Professor
Professional
- Messages
- 652
- Reaction score
- 637
- Points
- 93
ХАКЕРСКИЕ ГРУППИРОВКИ.
Узнайте всё о самых известных хакерских группах, изменивших цифровой мир! В этом выпуске мы расскажем о APT28 (Fancy Bear), Conti, Lazarus Group, Lizard Squad и Anonymous — их невероятных атаках, секретных методах и влиянии на мировую политику. Вы услышите о громких взломах, вроде WannaCry, атак на PlayStation и даже о кибервойнах с участием целых государств. Хотите понять, как хакеры становятся ключевыми фигурами в глобальных конфликтах?
Содержание:
Введение: Самые опасные хакерские группы мира
Узнайте, почему хакеры играют ключевую роль в современных цифровых конфликтах.
#5: Anonymous — Кибератаки и борьба за свободу слова
Главные операции Anonymous: от WikiLeaks до атаки на Sony.
Как анонимные хакеры вдохновили протестные движения?
Противостояние с Церковью Саентологии.
История о том, как Anonymous разоблачили культ и стали легендой.
#4: Lizard Squad — Хаос в игровом мире
Взлом PlayStation Network и Xbox Live.
Скандал с самолётом и как это повлияло на репутацию группы?
#3: Lazarus Group — Северокорейские кибервойны
Кибератака на Sony Pictures: месть за фильм «Интервью».
WannaCry и крупнейший вирус-шифровальщик в истории.
Кража $81 млн из Банка Бангладеш.
Как хакеры обманули банковскую систему SWIFT и вызвали глобальный кризис доверия.
#2: Conti — Рэнсомвер-группа с глобальным влиянием
Атака на систему здравоохранения Ирландии: миллионы пациентов под угрозой.
Утечка данных группы: как разоблачение изменило мир киберпреступлений?
#1: APT28 (Fancy Bear) — Кибершпионы из России
Взлом Демократической партии США: как хакеры вмешались в выборы 2016 года.
Нападения на НАТО и энергетический сектор Украины: геополитический аспект атак.
Введение: Самые опасные хакерские группы мира
Сегодня я расскажу вам о пяти самых опасных хакерских группировках, которые шокировали мир своими действиями. Кто-то из них стоит за крупнейшими утечками данных, кто-то парализовал целые города.
Anonymous — Кибератаки и борьба за свободу слова
Anonymous – это сообщество хактивистов, которое не имеет четкой структуры лидеров или единой организации. Их отличительная черта – использование масок Гая Фокса из фильма «В значит Вендетта», символизирующих сопротивление авторитаризму и борьбу за свободу.
Группа прославилась своими атаками против корпораций, правительств и организаций, которые, по их мнению, действуют несправедливо. Основной мотив Anonymous – защита прав человека и свободы слова. Anonymous появился в середине 2000-х годов как явление, связанное с популярным форумом 4chan. На этом сайте пользователи анонимно публиковали контент. Сначала их действия были больше похожи на интернет-шалости, мемы, шутки и массовые рейды на веб-сайты.
Однако со временем Анонимус начали использовать свои навыки для более серьезных целей. В 2008 году в центре внимания Анонимус оказалась Церковь Саентологии – религиозная организация, известная своими спорными методами работы и строгой конфиденциальностью. Конфликт начался после того, как в сеть попало видео с Томом Крузом, известным саентологом, где он описывал эту религию.
Церковь попыталась удалить видео из интернета, ссылаясь на нарушение авторских прав, что вызвало бурю негодования. Анонимус увидели в этом акт цензуры и попытку подавления свободы слова. Для группы, основанной на принципах открытости и свободы информации, это стало вызовом. Анонимус начали с того, что организовали масштабные распределенные атаки типа DDoS на официальные сайты церкви-санитологии, перегружая их запросами.
Сайты оставались недоступными несколько дней подряд. Анонимус отправляли тысячи пустых черных страниц на факсы санитологических центров, чтобы исчерпать их чернила. Звонили в центры и заваливали сотрудников нелепыми вопросами и троллили. Группа выпустила видео с угрозами в адрес церкви санитологии, в котором они заявляли, что уничтожат эту организацию за ее действия.
