SANDWORM — безжальна московська спецгрупа гакерів, яка намагалася зруйнувати Україну

 
 


Джес Хоган
 4 січня 2020, 18:20   17603  Джерело: Radio Lemberg

Dina Temple-Raston, The Washington Post, 26.12.2019

 

Щоби зрозуміти щораз більший тіньовий світ кібервоєн, почніть з України. "В Україні справді немає галузі, де би не було [кібер]атаки", — сказав посол НАТО панові Енді Ґрінбергу, кореспондентові Wired. "Куди не кинеш оком, тут ви всюди знайдете спецоперацію через комп'ютерні мережі". 

 

Починаючи з 2014 року, Україна стала мішенню для зловмисних кібератак, які, як невдовзі довели експерти, було ініційовано Московією. Напади були безжальними і стосувалися всіх аспектів українського суспільства: державних серверів, медіа-організацій, транспортних центрів. Українські кіберексперти безпомічно спостерігали за тим, як довкола руйнувались комп’ютерні системи. Одного дня щезли публічні оголошення та розклад потягів. Наступного дня вимкнулися банкомати. Кульмінацією стало, коли гакери атакували електромережу, що занурило в темряву сотні тисяч невинних українців. 

 

"Схоже, що за цим усім стояла одна група гакерів", - каже Ґрінберг. Після цих кібератак українці сказали, що ефект був таким, що ніби "фантоми минулого"… повернулися через Інтернет до їхніх будинків.

 

Так починається надзвичайно цікавий текст книги Енді Ґрінберга – "Sandworm: нова ера кібервійни та полювання на найнебезпечніших гакерів Кремля" (sandworm— це різновид піщаного хробака, українською — піскожил — прим. Radio Lemberg), страшна розповідь-попередження про бурхливий пост-Stuxnet світ гакерів, яких фінансує держава (stuxnet— один з найнебезпечніших комп’ютерних хробаків-вірусів у 2005-2010 роках — прим. Radio Lemberg). Це книга, яка далеко виходить за рамки стандартних кампаній здійснення впливу та вимагання викупу. Ґрінберг детально і вражаюче описує, як у майбутньому вестимуться війни у кіберпросторі, і робить висновок, що ми досі замало робили, щоби цього уникнути. 

 

Його ґрунтовне розслідування приводить до ГРУ, військової розвідки Московії, яка, на його думку, стала найметодичнішою та найруйнівнішою кіберсилою на планеті. Ви напевно знаєте про те, що CrowdStrike, американська компанія з кібербезпеки, звинуватила московську спецгрупу Fancy Bear у втручанні у президентські вибори у США в 2016 році. Але спраді обізнані фахівці говорять про іншу групу гакерів ГРУ, відому під назвою Sandworm

 

 

Для прихильників наукової фантастики, зокрема читачів романів Френка Герберта «Дюна», слово sandworm є вкрай знайомим. Це величезна вигадана істота, яка живе на планеті Арракіс, і відіграє ключову роль в історіях Герберта. Виявляється, члени цієї спецгрупи ГРУ теж є великими фанатами його творів. Коли одну з їхніх програм збору даних, а саме BlackEnergy, проаналізував фахівець з кібербезпеки Дрю Робінсон, один з головних персонажів книги, то він виявив цікавий знак: а саме файл під назвою "arrakis02".

 

"Коли Робінсон виявив назву arrakis02, то він відчув, що він натрапив на щось більше, ніж на просто підказку про гакерів, які обрали цю назву", — пише у книзі Ґрінберг. «Він вперше відчув, що бачить їхній мозок та уяву. Він подумав про те, чи може ця назва стати своєрідним «відбитком пальців». Можливо, він міг би співставити це з іншими місцями злочину».

 

Виявилося, що він зміг. Експерти почали співставляти різні атаки гакерів з усього світу з діями цієї спецгрупи, але знадобилося кілька років, щоби підтвердити, що Sandstorm та гакери ГРУ, які використовують таємні недоліки безпеки в програмному забезпеченні (відомі як "нульові дні") для спричинення хаосу у всьому світі, насправді є одним і тим самим. Спецгрупа Sandworm роками заплутувала свої власні сліди, навмисно залишаючи фальшиві маркери своїх дій, щоби показати, що за певною роботою стояли інші особи. Та врешті фахівці з кібербезпеки змогли довести правду.

У книзі талановитого Ґрінберга усі викрутаси процесу виведення злочинців на чисту воду не обтяжено технічними термінами, натомість текст просто рясніє заплутаними підказками у цій детективній історії. Автор заводить читачів у затемнені кімнати, де кібердетективи знаходять частини коду і пишуть спеціальні програми для пошуку співпадінь у зловмисних програмах, це приблизно як робить детектив, коли співставляє відбитки пальців. 

