктурна ланка російських кіберсил, пов'язана з ФСБ, зазнала серйозного «удару ножем у спину» від політичних конкурентів. І тут у офіцерів ГРУ, в тому числі тих, які працюють у тій самій кіберсфері, відбуваються провал за провалом. Вже у вересні цього року в Нідерландах затримали двох російських шпигунів, які мали намір отримати дані з хімічної лабораторії в швейцарському Шпіці, яка розслідує хімічні атаки в Сирії і Британії. Зазначається, що у росіян було при собі хакерське обладнання. Про те, хто з російських бракоробів погорів на хімічній операції, читачеві можна не нагадувати.

Таким чином, у нас майже кристалізувалися дві професійні команди кіберспорту, які зійшлися одна з одною в азартному російському безглуздому і нещадному дербі.

Команда ФСБ-СЗР:

  • ЦІБ («Хитун-Бовтун»);
  • APT29 (The Dukes/Cozy Bear);
  • 16-й центр ФСБ;
  • 18-й центр ФСБ;
  • TURLA (Snake/Uroburos).

Команда Шойгу-ГРУ:

  • 6-й Директорат;
  • APT28 (Sofacy/Fancy Bear).

Чому грушні хакери — рукож*пи?

13 липня 2018 року суд штату Колумбія оприлюднив обвинувальний акт проти російських громадян, яких підозрюють у кібератаці проти Демократичної національної партії та Комітету Кампанії Демократичного Конгресу в ході президентської кампанії в США в 2016 році. Аналіз цього документа показує, що хакери використовували звичайні інструменти та саморобні програмні засоби для запуску цілеспрямованих атак і проникнення в мережі DNC і DCCC.

Спочатку вони увійшли в комп'ютерну мережу DCCC, відправивши фішингові листи з копіями високопосадовцям із президентської кампанії Хілларі Клінтон.

Після того як вони потрапили до комп'ютерів усередині мережі, вони встановили шкідливе програмне забезпечення — malwares — X-Agent і X-Tunnel, підключені до сервера управління і контролю для вилучення і перенесення викрадених даних.

Зрештою, вони перейшли до розкриття конфіденційних документів і персональних даних через веб-сайти і твіттер-акаунти (Wikileaks, Guccifer 2.0)

У процесі цих нехитрих дій грушні хакери досить сильно наслідили. Так, деякі email-и, облікові записи і сервери були повторно використані для окремих етапів процесу — зламу, вилучення даних та розкриття інформації. Наприклад, вони використовували один і той самий обліковий запис електронної пошти для оренди сервера з метою проведення операцій фішингу та, одночасно, той самий обліковий запис для реєстрації біткойн-акаунта, використовуваного для оплати доменного імені dcleaks.com.

Понад те, одна і та сама комп'ютерна інфраструктура і проксі-сервер, розташований у Малайзії, містили облікові записи DCleaks і Guccifer. Це доводить той факт, що злам та отримання даних були призначені для їх подальшої публікації у відкритих джерелах. Тобто для впливу на медійне середовище.

Наступне глупство гру-хакерів полягало у використанні окремих серверів, які були фізично розташовані в центрах обробки даних у США, включно з Сервером управління та контролю, який є основним інструментом зламу, оскільки всі заражені комп'ютери підключаються до нього.

Таким чином, вони, звісно, спростили собі роботу з технічної точки зору, але, водночас, для влади США не було жодних труднощів отримати до сервера фізичний доступ і провести всі необхідні експертизи, щоб отримати сліди хакерів.

Далі. Хакери використовували інструменти зламу кілька разів, повторюючи свої «цифрові відбитки», на які так образився Путін, коли його запитали про них на конференції. Вихідний код X-Agent був дуже близький до тих, які використовували Fancy Bear раніше.

Хакери використовували один і той самий пристрій і канал зв'язку для входу в різні облікові записи. Понад те, вхід на Twitter-акаунт Guccifer був, очевидно, здійснений з будівлі ГРУ в Москві.

Деякі з платіжних облікових записів були використані кілька разів для покупки онлайн-сервісів: серверів, доменних імен, скорочень тощо. Крім того, деякі електронні гаманці були розгорнуті американськими постачальниками послуг, що знову ж таки надало владі США можливість отримати всю необхідну інформацію і докази «цифрових відбитків».

Окремі відомості для розслідування надали голландські спецслужби, що може бути доказом того, що Нідерланди почуваються в комп'ютерах ГРУ як вдома приблизно з 2014 року.

Аналіз цих прорахунків наштовхує на три висновки. По-перше, не виключено, що люди, які працюють на ГРУ, просто мають вкрай низьку компетенцію як «хакери». І навіть якщо їм і вдається щось «поламати», то проблем з їх встановленням і атрибуцією ні в кого не виникає.

По-друге, можливо, горезвісні хакери працюють з-під примусу і під постійним пресингом збоку керівництва, бо в таких організаціях усе потрібно терміново і на вчора. Пресинг змушує їх робити помилки, що знову ж таки свідчить про невисокий інтелектуальний рівень їх керівництва.

По-третє, окремі західні експерти стверджують, що таке показне нехлюйство — частина показової гри. Мовляв, «подивіться, як ми можемо вас зламати і нам за це нічого не буде». Деякі «хакери» навіть не намагаються приховати свої сліди.

Таке пояснення малоймовірне, бо в будь-якому разі негативно впливає на позиції Путіна на світовій політичній арені. Однак, якщо врахувати, що в цій кремлівській банці з павуками спецслужби успішно намагаються підставити одне одного — не виключено, що дії спрямовані на те, щоб звалити все на «сусіда» з іншої спецслужби.

В самурая немає мети, є лише шлях.
Ваш донат – наша катана. Кнопки нижче!