Это видео стало вирусным и привлекло внимание СМИ. В феврале 2008 года Анонимус организовали массовые протесты у зданий церкви санитологии в разных странах. Участники носили маски Гая Фокса, чтобы скрыть свои лица и показать солидарность с протестующими. Протесты носили мирный характер, а участники держали плакаты с надписями, осуждающими цензуру и методы церкви. Операция Channology стала первым крупным проектом Anonymous, который привлек внимание международных СМИ.
Группа вышла из тени интернет-форумов и стала заметным игроком на политической и социальной арене. Попытки церкви-сайентологии скрыть видео привели к противоположному эффекту. Общественность узнала больше о спорных аспектах их деятельности. Первоначально атака на саентологов началась как шутка ради лузов, но постепенно превратилась в серьезное движение. В 2010 году Wikileaks стал в центре скандала после публикации секретных материалов США. Эти утечки содержали сотни тысяч дипломатических сообщений, раскрывающих действия американского правительства и военных в различных странах.
После этой публикации началось давление на Wikileaks, финансовые компании и сервисы отказались обрабатывать пожертвования для платформы, блокируя ее финансирование. Anonymous подсчитали, что действия финансовых гигантов являются атакой на свободу слова и попыткой подавить правду. Для группы это было неприемлемо, и они решили ответить своими методами – кибератаками и информационной компанией.
Основной целью Anonymous стали сайты компаний, отказавшись работать с Wikileaks – PayPal, MasterCard, Visa, Швейцарский банк PostFinance, закрывший личный счет Асанжу. Anonymous использовали DOS-атаки, чтобы парализовать работу веб-сайтов этих компаний. Серверы Paypal и Mastercard перестали отвечать на запросы, из-за чего клиенты не могли проводить транзакции. DOS-атака на Visa была настолько мощной, что веб-сайт компании был отключен на несколько часов.
Anonymous координировали свои атаки через чаты, предоставляя инструкции участникам о том, как подключиться к ботнету и направить трафик на серверы. Anonymous помогли распространить зеркала сайта Wikileaks, чтобы пользователи могли получить доступ к утечкам, несмотря на попытки блокировки. Они запустили хештеги и организовали информационную кампанию в Twitter, YouTube и других соцсетях.
Операция Payback получила широкое освещение в международных СМИ. Wikileaks стала еще более известной, и публикации привлекли миллионы пользователей. По данным на тот момент, атаки нанесли PayPal и Mastercard, существенный финансовый ущерб, так как временное отключение их сайтов означало потерю тысяч транзакций. PayPal признал, что их блокировка пожертвований для Wikileaks была политически мотивированной. Это подтвердило подозрения Anonymous и укрепило их репутацию как борцов за свободу.
В 2011 году Anonymous провели одну из самых известных кампаний — атаку на Sony, связанную с конфликтом вокруг взлома PlayStation 3. Это событие привело к крупнейшему на тот момент отключению сервиса PlayStation Network, вызвало массовое возмущение среди пользователей и нанесло огромный ущерб репутации Sony. Почему Anonymous атаковали Sony? В начале 2011 года известный хакер Джордж Ходс опубликовал ключи безопасности PlayStation 3, позволяющие устанавливать на консоль неофициальное программное обеспечение, включая пиратские игры.
Sony отреагировала жестко, подала в суд на Geohot и других хакеров, обвинив их в нарушении авторских прав и взломе системы. Anonymous считали, что владельцы PS3 имеют право модифицировать свои устройства, поскольку они за них заплатили. В апреле 2011 года Anonymous объявили операцию об Sony.
Группа начала с атаки на веб-сайты Sony, включая Sony.Com и PlayStation.Com. PlayStation Network, сервис с миллионами активных пользователей, стал основной мишенью. В середине апреля 2011 года PlayStation Network внезапно перестала работать. Пользователи не могли подключиться к серверам, играть в игры, скачивать контент или делать покупки. 20 апреля Sony официально отключила PCN, чтобы предотвратить дальнейшие атаки.
