Маскирани като ислямисти руски хакери се прицелват в Швеция

От февруари насам мистериозна хакерска група, наричаща себе си Anonymous Sudan, атакува десетки шведски летища, болници и банки с разпределени атаки за отказ на услуга (DDoS), привидно в отговор на изгарянето на Коран пред турското посолство в Стокхолм по-рано тази година.

Така наречените DDoS атаки, които изтласкват уебсайтове и услуги офлайн, като ги затрупват с интернет трафик, прекъснаха онлайн програмирането на националния обществен телевизионен оператор на Швеция и спряха уебсайтовете на Scandinavian Airlines, държавната енергийна компания Vattenfall и отбранителната фирма Saab AB. Обширното медийно отразяване направи атаките - и твърденията на Anonymous Sudan - въпрос на обществен дебат в Швеция.

Групата зад тази кампания твърди, че се състои от хактивисти от източноафриканската нация, чиято цел е да преследва „всеки, който се противопоставя на исляма“. Но по-внимателна проверка на действията в социалните медии на Anonymous Sudan – и данните от атаките – показват, че групата не е нито суданска, нито ислямистка, според Матиас Вален, който ръководи разследване на хаковете за Truesec, една от най-големите фирми за киберсигурност в Швеция.

Вместо това, каза той, Anonymous Sudan показва признаци, че е добре организирана група от руснаци с много добри познания за шведската политика и социални проблеми. Тяхната очевидна мотивация е да създават атаки, предназначени да засилят напрежението с мюсюлманското малцинство в страната и да оказват натиск върху Турция да остане твърда в отхвърлянето на кандидатурата на Швеция да се присъедини към Организацията на Северноатлантическия пакт. Ако успеят, това може да направи Швеция по-уязвима за бъдещи атаки.

Обществено достъпната информация в канала на Telegram на групата съдържа улики за истинския ѝ произход, каза Вален. На страницата си Anonymous Sudan дава основния си език като руски и местоположението си като Русия, според доклада на Truesec, на който той е автор. Групата също така се присъедини онлайн към Killnet, проруска политическа хакерска група, която атакува организации и държави, които се противопоставят на войната в Украйна. Освен това, официален акаунт, принадлежащ на хакерския колектив Anonymous, отрече всякаква връзка с групата.

Друга улика е, че Anonymous Sudan изглежда добре финансирана. Вместо да използва мрежи от заразени компютри, за да стартира евтини атаки - обичайният начин, по който се извършват хакерските атаки - групата е наела 61 сървъра в Германия от подразделението SoftLayer на IBM Corp., за да извършва своите операции, като ги крие зад слоеве на анонимност, според друга шведска фирма за киберсигурност, Baffin Bay Networks. Две седмици след началото на атаките на Anonymous Sudan, Baffin Bay каза, че е работила с IBM, за да свали сървърите.

„IBM работи с индустриални партньори и правоприлагащи органи, за да идентифицира и адресира злонамереното използване на IBM Cloud платформата, както се случи в този случай“, се казва в изявление на IBM. „Оценяваме партньорството на Baffin Bay Networks по този въпрос.“

Scandinavian Airlines не коментира за своите прекъсвания. SVT и Vattenfall потвърдиха своите инциденти. От Saab отказаха коментар.

Докато Вален и неговият екип не успяха да определят дали Anonymous Sudan се състои от руски правителствени служители или проруски хакери, работещи независимо, Катаржина Зиск, професор по международни отношения в Норвежкия институт за отбранителни изследвания в Осло, каза че времето и организацията на атаките, познанията на хакерите за религиозни и политически спорни точки в Швеция и приликите на атаките с други руски операции за влияние я карат да заключи, че групата е била контролирана или ръководена от руските разузнавателни служби.

„Тази стратегия за създаване на хаос е едно от основните средства, които Русия използва срещу Швеция“, за да усложни нейното приемане в НАТО, каза тя. „Всички тези кампании се движат в една и съща посока.“

Anonymous Судан от своя страна отхвърли твърденията, че работи от името на Русия. „Нямаме нищо общо с Русия“, написа групата в Telegram, след като Truesec публикува доклад през февруари, в който разкрива групата. „Ние им помагаме, защото те са ни помагали преди и това е начин да им върнем услугата.“

Атаките на Anonymous Sudan показват, че предполагаемите руски хакери намират нови начини да се намесят в политическите процеси на демократичните опоненти на страната, според Вален и други експерти по сигурността. Докато войната на президента Владимир Путин в Украйна навлиза във втората си година, руските хакери стават все по-активни в прокарването на геополитическите интереси на страната, казаха експерти.

Само за няколко месеца Anonymous Sudan се превърна в една от най-плодотворните хактивистки групи в интернет и средство за популяризиране на различни руски каузи. Въпреки че групата е предприела атаки срещу страни, включително Дания, Франция, Германия, Индия и Израел, експерти смятат, че основната ѝ цел е да подкопае подкрепата за разширяването на НАТО, което би засилило защитата на Северна Европа срещу руската агресия.

