Хорошие хакеры против плохих

Целями злоумышленников становятся мощные инфраструктуры, которые могут объединять самые разные системы. Чтобы нанести максимальный ущерб и сделать восстановление практически невозможным, зловреды должны уметь атаковать различные архитектуры и шифровать данные в разных операционных системах. Добиться этого преступникам позволяет использование кроссплатформенных языков программирования, таких как Rust или Golang.

«Главная особенность кроссплатформенных языков — возможность скомпилировать программу под различные платформы (операционные системы), — рассказал “Стимулу” эксперт по кибербезопасности “Лаборатории Касперского” Дмитрий Галов. — Это позволяет писать программы, которые можно использовать на разных платформах, не переписывая их код. В первую очередь злоумышленников привлекает эта универсальность. В некоторых случаях использование подобных языков также затрудняет ручной анализ вредоносов и их автоматическое детектирование».

В качестве примера можно привести деятельность кибергруппы BlackCat, которая с декабря 2021 года атаковала более 60 организаций с помощью вредоносного ПО нового поколения, написанного на Rust. В программах-вымогателях DeadBolt, группы, известной атаками на компанию QNAP, использовался Golang. Conti, одна из самых активных групп среди вымогателей, разработала вариант, нацеленный на Linux, однако использовать его могли только избранные партнеры.

Кроме того, сообщества киберпреступников продолжали развивать инструменты и тактики для себя и своих клиентов, а также облегчать бизнес-процессы. Вымогатели стали копировать стратегию крупных коммерческих организаций по созданию масштабных экосистем.

«Организация атак с помощью программ-вымогателей сегодня действительно напоминает экосистему с развитым разделением труда, — поясняет Дмитрий Галов. — Одни участники предоставляют шифровальщиков, другие продают доступ к сетям потенциальных жертв, третьи используют этот доступ для получения контроля над сетью жертвы. Есть и продавцы услуг крипторов для обхода традиционного антивирусного ПО, продавцы ботов, стилеров, эксплойтов. И это далеко не весь перечень».

Одна из основных тенденций — улучшение инструментов эксфильтрации данных. Эксфильтрация — это несанкционированное получение чьих-либо данных, как правило в результате взломов или целевых кибератак.

Весьма примечательный пример эволюции вымогателей — группа Lockbit. В последние месяцы она наладила регулярные обновления своей инфраструктуры, создала «страницы ожидания», с которых пользователи перенаправляются на доступные зеркала, а также представила StealBIT — специальный инструмент для эксфильтрации, который позволяет красть данные с самой высокой скоростью. Развитие получил и инструмент для эксфильтрации Fendr (или Exmatter), который используется в некоторых атаках BlackMatter, Conti и BlackCat.

Геополитика в виртуальном мире

На деятельность киберпреступников сильно повлияла геополитическая ситуация. 24 февраля президент России Владимир Путин объявил о начале спецоперации на территории Украины, и буквально на следующий день началась настоящая битва в виртуальном пространстве.

«Коллектив Anonymous официально находится в состоянии кибервойны против российского правительства» — такое сообщение в ночь на 25 февраля появилось в твиттере знаменитой хакерской группы. Активизировались и другие антироссийски настроенные группировки.

И вскоре перестал работать сайт государственного телеканала RT, который вещает за рубежом. Нападениям подверглись российские интернет-провайдеры и правительственные сайты: страницы Роскомнадзора, Пенсионного фонда России, Федеральной антимонопольной службы и информационные ресурсы Крыма. Были атакованы крупные российские компании: «Газпром», «ЛУКойл», «Норникель» и «Яндекс».

28 февраля под удар попали сайты крупных СМИ: на страницах «Коммерсанта», «Известий», информационного агентства ТАСС и других изданий появились сообщения с призывами остановить операцию на Украине.

Официальный представитель МИД России Мария Захарова рассказала, что российские посольства за границей сталкиваются с невиданными кибератаками. Администрация президента сообщила о регулярных нападениях на сайт Кремля.

О том, что России объявлена кибервойна, заявили в Сбербанке. Зампредседателя правления Сбера Станислав Кузнецов рассказал, что организация находится под непрерывными кибератаками с конца февраля. А 6 мая банк отразил самое масштабное нападение в своей истории. Оно было направлено на сайт, вредоносный трафик, сгенерированный ботнетом, исходил более чем из 27 тыс. устройств, находящихся на Тайване, в США, Японии и Великобритании. Его мощность составила более 450 гигабайт в секунду.

