Google: Русия координира хакери за ключови кибератаки, свързани с войната в Украйна

Според изследователи от Google все повече доказателства сочат, че проруски хакери и онлайн активисти работят с военното разузнаване на страната, пише Wall Street Journal.

Западните официални лица и експертите по сигурността се интересуват от възможните връзки с Кремъл, защото това би помогнало да се обяснят намеренията на Москва както в Украйна, така и извън нея, въпреки неотдавнашните военни неуспехи, които накараха руския президент Владимир Путин тази седмица да обяви мобилизация.

Официални лица в САЩ и Европа предупреждаваха през целия период на войната, че руските хакери могат да се насочат срещу съюзниците на Украйна, като атакуват с кибератаки критична инфраструктура и правителства, но досега това като цяло не се е осъществило.

През последните няколко месеца групата за киберсигурност Mandiant на Google наблюдава очевидна координация между проруските хакерски групи - уж съставени от патриотично настроени хакери-граждани - и кибератаките на руското военно разузнаване. В четири случая Mandiant твърди, че е наблюдавала хакерска дейност, свързана с военното разузнаване, при която в мрежата на жертвата е бил инсталиран зловреден софтуер "wiper" ("чистач").

Първоначално софтуерът "wiper" е причинил смущения, като е унищожил компютърни системи в цялата организация. След това в играта се включват хактивистите. След всяка от тези хакерски атаки - в рамките на 24 часа след изтриването - хактивистките организации публикуват данни, откраднати от атакуваните организации.

По данни на Mandiant, която беше придобита от Google в сделка, приключила по-рано този месец, в хакерските атаки са участвали три проруски хактивистки групи. Те се наричат XakNet Team, Infoccentr и CyberArmyofRussia_Reborn.

В съчетание с другите дейности, свързани с войната, това е създало безпрецедентна ситуация, заяви Mandiant в доклад за хактивистите. "Никога досега не сме наблюдавали такъв обем кибератаки, разнообразие от участници в заплахите и координация на усилията в рамките на няколко месеца", се посочва в доклада.

Представител на посолството на Русия във Вашингтон не отговори на молбите за коментар, но Русия отрича да е замесена в хакерски атаки.

Хактивистките групи представляват начин за Русия да демонстрира засилено и по-застрашително присъствие онлайн, казва Майкъл С. Роджърс, бивш ръководител на Агенцията за национална сигурност, който сега е оперативен партньор във фирмата за рисков капитал Team8 Labs Ltd.

"Руското правителство се опитва да увеличи капацитета си", каза той. "Тези групи са привлекателни, защото им дават възможност за правдоподобно отричане."

Джон Хълткист, вицепрезидент на отдела за разузнавателни анализи в Mandiant, заяви, че сега, когато XakNet се е утвърдила като хакерска група, тя може да бъде използвана като прикритие за по-сериозна кибероперация, ръководена от руското разузнаване.

"Тези структури не могат да бъдат приемани лекомислено", казва той за руското разузнаване. "Те са способни да изгорят всичко."

Доказателствата не съдържат димяща пушка, но повтарящите се връзки между атаките, свързани с руското разузнаване, и хактивистите "са трудни за пренебрегване и предполагат, че връзката не е случайна", каза Хулткист.

През пролетта на тази година Министерството на вътрешната сигурност издаде предупреждение, в което посочи XakNet и друга група, известна като Killnet, като възможни заплахи за инфраструктурата на САЩ. То също така предупреди, че войната в Украйна може да доведе до увеличаване на атаките от страна на престъпни и хакерски групи.

Според изследователи в областта на сигурността Killnet е атакувала редица организации, включително цели в Япония, Италия, Норвегия, Естония и Литва, с разпределени атаки за отказ на услуга или DDoS, които се опитват да претоварят сървърите с интернет трафик. Групата изглежда понякога действа съгласувано с XakNet, казва Хулткист.

През последните месеци Killnet даде интервюта за руски медии и изследователите казват, че медийното внимание - засилване на идеята, че войната на Русия е получила обществена подкрепа - може да е по-важна цел от всяко кибернетично нарушение. "Те са много шумни, но в най-добрия случай са незначителна досада", казва Влад Куючулу, анализатор във Flashpoint, компания за разузнаване на киберзаплахи.

Но има няколко инцидента, насочени към САЩ. През юли Congress.gov, официалният доставчик на информация за законодателството на Конгреса, беше изключен за около два часа от DDoS атака, според говорител на Библиотеката на Конгреса, която управлява уебсайта. "Мрежата на библиотеката не беше компрометирана и в резултат на атаката не бяха загубени никакви данни", заяви говорителят.

През август Killnet заяви, че започва атака срещу американския отбранителен предприемач Lockheed Martin Corp. и по същото време разпространи документи, за които твърди, че са взети от Gorilla Circuits, предприемач от отбранителната индустрия, базиран в Сан Хосе, Калифорния, който произвежда електронни платки.

Говорител на Gorilla Circuits потвърди, че компанията е преживяла инцидент със сигурността месеци по-рано - през есента на 2021 г.

"В съответствие с приложимото законодателство Gorilla Circuits предостави писмено уведомление за инцидента на физическите и юридическите лица, чиято информация е била потенциално засегната", каза той. "Оттогава Gorilla Circuits не е имала друг инцидент със сигурността."

Говорител на Lockheed Martin заяви: "Всеки ден сме изправени пред заплахи от сложни противници по целия свят и редовно предприемаме действия за повишаване на сигурността на нашите системи и за защита на данните на персонала, клиентите и програмите ни."

Хактивистките групи съществуват от повече от десетилетие. През 2007 г. руски хактивисти предприеха опустошителна онлайн атака срещу Естония, след като Естония премахна статуя от съветската епоха от националната си столица Талин. Банкови, правителствени и медийни уебсайтове бяха блокирани за около седмица.

Йонас Скардинскас, директор на отдела за управление на киберсигурността в националната кибернетична агенция на Литва, заяви, че Литва е преживяла поне две вълни на отказ на услуги от уебсайтове на държавни агенции, които са започнали през юни тази година. Но атаките - за някои от които Killnet пое отговорност - са били необичайни, защото са били нецеленасочени и никога не са достигнали осакатяващо ниво, а са продължавали дълго време.

"Целта им беше да бъдат по-скоро досадни, отколкото разрушителни", каза Скардинскас в свое интервю.

Все пак служителите имат основания за безпокойство. Герт Ауваарт, високопоставен служител по киберсигурност в Естония, заяви в интервю в Талин миналата седмица, че малката балтийска страна е била обект на вълна от DDoS атаки през август след премахването на останалите съветски военни паметници. Killnet пое отговорност за атаките, които според някои официални лица са били най-мащабните от цифровата обсада през 2007 г. насам.

Естония успешно е отблъснала атаката, каза Ауваарт, но западните служители са били изненадани от нивото на трафика, участващ в опита, който е достигнал връх от над 200 гигабайта в секунда данни - количество, далеч по-високо от обичайните едноцифрени стойности, участващи в атаките за отказ на услуги.

"Когато обсъждахме това с нашите съюзници, както тук в Европа, така и отвъд Атлантика, тези цифри бяха впечатляващи за всички тях", каза Аувиарт.