Одновременно с боевыми действиями на территории Украины война развернулась и в киберпространстве. С обеих сторон конфликта происходят кибердиверсии, массированные DDoS-атаки, публикуются утечки персональных данных и деанонимизируются военные и их родственники. Daily Storm выяснил, что киберконфликт «встряхнул» российскую власть: она начала искать возможности получать объективную информацию без привязки к спецслужбам. Разговаривая с участниками виртуальной войны, мы попытались разобраться в структуре атакующих фаланг. Как в них вступить, как «подняться» на элитный уровень, какие задачи ставятся хакерам «товарищами майорами» (и прислушиваются ли к ним сами киберпреступники).
В день начала вооруженного конфликта на Украине Национальный координационный центр по компьютерным инцидентам (НКЦКИ), созданный в 2018 году по приказу директора ФСБ России Александра Бортникова, выпустил бюллетень для IT-специалистов, в котором оценил уровень киберугрозы для России как «КРИТИЧЕСКИЙ».
Часть экспертов по информационной безопасности посчитали, что НКЦКИ преувеличивает угрозу. Однако дальнейшие события показали, что специалисты координационного центра не ошиблись. В самом начале киберконфликта Россия вынужденно оказалась в защищающейся роли: на российские ресурсы обрушились сотни хакерских атак, ряд ведомств и компаний оказались не готовы к столь массированной «бомбардировке».
Одновременно с ракетными ударами и стрекотом пулеметов с обеих сторон конфликта начались «залпы» из киберорудий. Позже российский МИД назвал происходящее на виртуальном фронте «массированной кибероперацией против нашей страны», а министр цифровой трансформации Украины Михаил Федоров — «первой мировой кибервойной».
Российская власть начала делать оргвыводы уже по ходу виртуальных боевых действий. После масштабной DDoS-атаки Росавиация временно перешла на бумажный документооборот. Затем РБК, ссылаясь на свои источники, сообщил, что Генпрокуратура начала внеплановую проверку Росавиации. А уже 18 апреля Михаил Мишустин уволил заместителя министра транспорта Кирилла Богданова. Череда этих событий, по информации РБК, может быть связана с кибератакой на информресурсы ведомства.
Вместе с этим президент Владимир Путин издал несколько указов, касающихся IT-отрасли. 14 апреля он создал комиссию Совбеза по обеспечению технологического суверенитета РФ, которую возглавил Дмитрий Медведев. А 1 мая президент подписал еще один указ о дополнительных мерах по обеспечению информационной безопасности России. По мнению экспертов, документ предоставил ФСБ «максимально возможные полномочия по информационной безопасности».
В свою очередь, в администрации президента задумались о способах получения объективной информации с помощью источников, не связанных со спецслужбами, утверждают осведомленные собеседники Daily Storm.
OSINT с пометкой «Гос»
11 марта 2022 года журналист Андрей Солдатов сообщил на своей странице в Facebook (признан экстремистским) о возможном задержании Сергея Беседы, руководителя Службы оперативной информации и международных связей ФСБ (5-я служба). По информации журналиста, она занимается внешней разведкой и, предположительно, отвечает за работу спецслужбы на Украине.
«Хищения средств, выделенных на подрывную и агентурную работу на Украине, а также заведомо ложная информация о политической ситуации в Украине», — такие причины возможного попадания Беседы в опалу приводит журналист.
В СК опровергли информацию об аресте генерала ФСБ, а 29 апреля RTVI сообщил, что Сергей Беседа пришел на церемонию прощания с ветераном разведки Николаем Леоновым. Сам генерал на момент публикации этого материала не давал публичных комментариев по поводу слухов о своем аресте.
Как бы там ни было, уже по ходу проведения СВО российская власть действительно «схватилась за голову», всерьез обеспокоившись вопросом получения достоверной информации из независимых источников, рассказывает собеседник Daily Storm, близкий к администрации президента.
«Данные, которые шли [в АП] по Украине, подавались в основном от спецслужб», — говорит собеседник Daily Storm.
И в период, когда обстановка постоянно меняется, сведения преподносятся не всегда корректно.
По словам близкого к администрации президента источника Daily Storm, сейчас в АП при участии Минсвязи идет «целенаправленное прощупывание»: можно ли получать действительно объективную информацию, абсолютно независимую от спецслужб и людей, связанных напрямую с государством?
