Источник: https://russiangate.com/obshchestvo/tsifrovaya-bashnya-kremlya/

Пророссийские хакерские группировки и их деятельность все чаще оказываются в центре международных политических событий. Эдуард Белозеров попробовал разобраться в таинственных командах взломщиков государственных секретов, их работе и возможных покровителях.


В последнее время хакеров стали использовать как политический инструмент. Взлом переписок, нарушение работы сайтов госорганов, слив секретной информации – вот примерный круг их деятельности. Кто же стоит за анонимными коллективами интернет-взломщиков?

Киберберкут

Группировка хакеров «Киберберкут» появилась после расформирования спецподразделений полиции «Беркут» в 2014 году. Считается, что эти люди принадлежат к сторонникам России и экс-президента Украины Виктора Януковича.

На сайте организации говорится, что ее работа «помогает Украине сохранить независимость от военной агрессии Запада, готового защитить правительство неофашистов». Сразу же после своего появления хакеры отметились временной блокировкой сайтов ряда украинских информагентств, взломом почтовых ящиков региональных отделений партий «Удар» и «Батькивщина» и других ресурсов.

После того как «Киберберкут» нарушил работу некоторых веб-ресурсов НАТО, о нем заговорили в Европе. Об причастности этой команды к атакам на сайты Североатлантического альянса и связях хакеров с пророссийскими силами заявлял эксперт по кибервойнам Джеффри Карр.

 
2.jpg
 
Символика «Киберберкута»

25 мая 2014 года активисты «Киберберкута» громко заявили об уничтожении IT-системы Центральной избирательной комиссии Украины за два дня до выборов президента. Для подтверждения своих заявлений хакеры выложили переписку с членами ЦИКа, некоторые технические документы окружных избирательных комиссий, а также отчет о взломе и уязвимости системы.

Какое-то время сайт главной украинской избирательной комиссии действительно был недоступен, но уже за день до выборов  работал в штатном режиме.

Аналогичную атаку хакеры провели через полгода. За день до парламентских выборов в Верховную раду стало известно о том, что сайт ЦИКа вновь подвергся нападению. 25 октября 2014 года председатель избиркома Михаил Охендовский заявил: попытки взлома были вовремя остановлены, однако на сайте генерального прокурора Украины Виталия Яремы  появилось сообщение, что подсчет голосов будет проводиться в ручном режиме.

Последнее, как оказалось, было делом рук взломщиков. В день выборов СБУ, ЦИК и Госсвязь Украины обеспечивали функционирование информационных систем и физическую охрану серверов избирательной комиссии.

О выгоде Кремлю атак этой группы хакеров  говорил глава украинской контрразведки Виталий Найда. По мнению украинских технических специалистов, изучавших происходившие нападения, создатели вирусов печатают на кириллице и работают в московском часовом поясе. Другие данные о составе, численности и финансировании этой группировки пока остаются загадкой.

Fancy Bear и Cozy Bear

Группировка, также известная как Sednit, Apt 28, Sofacy и Pawn Storm, работает в области интернет-взломов и шпионажа с 2004 года. Эти хакеры стоят за множеством различных кибератак: на сайты российских СМИ – Republic (в прошлом – Slon, прим. ред.), телеканала «Дождь», «Новой газеты» и The New Times, французского телеканала TV5 Monde. Также в числе «целей» – компьютерные системы государственных объектов: немецкого Бундестага, Всемирного антидопингового агентства, правительств Венгрии, Польши и Грузии и других иностранных правительств, ведомств и СМИ.

Вторая организация, «Уютный медведь», которая также обозначается как APT29 и The Dukes, считается тесно связанной с первым коллективом и российскими спецслужбами. Согласно  докладу финской корпорации F-secure, эта группа хакеров работает на российское правительство с 2008 года, добывает информацию, полезную для решений во внешней политике и обороне.

 
3.1.jpg
 
Fancy Bear

Наиболее известное и громкое нападение этой группировки – атака на внутреннюю сеть Демократической партии США в 2016 году. По крайней мере, именно их считают ответственными за раскрытие большого количества информации демократов в преддверии выборов президента.

Изначально  считалось, что за всеми взломами якобы стоит румынский хакер под ником Guccifer 2.0. По первоначальной версии, именно он взломал защиту и выложил внутреннюю переписку руководства американской Демпартии, электронные адреса и пароли более 200 конгрессменов, названия около 100 различных фондов и организаций, связанных с партией, и другие данные.

Последующие расследования американских спецлужб выявили, что за атаками стояло несколько пророссийских групп взломщиков. Доклады ЦРУ и ФБР в Капитолии отличались: если представители внешней разведки были почти  уверены в целенаправленной атаке с целью повлиять на волеизъявление американцев, то ФБР сомневались насчет конкретных намерений хакеров. Бюро говорило об отсутствии доказательств, которые можно предъявить в суде.

Вскоре после отчетов спецслужб президент Барак Обама подписал  указ о введении новых санкций из-за хакерских атак в отношении России против ФСБ, ГРУ и некоторых других организаций и отдельных лиц. Пресс-секретарь президента Дмитрий Песков  отвергал обвинения в адрес России, называя это «охотой на ведьм».

 
4.jpg
 
Скриншот новости, опубликованной Интерфаксом

Сомнения американских спецслужб обоснованы: сложно доподлинно установить, откуда хакеры проворачивают свои операции. Тем не менее установлено: взломщики работают в московском часовом поясе.

Помимо выборов в Америке, Fancy Bear  считают причастными к кибератаке на сайт и базу данных партии «Вперед» избранного президента Франции Эммануэля Макрона. Похищенная за несколько недель до публикации информация  содержала переписку членов партии, финансовые документы – всего около 9 гигабайт данных. Как и в случае со взломами на Украине, «сливы» публиковались в «день тишины» перед выборами, не оставляя СМИ и представителям пострадавшей стороны возможности как-либо прокомментировать эти события и высказаться в свою защиту.

Вероятно, за этим также стоит Fancy Bear: анализ кибератак показал, что похищенные французские письма редактировал некто Георгий Петрович Рошка. Полного тезку «редактора» нашли в ЗАО «Эврика», которое производит вычислительную технику и программное обеспечение, а также работает на российское Министерство обороны и спецслужбы. Эта компания  получала от ФСБ лицензии на осуществление деятельности по защите гостайны и выполнила госзаказы для структуры госкорпорации «Ростех» – НПО «Квант». Последняя компания  считается связанной с разработчиком программ для государственной слежки Hacking Team.

Угроза Европе

Такие пророссийские киберпреступники работают не только в рамках избирательного процесса. Например, группу Sandworm, также причисляемую к российским хакерским коллективам,  считают ответственной за атаки на энергосистемы в Прибалтике и энергетические компании Западной Европы и США в 2014 году.

 
5.jpg
 
Географическое распределение целей вируса Sandworm, источник – tjournal.ru

На фоне этих событий европейские страны начинают серьезно беспокоиться о безопасности собственных выборов. Британский таблоид Daily Express  сообщает: правительство Ангелы Меркель опасается интернет-атак перед парламентскими выборами в Германии, которые состоятся в сентябре 2017 года.

К такой же опасности  готовится Национальный центр кибербезопасности Великобритании, где досрочные парламентские выборы состоятся 8 июня 2017 года. Именно защита от внешних атак на политическую систему и демократический процесс в Британии  является «приоритетной задачей» для служб кибербезопасности страны.

Источник: https://russiangate.com/obshchestvo/tsifrovaya-bashnya-kremlya/