 

Гакери ГРУ відмежовували себе від інших спецслужб, бо їхні наміри були набагато ширшими. "Спецгрупа Sandworm зосереджувалась не лише на шпигунстві", — розповідає Ґрінберг, коли провина цих гакерів стає зрозумілою. "Розвідувальні операції зі збору даних не зачіпають промислові системи управління. Спецгрупа Sandworm пішла набагато далі, намагаючись вторгнутись у ті важливі системи своїх жертв, які потенційно могли зламати реальну техніку з реальними наслідками".

 

Серед їхніх місій були агресивне переповнення інтернет-трафіку та зловмисне програмне забезпечення, яке встановлювало таємний доступ до комп’ютера жертви. Ці кібератаки є відомими під такими назвами, як BlackEnergy, Bad Rabbit та NotPetya. Зокрема NotPetya вважають найзгубнішим «хробаком», який коли-небудь випускали «на волю». Спочатку його творці мали на меті атакувати Україну, але потім це шкідливе програмне забезпечення поширилося в усьому світі, зашифровуючи комп'ютерні дані та вимагаючи викуп для розблокування комп’ютерів. Як виявилось згодом, жодного розблокування комп’ютерів жертв після сплати викупу навіть і не передбачалося — дані просто безповоротно руйнували.

 

"Висмоктуючи паролі з пам'яті комп'ютерів, цей «хробак» моментально переходив з пристрою на пристрій, використовуючи стандартні засоби Windows, що давало адміністраторам можливість безкоштовно отримувати доступ до інших комп'ютерів у мережі", — пише Ґрінберг. "Наслідком цього стало повне знищення файлів, яке поширювалося автоматично, швидко та без розбору". 

 

Щоби допомогти читачам зрозуміти, як спецгрупа Sandworm стала одним з найагресивніших гакерських підрозділів на Землі, Ґрінберг повертає нас до війни Московії проти Сакартвело 2008 року. Він стверджує, що саме ця війна стала переломним моментом для керівництва ГРУ. На думку Кремля, ГРУ зганьбилося під час цього конфлікту. Провали розвідки призвели до таких промахів, як бомбардування покинутої літальної смуги та відсутності даних про те, що уряд Сакартвело вже придбав зенітні ракети. Спроби ГРУ перехопити місцеві комунікації теж були невдалими. Кремль був настільки розлюченим, що взагалі навіть планував розігнати цю спецслужбу. Відповіддю ГРУ стало створення "Піщаного хробака" (піскожила).

 

sandworm Nereis Virens

Один зі справжніх піскожилів (піщаних хробаків) — Nereis Virens, фото з Вікіпедії

 

Американським чиновникам не треба довго гадати, як саме може відбутися втручання у вибори 2020 році. Наочним прикладом є Україна. За чотири дні до президентських виборів у травні 2014 року, московитська гакерська група публічно оголосила, що вона планує зірвати цей процес. Невдовзі ця група вламалася до комп’ютерів Центральної Виборчої Комісії України і стерла дані на десятках її пристроїв.

 

"Ідея полягала в тому, щоби знищити систему, не дати їй показувати результати, а потім звинуватити у цьому так звану хунту в Україні", - розповів Ґрінбергові пан Віктор Жора, працівник відділу безпеки в ЦВК України. "Метою було дискредитувати сам виборчий процес". ІТ-відділ ЦВК України зумів відновити мережу ще до відкриття виборчих дільниць, але під час самого процесу оприлюднення поточних результатів на сервері ЦВК було виявлено щось дуже тривожне: на моніторі відображалися фальшиві результатів виборів (зокрема тоді лідером президентських перегонів кілька годин був … Дмитро Ярош — прим. Radio Lemberg).

 

Адміністраторам вдалося стерти підроблені дані, перш ніж їх оприлюднили, але "державне телебачення Московії, синхронно з гакерами, виступило з фейковим повідомленням про те, що [Дмитро] Ярош переміг, що було наочною спробою поставити під сумнів результат справжнього переможця, політично поміркованого шоколадного маґната, Петра Порошенка”.

 

Звучить знайомо?

 

Далі ще гірше. Наступного ранку гакери знову атакували. ЦВК України попала під нову атаку – система "відмовляла в наданні послуг", було атаковано навіть сервери, які працювали в off-line режимі, що вдвічі ускладнило підтвердження законних результатів.

 

Може, щось подібне чекає і США у 2020 році? Енді Ґрінберг передбачає, що якщо ми не сприймемо кібербезпеку набагато серйозніше, саме таким може стати майбутнє. "В інтернеті ми всі – Україна", - пише він. "Ми всі живемо на передовій війни".

 

Переклад українською — Angelica Gordon


 
 


ТОП-НОВИНИ ЗА ДОБУ


ПОГОДА


ЗДОРОВ'Я