Медведи бывают разные. Что известно о «русских хакерах», орудующих в США?

6 июля сервера Республиканской партии США подверглись кибератаке со стороны России, сообщило агентство Bloomberg. В последние годы «русские хакеры» не сходят со страниц западных СМИ. Их обвиняют буквально во всем: вмешательстве в выборы, вымогательствах, атаках на инфраструктуру и многом другом. Кто эти таинственные «киберсолдаты»? Сколько их и почему они постоянно оказываются российскими? Разбираемся.

Bloomberg со ссылкой на знакомые с ситуацией источники пишет, что жертвой стал национальный комитет Республиканской партии США. Однако о самой атаке мало что известно.

• Bloomberg подчеркивает, что ему неизвестно, какие данные пытались украсть хакеры и чего они вообще хотели добиться.

• Представитель республиканцев Майк Рид отрицал атаку на сервера и похищение информации. При этом глава аппарата комитета Ричард Уолтерс сообщил, что хакеры пытались проникнуть в аккаунты республиканцев через стороннего провайдера Synnex, однако атаку удалось вовремя отразить.

• Synnex подтвердила, что ей известно о попытках проникновения. Компания не стала вдаваться в детали происшествия.

Инцидент с республиканцами мог бы пройти незамеченным, если бы не случился одновременно с масштабной кибератакой с использованием программ-вымогателей. Попытку взлома Synnex приписали якобы связанной с российскими спецслужбами группировке Cozy Bear — теперь американцы ищут параллели между этими событиями.

• Cozy Bear (APT29) получила известность благодаря взлому серверов демократов во время «вмешательства» в американские выборы 2016 года. Им также приписывают воровство данных о разработках вакцин от COVID-19 и взлом систем SolarWinds в декабре 2020 года. Американские спецслужбы уверены, что Cozy Bear связаны с СВР или ФСБ. Однако неизвестно, получали ли хакеры приказы напрямую или действовали через посредников.

• 2 июля хакерская группа REvil взломала сервера обновлений компании Kaseya, поставляющей софт для бизнеса. REvil утверждают, что им удалось заразить миллион компьютеров. По подсчетам Kaseya, пострадать могли около 1,5 тыс. компаний. Хакеры требуют рекордный выкуп в $70 млн. Ранее они атаковали американского производителя мяса JBS и заставили его выплатить $11 млн. Власти США уверены, что они действуют из России.

• В мае вымогатели из группировки DarkSide вывели из строя крупнейший нефтепровод в США Colonial Pipeline. Для того, чтобы восстановить его работу, компании пришлось заплатить хакерам более $4 млн, часть из которых удалось вернуть. После атаки «Робин Гуды» из Darkside заявили о самороспуске из-за давления со стороны США. Американцы также связывали их с Россией.

Если верить отчетам американской разведки, то на территории США действуют десятки хакерских группировок из самых разных стран, в том числе и из России. Некоторые из них попадают в разряд постоянных серьезных угроз (APT).

СМИ часто пишут про APT, используя классификацию американской компании Crowdstrike. Она состоит из названия животного и определения. Животное обозначает «родную» страну хакеров: Россию символизируют «медведи», Китай — «панды», КНДР — «чхоллимы», Индию — «тигры», Иран — «котята». Определение отражает методы, которыми хакеры пользуются (например, fancy созвучно вирусу sofacy).

Fancy Bear (APT28). «Напарники» Cozy Bear по предполагаемому вмешательству в американские выборы 2016 года. Утверждается, что они тоже участвовали в кибератаке на демократов. При этом две группы действовали отдельно и не знали друг о друге. Их также обвиняли в кибератаках на Международный олимпийский комитет (2018), константинопольского патриарха Варфоломея I (2018) и норвежский парламент (2020). Fancy Bear предположительно работают на ГРУ.

Berserk Bear (Dragonfly 2.0). Сравнительно молодая группа, о которой стали говорить накануне президентских выборов в США 2020 года. Американское агентство по кибербезопасности называет ее «спонсируемым российским государством актором» и утверждает, что Berserk Bear причастны к кибератакам на местные госучреждения, авиацию, сетевую инфраструктуру и т.д.

Venomous Bear (Turla). Если в мире хакеров и есть мастодонты, то эта группировка относится как раз к ним. На нее обратили внимание в 2014 году, но корни ее создания предположительно уходят в 2004 год. В США считают, что она тоже связана с российскими спецслужбами, но доказательств у них нет. На Venomous Bear возлагают ответственность за «самый серьезный в истории США» взлом компьютеров военных в 2008 году.

Voodoo Bear (Sandworm Team). Одна из самых опасных группировок. В 2015 году они взломали украинские электросети, а в 2017-м их деятельность привела к массовому заражению компьютеров по всему миру вирусом-вымогателем NotPetya. США утверждают, что за ними скрывается подразделение ГРУ. В октябре 2020 года американский суд объявил в розыск шестерых офицеров российской разведки по подозрению в киберпреступлениях.

Российские хакеры имеют репутацию самых дисциплинированных и технически подкованных в мире — неудивительно, что при серьезных кибератаках подозрение сразу же падает на них. Самые опасные группировки, как правило, связывают со спецслужбами.

При этом киберпреступников очень сложно отследить, поэтому такие утверждения строятся либо на косвенных доказательствах, либо на предположениях и догадках. А значит ручаться за их правдивость нельзя.

Вероятно, никакой связи между деятельностью разных хакеров нет — даже если предположить, что все они действительно российские. Единственным доказательством их координации будет только то, что они совершают кибератаки в одно и то же время.

Но этому есть и другое объяснение. Вымогатели совершают крупные кибератаки для получения выгоды — тем самым они обнажают уязвимости и создают неразбериху, которые по цепочке привлекают других.

Вице-президент компании Mandiant (часть корпорации по кибербезопасности FireEye) Чарльз Кармакал сказал Bloomberg, что Россия может извлечь из ситуации выгоду, но не обязательно координирует хакеров: «Совпадение ли то, что российское правительство делает что-то прямо сейчас? Спланировано ли это или скоординировано? Без понятия. Я знаю, что обе вещи происходят, это факт, просто не знаю, почему».

━━━━━

Виталий Рюмшин