Одно из рассматриваемых решений проблемы — создание единого сервиса, в рамках которого можно будет привлекать частных специалистов в сфере OSINT (Open Source Intelligence, разведка по открытым источникам) на подрядной основе, утверждает в разговоре с Daily Storm осведомленный источник.
«В АП сейчас нет четкого консенсуса по тем задачам, которые будут ставиться «осинтерам» в условиях кибервойны, — уточняет собеседник. — Есть запрос на разоблачение украинских фейков и поиск возможностей урезать в основных информационных каналах поток [проукраинской] пропаганды. Деанонимизация тех, кто гонит про Россию всякий треш. То есть среди коллег [в администрации] многие просто не понимают, что такое OSINT. Он ведь скорее про поиск объективной и независимой информации без привлечения специальных служб, про подтверждение или опровержение гипотез».
При этом, по словам источника, в администрации сначала скептически отнеслись к идее привлечения OSINT-специалистов, поскольку это «попахивает работой спецслужб, а администрация президента не должна дублировать их работу».
«Но в итоге все устоялось, зеленый свет дан», — резюмирует собеседник.
В аппарате президента также недовольны работой околоправительственных организаций, которым, помимо прочего, ставились как публичные, так и неафишируемые задачи по мониторингу соцсетей и «борьбе с антироссийскими фейками», утверждает в разговоре с Daily Storm источник, знакомый с ситуацией.
В качестве примера таких организаций он приводит Лигу безопасного интернета, которую возглавляет Екатерина Мизулина, и Центр изучения и сетевого мониторинга молодежной среды (ЦИСМ), которым руководит бывший помощник главы Росмолодежи Денис Заварзин.
Начиная с 2014 года, связанные с лигой активисты противодействуют информационным войнам, «развернутым против России». Екатерина Мизулина и Денис Заварзин входят в рабочую группу Общественной палаты России по противодействию распространению недостоверной информации в интернете.
В середине марта 2022 года на брифинге группы Мизулина сообщила, что лиге удалось закрыть несколько тысяч «компрометирующих источников, которые использовали для дезинформации не только соцсети, но и, например, Википедию». По ее оценке, организаторами «различных видов дезинформационных атак на Россию» к середине марта было потрачено 270 миллионов долларов.
«Всем этим организациям администрация президента задает простой вопрос: почему у вас нет обученных и компетентных специалистов? — уточняет собеседник Daily Storm, знакомый с ситуацией. — Здесь нужна была многолетняя и системная работа. В итоге сейчас, когда «приперло», они [руководители организаций] пытаются потушить пожар, кулуарно закидываются к разным OSINT-спецам. Предлагают бесплатно поработать на Родину...»
Среди опрошенных Daily Storm «осинтеров» двое специалистов независимо друг от друга рассказали, что после начала СВО к ним обращались люди, связанные с российской властью («госы»). Еще один OSINT-специалист сообщил изданию, что за полтора месяца до начала боевых действий на Украине к нему обращались сотрудники «из разных подразделений ФСБ». Эффективность взаимодействия с ними, по словам специалиста, оказалась «очень низкой».
Виртуальные фронты
«Поясните, пожалуйста, за звонок на первый урок сегодня. Что за «Слава Украине» играла??? [злобный эмодзи] Что вы детям включили?» — написала 18 апреля мать одного из учеников московской школы №2087 в группе «ВКонтакте» учебного заведения.
Администратор группы ответил разгневанной женщине, что хакерами была «взломана программа удаленного доступа», попросту говоря — получен доступ к ноутбуку, с которого включается школьный звонок.
Подобного рода небольшие диверсии остаются почти незамеченными на фоне беспрецедентного количества атак из крупнокалиберного кибероружия: DDoS- и дефейс-атаки (подмена страницы веб-ресурса) на государственные сайты, деанонимизация военных и публикация их персональных данных, проникновение хакеров в системы крупных частных и государственных компаний.
За два месяца украинские кибервойска совершили более 660 DDoS-атак против российских и белорусских банков и предприятий, утверждает министр цифровой трансформации Украины Михаил Федоров. По его словам, украинской стороной привлечено более 300 тысяч специалистов, в том числе зарубежных, для ведения кибервойны. Российские хакерские группы, судя по данным Microsoft, провели уже более 230 киберопераций против Украины. В 2017 году численность российских кибервойск могла достигать 1000 человек. Сколько специалистов привлечено сейчас — неизвестно.