Сеть не работала 23 дня. Это был крупнейший сбой такого рода в истории на тот момент. Позже Sony признала, что во время атаки были украдены личные данные 77 миллионов пользователей, включая имена, адреса, электронные почты и, возможно, данные кредитных карт. Это вызвало панику среди пользователей и привело к расследованиям в разных странах. После отключения PCN, Anonymous опубликовали заявление, в котором отрицали свою причастность к утечке данных.
Они утверждали, что их целью были исключительно протесты против Sony, а не кражи информации. Некоторые эксперты предполагают, что настоящими виновниками утечки данных могла быть другая группа хакеров, которая воспользовалась хаосом, созданным анонимус. Sony оценила ущерб от атаки в 171 миллион долларов. Эти расходы включали компенсацию пользователям, восстановление инфраструктуры и судебные сдержки.
Репутация компании сильно пострадала, миллионы пользователей потеряли доступ к своему контенту и играм. Sony была оштрафована в Европе за ненадлежащую защиту пользовательских данных. В 2015 году после трагических терактов в Париже, хакерская группа Anonymous объявила кипервойну против исламского государства – ИГИЛ. Это была одна из самых амбициозных и масштабных акций Anonymous, направленных на борьбу с терроризмом в цифровом пространстве.
13 ноября 2015 года в Париже произошла серия терактов, организованных ИГИЛ, в которых погибло 130 человек. Эти события шокировали мир, вызвав волну возмущения и страха. Анонимус через видеообращение объявили. Анонимус будут охотиться за вами, мы устраним вас из интернета. Целью операции было уничтожение аккаунтов, страниц и веб-сайтов, связанных с вербовкой и распространением экстремистской идеологии.
Выявление лиц, связанных с ИГИЛ и передача их данных спецслужбам. Уничтожение каналов финансирования и донатов террористическим организациям. Анонимус активно атаковали аккаунты ИГИЛ в Твиттер, Facebook и других соцсетях. К ноябрю 2015 года группа заявила, что отключила более 20 тысяч аккаунтов Twitter, связанных с ИГИЛ. Они передали списки таких аккаунтов спецслужбам.
Anonymous атаковали сайты, используемые ИГИЛ для вербовки, пропаганды и координации. Группа пыталась взломать электронные кошельки и каналы финансирования, связанные с ИГИЛ. Хотя прямого успеха в этой области не было, усилия привлекли внимание к вопросу финансирования терроризма. Это был первый случай, когда хакерская группа объявила войну террористической организации. Твиттер обвинили Anonymous в хаотичных действиях.
Иногда они блокировали аккаунты невинных людей, ошибочно принятых за сторонников ИГИЛ. Какие результаты операции? Тысячи аккаунтов и веб-сайтов были уничтожены или заблокированы. Пропагандистская деятельность террористов в интернете временно замедлилась. Впоследствии Anonymous сосредоточили усилия на Телеграм. Они находили каналы ИГИЛ и передавали данные администраторам платформы. Некоторые спецслужбы заявляли, что действия Anonymous мешают их расследованиям, так как уничтожение аккаунтов затрудняет отслеживание террористов.
Lizard Squad — Хаос в игровом мире
Lizard Squad – одна из самых известных и противоречивых хакерских групп, которая прославилась своими дерзкими атаками, провокационным поведением и созданием хаоса в интернете. В отличие от других хакерских групп, таких как Anonymous, они редко прикрывались высокими идеалами, действуя скорее с желанием получить внимание, унизить тех, кого атаковали или просто веселились.
Первое упоминание о Lizard Squad появилось в середине 2014 года. Вначале они атаковали серверы онлайн-игр, таких как Майнкрафт и стриминговые платформы. Они использовали твиттер и другие соцсети для анонсов своих атак, что привлекло внимание СМИ и общественности. Лизард Сквад в переводе Отряд Ящериц отсылает к хулиганскому стилю и хаосу, который они создавали. У группы не было единого лидера, что характерно для многих современных хакерских организаций.