След като Русия нахлу в Украйна миналата година, Швеция и близкият ѝ съюзник Финландия изоставиха дългогодишната си политика на въздържане от военни съюзи и решиха да кандидатстват заедно за присъединяване към организацията. Всичките 30 съществуващи членове трябваше да се съгласят и от самото начало президентът на Турция Реджеп Тайип Ердоган каза, че няма да подкрепи този ход.

Правителството на Ердоган отдавна е раздразнено от дейностите на голямо и политически активно кюрдско малцинство в Швеция, което включва лица, свързани с групи, които Турция смята за терористични.

Миналия юни Швеция, Финландия и Турция постигнаха споразумение относно мерките за осигуряване на път напред. Докато шведските лидери казват, че оттогава са изпълнили всички искания на Турция, преговорите спряха през януари, след като крайнодесен провокатор изгори Корана, което се случи по-малко от две седмици, след като кюрдски активисти обесиха чучело на Ердоган на стълб за лампа близо до кметството на Стокхолм.

Изгарянето на Корана се случи в политически контекст, „който вече беше много чувствителен“, каза Диана Селк-Паулсон, изследовател в Orange Cyberdefense, подразделение на френския телеком Orange S.A., в Малмьо, Швеция. „И киберреакцията на Anonymous Sudan, когато погледнем времето и проруския характер, изглежда доста пресметната.“

За Вален, който е работил 35 години като анализатор в шведските разузнавателни служби, преди да се присъедини към Truesec през 2020 г., руската хакерска офанзива „експертно експлоатира“ политическите уязвимости – а именно нуждата на Швеция да бъде в „благоволението на Турция“ и борбите на страната с асимилиране на хиляди мюсюлмански бежанци - „за да направи кампанията на Швеция за НАТО по-трудна“.

Според националната телевизия SVT руски агенти също са излезли по улиците на европейските столици след изгарянето на Корана като част от операция, целяща да посее раздор между европейските нации и Турция. Документи, изтекли в Центъра за досиета на руския опозиционен активист в изгнание Михаил Ходорковски, показват, че Русия е организирала фалшиви протести в градове като Париж, където хора, твърдящи, че са украинци, показват антитурски транспаранти, изгарят турски флаг и позират за снимки с вдигнати ръце в нацистки поздрави.

Въпреки че е невъзможно да се знае точно колко успешни са тези руски усилия, през април Ердоган инструктира турския парламент да ратифицира влизането на Финландия в НАТО – оставяйки Швеция извън организацията. Нейните перспективи за присъединяване към алианса остават несигурни.

Truesec е основана през 2005 г. от Маркъс Мъри, бивш рейнджър за специални операции в шведския флот, за да защити шведски организации във време, когато най-големите заплахи за компютърните мрежи бяха бързо разпространяващите се компютърни червеи и вируси. Но с развитието на хакерските атаки Truesec се разраства и компанията вече има 300 служители. Откакто Русия нахлу в Крим през 2014 г., акт, който Стокхолм осъди, експертите казват, че темпът на кибератаките, дезинформацията и военните провокации, идващи от Русия, се е увеличил драстично. Руските агенти са използвали различни методи, за да се опитат да манипулират общественото мнение в Швеция относно Украйна и потенциалната кандидатура за НАТО, включително публикуване на фалшиви документи на шведското правителство.

През първата седмица на май, когато премиерът на Швеция и други скандинавски лидери се срещнаха с президента на Украйна във Финландия, за да обещаят постоянна подкрепа за отбраната на Украйна, нов кръг от атаки бяха насочени към полицията и данъчните агенции на Швеция, както и нейния орган за финансов надзор. Проруска група пое отговорност за атаките в социалните мрежи.

„Когато предприемем мерки, те се прегрупират и се връщат в нови формации“, каза главният информационен директор на данъчната агенция Педер Сьоландер. „Те са както компетентни, така и упорити.“

Докато киберкампаниите срещу Швеция все още бледнеят в сравнение с тези, насочени към Украйна и балтийските държави, руските усилия да оформи международния наратив за скандинавската страна станаха по-очевидни през последните години. След бежанската криза от 2015 г., при която страната прие голям брой хора, бягащи от войната и бедността, контролираните от Кремъл медии се стремят да представят Швеция като пропадаща държава, изпълнена с бунтове в предградията, престъпност и тероризъм в резултат на неконтролираната миграция.

„Разбира се, имаше реални проблеми“, каза Микаел Тофвесон, оперативен ръководител на Шведската агенция за психологическа защита, която беше създадена миналата година, за да противодейства на операциите за влияние, насочени към Швеция.

„Имахме бежанска криза и руснаците не създадоха проблемите, а ги засилиха“, отбеляза той. „Общото намерение на различните разкази, които използваха, беше, че не можете да се доверите на правителството.“

Още по темата

Как хакери пробиха защитата на центрове за данни на корпоративни гиганти

Хакерските атаки за откуп срещу индустриални фирми са се увеличили с 87%

Шефът на британската разузнавателна служба предупреждава за вълна от "хакери под наем"

Хакерите модифицират атаките си спрямо страховете и интересите на потребителите

Google: Русия координира хакери за ключови кибератаки, свързани с войната в Украйна

Китайски хакери се представят за тибетски медии, за да събират разузнавателни данни