Первыми, судя по информации СМИ, могли нанести удар российские кибервойска. 23 февраля 2022 года, за день до объявления Владимиром Путиным начала «военной операции» на Украине, DDoS-атаке подверглись сайты украинских госорганов: среди них ресурсы Верховной рады, правительства и МИД. На некоторое время эти порталы перестали открываться, а сайты Минобороны, СБУ и украинского МВД работали с перебоями.
Затем события начали развиваться таким образом, что пока войска регулярной Российской армии продвигались вглубь территории Украины, в виртуальном пространстве Россия была вынуждена занять оборонительную позицию.
Вечером 24 февраля DDoS-атаке подверглись сайты RT. Ответственность за атаку взяло на себя хакерское сообщество Anonymous, тогда же объявившее России кибервойну. Позднее с похожим заявлением выступили хакеры из команды белорусских «Киберпартизан», известные тем, что осенью 2020 года объявили войну режиму Александра Лукашенко.
26 февраля министр цифровой трансформации Украины объявил о создании Telegram-канала IT Army of Ukraine, который открыто публикует оперативные задачи для проукраинских хакеров со всего мира.
Одной из первых целей был выбран российский портал госуслуг — в течение последующих нескольких дней он работал с перебоями. Канал IT Army of Ukraine играет одну из ведущих ролей в украинской киберармии (подробнее о его структуре мы расскажем в следующей главе).
Из-за массированных DDoS-атак часть российских государственных сайтов запретили доступ с иностранных IP-адресов. Например, сайт Минобороны до сих пор доступен лишь с российских, молдавских и сербских «айпишников».
Подобного рода небольшие диверсии остаются почти незамеченными на фоне беспрецедентного количества атак из крупнокалиберного кибероружия: DDoS- и дефейс-атаки (подмена страницы веб-ресурса) на государственные сайты, деанонимизация военных и публикация их персональных данных, проникновение хакеров в системы крупных частных и государственных компаний.
За два месяца украинские кибервойска совершили более 660 DDoS-атак против российских и белорусских банков и предприятий, утверждает министр цифровой трансформации Украины Михаил Федоров. По его словам, украинской стороной привлечено более 300 тысяч специалистов, в том числе зарубежных, для ведения кибервойны. Российские хакерские группы, судя по данным Microsoft, провели уже более 230 киберопераций против Украины. В 2017 году численность российских кибервойск могла достигать 1000 человек. Сколько специалистов привлечено сейчас — неизвестно.
Первыми, судя по информации СМИ, могли нанести удар российские кибервойска. 23 февраля 2022 года, за день до объявления Владимиром Путиным начала «военной операции» на Украине, DDoS-атаке подверглись сайты украинских госорганов: среди них ресурсы Верховной рады, правительства и МИД. На некоторое время эти порталы перестали открываться, а сайты Минобороны, СБУ и украинского МВД работали с перебоями.
Затем события начали развиваться таким образом, что пока войска регулярной Российской армии продвигались вглубь территории Украины, в виртуальном пространстве Россия была вынуждена занять оборонительную позицию.
Вечером 24 февраля DDoS-атаке подверглись сайты RT. Ответственность за атаку взяло на себя хакерское сообщество Anonymous, тогда же объявившее России кибервойну. Позднее с похожим заявлением выступили хакеры из команды белорусских «Киберпартизан», известные тем, что осенью 2020 года объявили войну режиму Александра Лукашенко.
26 февраля министр цифровой трансформации Украины объявил о создании Telegram-канала IT Army of Ukraine, который открыто публикует оперативные задачи для проукраинских хакеров со всего мира.
Одной из первых целей был выбран российский портал госуслуг — в течение последующих нескольких дней он работал с перебоями. Канал IT Army of Ukraine играет одну из ведущих ролей в украинской киберармии (подробнее о его структуре мы расскажем в следующей главе).
Из-за массированных DDoS-атак часть российских государственных сайтов запретили доступ с иностранных IP-адресов. Например, сайт Минобороны до сих пор доступен лишь с российских, молдавских и сербских «айпишников».
Первая крупная дефейс-атака произошла уже 28 февраля. Тогда хакеры, связанные с сообществом Anonymous, заменили главные страницы ряда крупных российских СМИ, таких как «Коммерсантъ», ТАСС, РБК, «Лента» и Znak, якобы обращением от «неравнодушных журналистов России». В нем говорилось о «5300 убитых российских солдатах на Украине за четыре дня». Позднее проукраинским хакерам удалось подменить текст на одной из страниц сайта «МЧС Медиа». Там появились рекомендации «на случай ответного ядерного удара со стороны стран НАТО».
