Киберпреступность с русским акцентом. Самые известные хакеры постсоветского пространства

Fancy Bear (Strontium, APT28, Pawn Storm)

Название Fancy Bear («причудливый» или «модный» медведь) придумал Дмитрий Альперович — сотрудник американской компании CrowdStrike, работающей в сфере информационной безопасности.

Группа хакеров получила широкую известность в 2014 году после того, как её обвинили в кибератаках на немецкий парламент и во взломе французской телекомпании TV5 Monde, в ходе которого на несколько часов прервалось вещание 12 каналов. При этом специалисты по кибербезопасности считают, что группировка существует как минимум с 2004 года. Она использует большой арсенал средств, включая фишинговые атаки, письма с вирусами, вредоносные сайты, уязвимости в программном обеспечении, а также собственные инструменты.

В результате атаки на немецкий бундестаг хакерам удалось получить доступ к почте депутатов и парламентского офиса Ангелы Меркель. В 2015 году целями злоумышленников стали Белый дом и НАТО, в 2016-м — Всемирное антидопинговое агентство (ВАДА). Кроме того, Fancy Bear обвиняли в многочисленных атаках на министерства иностранных дел европейских стран, российских оппозиционеров и независимых журналистов.

Самым громким эпизодом, который приписывается группировке, стал взлом серверов Демократической партии США весной 2016 года. Хакеры получили доступ к компьютерам сотрудников штаба Хиллари Клинтон с помощью фишинговых писем. Полученные данные опубликовали на сайте DCLeaks. Хакерская атака стала поводом для обвинений в адрес России во вмешательстве в американские выборы. Москва это отрицала.

По мнению Дмитрия Альперовича, хакеры относятся к Главному управлению Генерального штаба РФ и соперничают с другой группой под названием Cozy Bear («уютный медведь»), которая якобы действует под крылом ФСБ. О связи Fancy Bear с российскими спецслужбами не раз говорили и другие западные специалисты по кибербезопасности, а также правительства некоторых стран, в том числе Великобритании. Глава МИД Соединённого Королевства Доминик Рааб [заявил] (https://www.gov.uk/government/news/uk-enforces-new-sanctions-against-russia-for-cyber-attack-on-german-parliament), что вместе с Германией и другими европейскими партнёрами заставит Россию ответить за «кибератаки, призванные подорвать западные демократии».

Кроме того, США и Германия объявили в розыск россиянина Дмитрия Бадина — правоохранительные органы этих стран утверждали, что он был ключевой фигурой, стоявшей за атакой на бундестаг, а также участвовал во взломе серверов Демпартии.

По данным ФБР, 30-летний Бадин служит в воинской части 26165. Ещё со времен СССР она входила в состав 6-го управления ГРУ Минобороны и специализировалась на дешифровке перехваченных сообщений.

REvil (Sodinokibi)

В отличие от Fancy Bear, группировку REvil прямо не связывают с российскими силовиками (хотя в Вашингтоне не исключают, что эти хакеры также работают под покровительством российских властей). Злоумышленники громко заявили о себе в начале июня 2021 года, проведя кибератаку на серверы компании JBS — одного из крупнейших производителей мяса в США. Представители JBS были вынуждены вступить с хакерами в переговоры и выплатить $11 млн.

Это была далеко не первая атака REvil — к тому моменту группировку уже хорошо знали специалисты по кибербезопасности, которые указывали, что мошенники общаются между собой на русском языке и, вероятно, связаны с Россией. Группировка действовала в соответствии с проверенным алгоритмом: сначала получала доступ к внутренним документам компаний, а затем требовала от топ-менеджеров выкуп за эти сведения. В случае отказа информацию публиковали в открытом доступе.

Жертвой хакеров стал даже такой гигант, как Apple. В апреле стало известно, что REvil взломала сети партнёра производителя айфонов, тайваньской компании Quanta Computer, и похитила чертежи ещё не вышедших ноутбуков MacBook и другой техники. На своём сайте в Даркнете хакеры опубликовали требование выкупа данных за $50 млн. Позднее это объявление удалили, хотя ни Quanta Computer, ни Apple публично не подтверждали, что пошли на уступки шантажистам.

В июле REvil неожиданно пропала без следа — все известные сайты, связанные с группировкой, были отключены. Это произошло спустя несколько дней после того, как президент США Джо Байден в телефонном разговоре со своим российским коллегой Владимиром Путиным потребовал пресечь деятельность хакеров-вымогателей, находящихся в России. Но уже в сентябре хакеры вернулись и возобновили работу своих сайтов в Даркнете. Специалисты по информационной безопасности [предполагали] (https://www.bloomberg.com/news/articles/2021-09-07/notorious-russian-ransomware-group-revil-has-reappeared), что REvil решили взять небольшой летний перерыв.