Участники координировали свои действия через закрытые форумы, чат-группы и зашифрованные каналы. Lizard Squad использовали Твиттер как основной канал для анонсов и насмешек, они публиковали списки своих жертв и заявления о готовящихся атаках. Например, после атаки на Xbox Live они оставили сообщение «Xbox Live лежит, можете насладиться своим оффлайн рождеством».
Группа часто вступала в открытые конфликты с другими хакерскими группами, например с Anonymous, которых они обвиняли в лицемерии и ненужной морали. Эти конфликты иногда перерастали в настоящие кибервойны с атаками друг на друга. Одной из целей группы было монетизировать свои действия. Они создали Lizard Stressor, инструмент для DDoS-атак, который продавали другим хакерам. Lizard Squad не скрывали свои действия и часто хвастались своими успехами.
Они смело вызывали крупные компании на дуэль, утверждая, что те не способны их остановить. В отличие от хакеров, сосредоточенных на шпионаже или кражах данных, Lizard Squad действовали ради самого процесса. Вместо серьезных заявлений, группа публиковала мемы, шутки и провокации. Несмотря на анонимность, несколько членов Lizard Squad все же были разоплачены. В 2015 году власти США, Великобритании и Финляндии провели серию арестов.
После арестов и давления со стороны властей, активность Lizard Squad резко снизилась. Некоторые бывшие участники перешли в другие группы или прекратили хакерскую деятельность. К концу 2014 года Sony PlayStation Network и Microsoft Xbox Live были крупнейшими игровыми сервисами с десятками миллионов активных пользователей. Атака на них гарантировала внимание СМИ и общества. В середине декабря 2014 года Blizzard Squad начали проводить DDoS-атаки на серверы PlayStation Network и Xbox Live.
Уже в первые часы Атак, миллионы пользователей начали жаловаться на невозможность подключиться к своим аккаунтам и играм. В канун Рождества Атака достигла своего пика. Lizard Squad намеренно выбрали это время, зная, что тысячи новых консолей будут распакованы и активированы в этот день. Семьи, которые рассчитывали провести праздники за совместными играми, столкнулись с полной недоступностью сервисов.
PlayStation оставался недоступным более 24 часов. Хотя Microsoft быстрее восстановила работу, некоторые пользователи жаловались на перебой еще несколько дней. Lizard Squad использовали ботнеты для создания огромного количества трафика, перегружающего серверы. Для усиления атак они подключали уязвимые устройства, такие как маршрутизаторы и IOT-устройства. По оценкам экспертов, объем трафика, направленного на серверы Sony и Microsoft, достигал сотен гигабит в секунду, что делало атаку одной из самых мощных на тот момент.
Миллионы геймеров выразили свое разочарование в социальных сетях, обвиняя Sony и Microsoft в неспособности предотвратить атаку. После атаки спрос на инструменты для DDoS-атак, такие как Lizard Stressor, значительно вырос. Одним из самых противоречивых и известных инцидентов, связанных с группой Lizard Squad, стала фейковая угроза взрыва самолета в августе 2014 года.
Этот случай привлек внимание СМИ и властей по всему миру и стал примером того, как киберхулиганы могут использовать интернет для создания хаоса в реальном мире. Целью Lizard Squad стал Джон Смедли, президент подразделения Sony. Смедли в то время руководил разработкой и поддержкой популярных игр, включая Эверквест и Планетсайд. Lizard Squad решили ударить по его репутации, нарушив не только цифровую, но и физическую безопасность.
24 августа Lizard Squad отправили сообщение в Твиттер «Американский авиарейс 362 имеет на борту взрывчатку. Мы нацелились на него». Получив угрозу, авиакомпания American Airlines незамедлительно приняла меры. Самолет был экстренно перенаправлен в аэропорт Феникса, штат Аризона, для эвакуации. Пассажиры, включая Смедли, были вынуждены ждать, пока сотрудники службы безопасности проведут осмотр самолета и багажа.
После тщательной проверки выяснилось, что сообщения были ложными, а взрывчатка на борту отсутствовала. Однако угроза вызвала значительные задержки и нарушения авиасообщения. Группа хотела показать, насколько легко можно парализовать авиакомпанию с помощью простой онлайн-угрозы. Lizard Squad искали возможности для максимальной медийной огласки, и атака на самолет стала их визитной карточкой. Смедли осудил действия Lizard Squad, назвав их террористами и циничными хулиганами.