Запомнится эта кибервойна и многочисленными утечками персональных данных. 24 февраля в свободный доступ были выложены данные из украинской государственной системы «Дiя» (аналог российских «Госуслуг»), содержащие более 2,5 миллиона строк с ФИО, паспортными данными, телефонами и адресами украинцев.
«Эта утечка является одной из самых критичных для Украины, — считает эксперт по кибербезопасности, основатель сервиса DLBI Ашот Оганесян. — Также очень чувствительно попадание в паблик данных (утекших четыре года назад) всех водительских удостоверений (содержит 28,4 миллиона строк) и утечка из государственного контактного центра Украины (ukc.gov.ua)».
Для российских граждан «очень неприятными» утечками является слив проукраинским хакером информации о миллионах пользователей ресурса «Пикабу» («возможна деанонимизация людей»), а также утечка юзеров «Яндекс.Еды», считает Оганесян.
«По слухам, базу «Яндекса» слил кто-то с админским доступом, возможно — удаленщик с Украины, — уточняет эксперт. — Судя по дампам, утекло из какой-то подрядной компании «Яндекса». Вроде курьерской службы или связанной с логистикой. В данных нет ничего, кроме того, что нужно доставщику: нет состава заказа, например».
Несмотря на то что кибервойна длится уже более двух месяцев, Алексей Лукацкий, консультант по кибербезопасности в CISCO, не видит принципиально новых рисков для государства и граждан. По его словам, основная проблема — это вопрос импортозамещения, который подспудно наносит критической информационной инфраструктуре России больший урон, чем многократно возросшие DDoS-атаки.
«А количество звонков от «служб безопасности банков» или фишинговых сообщений даже, наоборот, сократилось, — продолжает эксперт. — Уход международных платежных систем и блокировка SWIFT в ряде банков, ограничение переводов за рубеж привели к тому, что выводить деньги у простых россиян мошенникам стало сложнее».
Тем не менее, по словам источника Daily Storm в российских правоохранительных органах, хакеры с обеих сторон конфликта все же пытаются производить атаки на критическую инфраструктуру.
«Для примера: на железнодорожную и транспортную инфраструктуру нашу ежедневно идет огромное количество атак. Недавно вот в одном посту электрического управления стрелками (стрелочными переводами рельс. — Примеч. Daily Storm) обнаружили уязвимость, о которой знал и противник. Поувольняли, конечно, ответственных. Еще чуть-чуть, хакер перевел бы стрелки и поезда бы столкнулись. Оказалось, что в общей Сети был компьютер, который мог управлять этими стрелками. Глупейшая халатность, которая могла стоить кому-то жизни», — рассказывает источник.
С другой стороны, в первые дни кибервойны один пророссийский хакер получил доступ к системе крупного киевского молочного завода, утверждает собеседник Daily Storm. В одном из хакерских чатов он якобы продемонстрировал доказательства проникновения в систему и предложил «довести температуру молока до 150 градусов, чтобы оно испортилось».
«Его, слава богу, быстро осадили, — уточняет источник из правоохранительных органов. — Опять же, могли пострадать невинные люди. Раньше все шутки шутили про «мамкиных хакеров». Виртуальный фронт был очень размытым. Считалось, что максимум, что хакер может сделать, — деньги украсть. Сейчас уже возможно ручку крутануть — и молокозавод обрушить за секунду».
Порядок бьет класс
Большая часть кибератак, производимых обеими сторонами, координируется через специальные Telegram-каналы и чаты. В том числе созданное украинскими властями сообщество IT Army of Ukraine, которое мы упоминали ранее. Сейчас канал насчитывает более 270 тысяч подписчиков.
«В первые дни войны начали появляться хакерские чаты, в которые люди звали друг друга, не особо проверяя, кто есть кто. И росли эти чаты как грибы, — рассказывает Daily Storm хакер, внедрявшийся в группы обеих сторон конфликта. — Раньше хакеры сидели по углам, решали свои задачки. Звали к себе только проверенных людей и тут же давали какие-то пробные поручения. А здесь в чаты поначалу залетали все подряд. Говоришь, мол, я спамер или пентестер, и тебя приглашают в группу. Там сидят десятки человек, либо ультрапророссийские, либо ультрапроукраинские. А иногда и вперемешку. Из украинских чатов тебя быстро выкидывают, если не знаешь их язык. Часть пророссийских хакеров из ДНР или ЛНР, знающих украинский язык, пытались внедряться в украинские чаты. Это напоминало некую биомассу, где люди вроде как разделены на два лагеря, но четкую границу провести невозможно. Все друг на друга льют изо всех подряд орудий».