В конце сентября в Киеве арестовали двух подозреваемых в киберпреступлениях. По данным правоохранительных органов, фигуранты ответственны за кибератаки на более чем 100 компаний, а ущерб от деятельности злоумышленников составил свыше $150 млн. В свою очередь, Европол сообщил, что арестованных подозревают в причастности к атакам на крупные промышленные группы в Европе и Северной Америке с апреля 2020 года.

Специалисты предполагают, что подозреваемые могли принадлежать к REvil, но официально эта информация не подтверждена.

FIN7

Группировка FIN7, предположительно, появилась в 2013 году и за следующие пять лет атаковала свыше 100 компаний и организаций в США — начиная с образовательных учреждений и заканчивая игорными заведениями. Злоумышленники похитили данные больше 20 млн американских платёжных карт для дальнейшей продажи в Даркнете.

По оценке правоохранительных органов США, в команде состояло больше 70 человек, у которых было чёткое «разделение труда»: одни занимались непосредственно взломами, другие разрабатывали вредоносное ПО, а задачей третьих было создание писем, с помощью которых заражали компьютеры жертв.

По словам специалистов, в 2020 году FIN7 перешла на атаки с использованием шифровальщиков. Это популярный метод, к которому часто прибегают и другие хакеры, включая уже упомянутых REvil. С помощью специальных программ злоумышленники блокируют доступ к компьютерной системе или отдельным файлам, а затем требуют выкуп за восстановление данных.

Ещё одна отличительная черта FIN7 заключается в том, что члены группировки часто нанимают так называемых белых хакеров — экспертов по компьютерной безопасности, которые тестируют системы и ищут в них «дыры». Такие специалисты имитируют атаки киберпреступников, помогая усилить защиту компьютерных систем. При этом «белые хакеры», работающие на FIN7, даже не догадываются о том, что на самом деле становятся соучастниками преступлений. По данным РБК, группировка искала сотрудников через популярные российские сайты вакансий и компании-ширмы.

В январе 2018 года в немецком Дрездене арестовали трёх граждан Украины — Федора Гладыря, Дмитрия Федорова и Андрея Колпакова, — которые, предположительно, входили в руководство FIN7. В июле того же года фигурантов экстрадировали в США. Позднее в Таиланде задержали, а затем также выдали американцам ещё одного члена группировки, Дениса Ярмака. Из всех обвиняемых приговора пока дождался только Гладырь — он получил 10 лет тюрьмы.

Несмотря на то что группировка лишилась нескольких важных членов, свою деятельность хакеры не прекратили. Специалисты регулярно сообщают о новых атаках и взломах, за которыми стоят участники FIN7.

Clop (FANCYCAT)

Эта хакерская группировка не имеет устойчивого наименования, но её часто называют Clop — в честь созданного злоумышленниками вируса-шифровальщика. Команда начала действовать сравнительно недавно, в 2019 году, но за короткий срок успела отметиться целой серией мощных атак.

Сначала жертвами стали четыре компании из Южной Кореи. Позднее кибермошенники переключились на США: целью атак стали медицинские школы Стэнфордского и Мэрилендского университетов, а также Калифорнийский университет. За расшифровку данных члены группировки требовали выкуп в криптовалюте.

Столкнуться с Clop также пришлось известной авиастроительной компании Bombardier из Канады. Воспользовавшись уязвимостью в стороннем приложении для передачи данных, преступники получили доступ к некоторым внутренним документам фирмы. Среди них оказались чертежи антенны радара Leonardo Seaspray 7500E, которые хакеры выложили в Даркнете. Также жертвами Clop в разное время становились нефтяной гигант Shell, компания по кибербезопасности Qualys, Центральный банк Новой Зеландии, а также аудиторская служба американского штата Вашингтон и ряд других структур в разных странах мира.

В июне 2021 года Генпрокуратура Украины сообщила об успешной спецоперации в Киеве, которую провели против хакеров правоохранительные органы Украины, Республики Корея и США. В результате обысков у шести членов группировки изъяли больше $100 000 долларов в разной валюте, а также компьютерную технику и восемь автомобилей.

Вскоре после задержания участников Clop представители криптовалютной биржи Binance рассказали, что также принимали участие в разоблачении злоумышленников. Так, Binance удалось выяснить, что Clop (сотрудники криптобиржи придумали для группировки другое название — FANCYCAT) занималась не только кибератаками, но и отмыванием денег для себя и других киберпреступников. Общая сумма отмытых средств превысила $500 млн в криптовалюте.

Несмотря на задержания, Clop так и не прекратила свою деятельность — уже после спецоперации хакеры опубликовали новый архив данных, полученный в ходе взлома неназванной компании. Эксперты по кибербезопасности предполагают, что арестованные в Киеве подозреваемые имели отношение только к отмыванию денег для группировки, а основные члены Clop находятся в России. По мнению специалистов, рейд украинских правоохранителей почти не скажется на деятельности кибермошенников.

Коллаж: «Секрет фирмы», depositphotos.com/ifeelstock