Девятого мая самой мощной кибератаке за свою историю подвергся видеохостинг Rutube. Как пояснили в пресс-службе, в результате было поражено более 75% баз и инфраструктуры основной версии и 90% резервных копий и кластеров для восстановления баз данных. Сайт Rutube вновь заработал 11 мая.

А 16 мая — в первый день своей работы — сильнейшему нападению подвергся российский аналог Google Play, магазин приложений NashStore. Некоторое время сервис работал нестабильно.

Как заявил на заседании Совета безопасности Владимир Путин, массированная атака на Россию в цифровой сфере провалилась. «В целом мы были готовы к атаке, и это результат той системной работы, которая велась все последние годы. Наши специалисты занимались вопросами защиты информационной инфраструктуры, обеспечением устойчивой работы и безопасности сетей и каналов связей», — отметил президент.

По словам главы государства, в последние годы Россия постоянно была объектом кибератак, а с началом спецоперации на Украине они усилились в разы. «Как отмечают специалисты, хакерам-одиночкам это, конечно же, не под силу. Атаки наносятся из разных государств, при этом они четко скоординированы. По сути, это действия государственных структур», — считает Владимир Путин.

Российские киберпартизаны

Спустя несколько дней после того, как хакеры из Anonymous объявили России кибервойну, в нее включилась пророссийская группировка Killnet, взломав сайт Anonymous на целых десять дней. «Не бойся, Россия, никто и ничто не может вам угрожать. Хакеры Anonymous, займитесь восстановлением своего сайта, это очень жалко выглядит на фоне ваших угроз нашей стране», — заявила Killnet в своем обращении.

Это стало первым публичным выступлением группы в интернете. Известно, что Killnet специализируется на DDoS-атаках, что в переводе означает «распределенный отказ в обслуживании»: потоком запросов хакеры пытаются парализовать серверы жертвы.

Досталось от Killnet и многим европейским структурам. Группа взяла на себя ответственность за взломы сайтов нескольких итальянских госучреждений, включая сенат и министерство обороны.

Подтвердили серию кибератак на правительственные учреждения официальные лица Германии. Нападения были направлены против министерства обороны, бундестага, федеральной полиции и полицейских органов нескольких федеральных земель. Хакерская группа также атаковала официальные сайты Румынии, Польши, Чехии, Эстонии, США и НАТО.

А полиция Италии отразила несколько нападений Killnet на «Евровидение». Сетевую инфраструктуру музыкального конкурса пытались атаковать в ходе полуфинала и финала, атаки совершались во время выступления исполнителей и голосования зрителей.

Другая пророссийская группировка — XakNet Team — заявила о взломе секретной переписки МИД Украины. Как сообщили журналисты телеграм-канала Mash, дипломатические письма, претензии и уведомления хакеры передали авторам канала. В документах говорится о поставках оружия, совместных учениях с НАТО и Великобританией, маршрутах украинских переговорных делегаций. Украинские дипломаты просят у других стран поддержки, в частности финансовой, и требуют суровых санкций против России.

XakNet Team создана в феврале в ответ на объявленную группой Anonymous кибервойну против России. По утверждению участников XakNet Team, они ответственны за многие массовые взломы и DDoS- атаки на территории Украины.

Группа Killnet в своем телеграм-канале даже объявила о создании Международного альянса хактивистов. Заявлены и миссии нового объединения — антифашистская деятельность, а также предотвращение расширения НАТО, вплоть до уничтожения его IT-инфраструктуры с помощью хакерских атак. Помимо этого альянс планирует отключать интернет-ресурсы террористических группировок, а также создать единый мониторинговый центр, который будет собирать данные о «неонацистских сектах».

Хакеры также пообещали бороться с мошенничеством в интернете, а для помощи его жертвам будет организован международный благотворительный фонд. Они планируют создать 60 интернет-представительств в дружественных государствах.

А десяти западным странам в Killnet объявили войну. Хакеры собираются наносить удары по инфраструктуре США, Великобритании, Германии, Италии, Румынии, Литвы, Эстонии, Польши и Украины.