Поговорив с несколькими хакерами и проанализировав посты в чатах и каналах, Daily Storm попытался сформировать понимание того, как устроено взаимодействие в новообразованных хакерских группах.
Скорее всего, они имеют пирамидальную иерархическую структуру. В основе этой пирамиды стоит публичный Telegram-канал. Самый крупный с проукраинской стороны — IT Army of Ukraine, с пророссийской — We are Killnet (57 тысяч подписчиков), связанный с кибербандой Killnet.
В каналах ежедневно публикуются и распределяются задачи хакерам, там же ведется набор новобранцев. Также создается связанный с каналом публичный чат, куда может вступить любой желающий. В нем периодически появляются сообщения вида «если умеете «ддосить», заходите в следующий чат» и публикуется ссылка на специализированную группу для тестирования кандидатов в «основной состав».
После того как кандидат проходит проверку, его приглашают в одну из полузакрытых групп, каждая из которых заточена на конкретный вид хакерской атаки. У каждого такого чата есть свой руководитель: он проводит отсев новоприбывших и ставит задачи, предварительно согласовав их с вышестоящими администраторами. На самом верху этой пирамидальной иерархии — закрытый чат администраторов основного канала.
У полузакрытых групп есть и горизонтальные ответвления. Например, руководитель чата, где ставятся задачи по проведению DDoS-атак, назначает ответственных за покупку прокси и создание ботнетов, необходимых для этого типа атак. Те, в свою очередь, создают отдельные чаты, в которые зовут продавцов этих инструментов и распространителей вирусов. Последние также создают отдельную группу, где совместно занимаются подготовкой «зловредов», которые заражают компьютеры пользователей, тем самым формируя ботсеть.
В конечном счете получается, что под каждую задачу и подзадачу уже есть сформированная группа исполнителей. При этом все чаты привязаны к единому центру принятия решений — руководителям Telegram-канала, вокруг которого они и образовались.
В первые дни кибервойны у администраторов групп не было времени отсортировывать тысячи участников. Чтобы попасть в чат, желающим нужно было пройти опрос вида «что вы умеете делать?», где из предложенных пунктов можно выбрать свою специализацию. Затем администратор каждой подгруппы добавляет определившихся в небольшие специализированные чаты. Он по отдельности опрашивает новоприбывших либо в общей группе, либо пишет в личные сообщения.
«Любой желающий может проявить себя в публичном чате, где ставятся задачи для массовки, например, скинув деанон российского военного, если мы говорим об украинских чатах, — рассказывает пророссийский хакер, сидевший одновременно в чатах обеих сторон конфликта. — Тогда тебя спросят: «Как решил задачу? А не хочешь подняться к нам, в чат «повыше», где мы деаноним оккупантов?»
По словам хакера, попав в такой чат, человек начинает работать по самым простым задачам: сбор данных по солдатам, психологические атаки и шантаж родственников.
«А если сразу продемонстрируешь хакерские скиллы, — продолжает собеседник Daily Storm, — то можешь попасть в чаты, участники которых заливают шеллы [вредоносные скрипты] на российские сайты, например. Успешно выполняя задачи, ты можешь продвигаться во все более закрытые группы. Но чем выше уровень, тем жестче фейсконтроль: знание языка, общие знакомые, чем занимался раньше. Это уникальная для киберпространства мясорубка, в которой кто-то взлетел моментально и смог закрепиться. Кто-то взлетел и упал. Некоторые вообще пропали с концами».
Задачи, которые публикуются в основном Telegram-канале, сначала отрабатываются, грубо говоря, хакерской элитой, утверждает в разговоре с Daily Storm российский силовик, внедрявшийся в хакерские чаты. Сначала профессиональные киберподразделения, находящиеся наверху иерархической пирамиды, отрабатывают цель. А уже после того, как они ее «отработали», задача загоняется в нижний уровень иерархии, «массовке», то есть публикуется в Telegram-канале. По словам источника, такая система позволяет решить сразу две задачи: «Во-первых, зачистить то, что не успела сделать элита. Во-вторых, найти талантливых новобранцев».
Первой, судя по всему, такую иерархическую модель применила украинская сторона, а уже позднее российские группировки приспособили ее под себя.
«У украинцев это выглядело как заранее подготовленное, разделенное по ролям, хорошо отрежиссированное наступление. В первые дни кибервойны я даже подумал, что украинские хакеры — лучшие в мире, — рассказывает источник. — Но потом понял, что дело скорее не в самих хакерах, а в том, что огромное количество людей работает в четко выстроенной системе. У них почти все цели атак были расписаны заранее в огромных файлах. Тысячи целей, прямо по эшелонам расписанные. То есть они к этому [кибервойне] готовились заранее, это очевидно. Потому что нельзя за три дня быстро расписать все цели».
Киберкрайм на страже Родины
Сотрудники спецслужб и «товарищи майоры» участвуют в кибервойне с обеих сторон, утверждают в разговоре с Daily Storm несколько источников, непосредственных участников хакерских Telegram-чатов. Но в действиях российских киберсолдат поначалу не было той слаженности, которую удалось выстроить в начале войны украинским кибервойскам.
«У наших получилось а-ля мужики с вилами. Побежали, в бой! — рассказывает Daily Storm собеседник из правоохранительных органов. — В России есть очень сильные специалисты, но не было методики обороны и контратаки. Сейчас ситуация выправляется».
Силовиков в чатах, утверждает в разговоре с изданием пророссийский хакер, обнаруживали достаточно быстро. Их подводила топорность методов — «ставили задачу очевидно». Например, в пять разных чатов могли вступить сразу несколько участников с разными никами, но сформулировать одно и то же задание абсолютно одинаковым, шаблонным языком.
«Братья, давайте сейчас быстро все дела отложим и установим личность вот этой украинской мрази, которая мучает наших в таком-то городе, сейчас он находится где-то в Харькове. Наши заняли только что Харьков и есть возможность по горячим следам этого пидора найти, — приводит пример такого сообщения собеседник. — И это транслируется одними и теми же людьми. Понятно, что они либо как-то связаны со спецслужбами, либо являются близкими к ним людьми».
В первую неделю кибервойны участники русскоязычных чатов уважительно слушали силовиков и бросались выполнять спущенные ими задачи, утверждает хакер. На второй неделе уже звучали фразы наподобие «ну это, понятно, товарищи майоры, они ставят задачу, но доверять им полностью нельзя. Если мы раскроем им информацию о своих инструментах, они же потом за нами и придут». А на третьей неделе киберпреступники начали роптать: «Мы тут уже две недели батрачим на вас, деньги тратим на прокси, на DDoS, на сервера. Дайте денег хотя бы на эти расходы».
На что силовики, которые, по словам пророссийского хакера, уже особо и не скрывали свою принадлежность к правоохранительным органам, отвечали: «Какие деньги? За Родину давайте, а потом со всеми рассчитаемся». По словам собеседника Daily Storm, в хакерской среде тогда пошла череда шуток о том, что скоро силовики с ними не просто рассчитаются, а «повесят нахер на рее».
Хакер уверяет, что позднее из чатов стали пропадать люди, из чего все стали делать вывод, что товарищи майоры якобы до них уже добрались. На третьей неделе кибервойны начались чистки чатов и все чаще проявлялось взаимное недоверие.
«Часть людей поверила, что сейчас зажгли «зеленый свет», чекисты всем все разрешили. И начали использовать свою вирусню, чтобы потом ботнеты создавать, — рассказывает Daily Storm свое видение ситуации сотрудник правоохранительных органов. — К ним реально пришли и их закрыли. Зачем? Потому что плевать здесь всем. Здесь у многих [силовиков] мирное время продолжается. Они не видят разницы между пророссийскими хакерами и обычными киберпреступниками. У них есть палочная система: нужно ловить хакеров. Ну вот создал этот хакер какие-то ботнеты, сильно он помог стране во время войны? Да с их точки зрения вообще не помог».
По словам источника, спустя несколько недель непрекращающихся киберсражений, «идейные» хакеры начали формировать новые преступные группировки.
«Часть силовиков все же занимала понятную позицию по хакерам: «Пусть помогают», — уточняет источник. — Но потом эти «идейные» киберпреступники начали формировать отдельные, неполитические группы. Кибервойна создает уникальные условия: в одном чате сидят десятки людей, в умениях которых можно убедиться в бою, обменяться инструментарием. Пару недель на Родину поработали — и хватит. Пора деньги зарабатывать ребятам. Они (хакеры. — Примеч. Daily Storm) не отдают себе пока отчет в том, что боевые действия когда-то закончатся, а сроки давности за совершенные преступления — нет».
***
По состоянию на начало мая в российско-украинском киберконфликте участвуют 72 атрибутированные хакерские группировки, следует из данных OSINT-специалиста Cyberknow20. Среди них 46 проукраинских и 26 пророссийских кибербанд. Подавляющее большинство групп, судя по информации эксперта, специализируется либо на классическом взломе (поиске и реализации уязвимостей), либо на DDoS-атаках.
Из 46 на проукраинской стороне выступает сразу 23 группировки, связанные с Anonymous. Также ИБ-специалистами замечено сразу шесть пророссийских группировок, которые связывают со спецслужбами. Например, 7 апреля компания Microsoft сообщила о попытке взлома украинских СМИ хакерской группой Fancy Bear, которую приписывают к ГРУ. В ФБР считают, что именно они весной 2016 года проникли в систему национального комитета Демократической партии США и выкрали информацию с личного почтового сервера Хиллари Клинтон.
Киберконфликт примечателен не только участием «старой гвардии», но и восхождением новых звезд хакерской сцены. Пророссийская кибербанда Killnet попала и в отчеты Агентства кибербезопасности США, и на страницы зарубежной прессы — в связи с успешными DDoS-атаками на американский, польские и чешские аэропорты, а также сайты правительств Республики Молдова и Румынии. А лидер группировки, хакер с ником Killmilk, в середине апреля дал интервью «Ленте.ру», в котором обозначил свою прогосударственную позицию и заявил, что его банда старается помочь Владимиру Путину на «информационном фронте».
Telegram-канал Killnet появился 24 января 2022 года. Изначально проект задумывался как даркнет-сервис «для убийства сайта», предоставляющий услуги по организации DDoS-атак. В пророссийскую кибергруппировку и непосредственного участника «первой мировой кибервойны» Killnet резко переориентировался 25 февраля, объявив вендетту сообществу Anonymous. А атаковать украинские государственные сайты Killnet начал, судя по словам своего лидера, за 10 часов до ввода российских войск на территорию Украины.
«За день до начала СВО мы имели некоторую информацию о движении войск в сторону Крыма, Донбасса, Воронежа и Белоруссии, — утверждает в разговоре с Daily Storm лидер группы Killmilk. — В этот момент мы тестировали свою систему DDoS-атак. Поэтому местом для пробного полигона выбрали государственные учреждения Украины. Сейчас же мы сменили тактику и прицельно работаем по странам блока НАТО».
Первые сообщения пользователя Killmilk появились на крупнейшем даркнет-форуме Rutor в конце 2021 года. Судя по его словам, хакингом он занимается около 10 лет, но не считает это криминалом:
«DDoS-атака, или взлом чужой жопы, — это не уголовное преступление, а упущение владельца веб-ресурса».
Старожил Rutor и продавец теневых услуг, попросивший не публиковать его никнейм, в разговоре с корреспондентом Daily Storm сообщил, что, по его информации, в среде киберпреступников о Killmilk никто не знал до декабря 2021 года.
За несколько месяцев до начала боевых действий хакер оставлял жесткие комментарии в отношении других национальностей на форуме Rutor, обнаружил Daily Storm. Например, использовал выражения «хачик» и «Украина — страна куколдов». Однако ультраправым он себя не считает.
«Я обычный человек без радикальных взглядов на жизнь, — утверждает Killmilk. — С 2015 года Украина стала для меня чужим измерением. Я потерял много друзей и знакомых в Донбассе, они погибли от снарядов нацистов или ВСУ. Соответственно, мое мнение таково: нацисты должны быть уничтожены всеми способами. В киберпространстве и в физическом смысле».
Хакер дал уклончивый ответ на вопрос корреспондента Daily Storm, продолжит ли он заниматься киберпреступностью после окончания боевых действий на Украине:
«Человек, который родился в даркнете и прожил там всю свою жизнь, никогда не скажет вам, что он больше не будет совершать преступлений в киберпространстве. Даже если я скажу сейчас, что после окончания СВО буду заниматься огородом и строить свою личную жизнь, — это будет неправда. Но я точно никогда не пойду против России и стран дружеского союза».