В январе 2015 года Lizard Squad взломали сайт авиакомпании Malaysia Airlines. На главной странице сайта появилась надпись 404 Plane. Not Found. Это был явный намек на исчезновение рейса MH370. Атака вызвала бурю негодования, так как была воспринята как оскорбление о памяти жертв катастрофы.
Lazarus Group — Северокорейские кибервойны
Lazarus Group – одна из самых известных хакерских организаций, представляет собой нечто большее, чем просто группу киберпреступников.
Её деятельность, по мнению аналитиков, тесно связана с государственными интересами Северной Кореи. Эта группа считается инструментом страны для проведения финансовых, шпионских и разрушительных операций в киберпространстве. Lazarus Group связывает с северокорейской разведкой подразделение 121, киберподразделением, входящим в состав Генерального разведывательного бюро Северной Кореи.
Подразделение 121 было основано в конце 90-х годов и изначально занималась обучением специалистов в области кибервойны, Lazarus Group считается его оперативным крылом, ответственным за атаки за пределами Северной Кореи. Первые подтвержденные следы деятельности Lazarus Group появились в 2007 году. Ранние атаки были направлены на южнокорейские государственные и финансовые структуры, что говорит о геополитической направленности их операции.
Lazarus Group действует под строгим контролем северокорейского правительства. Их деятельность направлена на достижение двух основных целей. Финансовая поддержка режима, добыча денег через взломы банков, криптовалютных бирж и корпоративных сетей. Геополитический шпионаж, сбор данных, подрыв доверия к системам противников Северной Кореи. Эксперты делят Lazarus Group на три основные категории в зависимости от специализации.
Ориентированы на атаки внутри Южной Кореи, специализация, шпионаж, сбор данных и создание хаоса. Финансовое подразделение группы, специализация кража денег через банковские атаки, взлом криптовалютных бирж и финансовых платформ. Участвует в масштабных и шпионских финансовых операциях. Известны своими атаками на международные финансовые системы, включая сеть SWIFT.
В Северной Корее действует ряд специализированных учебных заведений, таких как Университет автоматизации Киммерсена, где готовят хакеров мирового уровня. Студенты, проявившие выдающие способности, отправляются на обучение за границу, в частности в Китай и Россию. После завершения обучения, они получают работу в бюро 121. По данным перебежчиков, хакеры живут в относительно комфортных условиях по сравнению с остальным населением Северной Кореи, имеют доступ к интернету и работают за границей, чтобы избежать ограничения в ресурсах.
Северная Корея находится под строгими международными санкциями, которые ограничивают ее доступ к валютным резервам и технологиям. Lazarus Group стала своеобразным финансовым оружием, способным обходить санкции и обеспечивать приток средств в государственный бюджет. Lazarus Group известна своими сложными, многоэтапными атаками.
Первоначальный этап включает фишинг и установку вредоносного ПО. Далее идет исследование инфраструктуры жертвы и вывод средств, все следы стираются, чтобы затруднить расследование. Группа постоянно совершенствует свои методы, внедряя новые инструменты и стратегии. Группа известна тем, что иногда шантажирует компании, требуя выкуп за нераспространение украденных данных. Для проведения атак Lazarus Group часто создает поддельные компании или приложения.
Например, они создали приложение для трейдинга криптовалютами, зараженное вредоносным ПО. Благодаря поддержке правительства Северной Кореи, обнаружить и задержать членов Lazarus Group практически невозможно. Атака на Sony Pictures в 2014 году стала одной из самых громких в истории. Эта операция продемонстрировала, как киберпреступления могут быть использованы как политическое оружие.
Sony готовила к выпуску фильм-интервью, сатирическую комедию, где главные герои получают задание от СРУ убить северокорейского лидера Ким Чен Ын. Северокорейский МИД предупредил США, что выпуск фильма вызовет суровые последствия. Это заявление позже связывали с атакой, которая произошла за несколько месяцев до премьеры. В ноябре 2014 года группа хакеров проникла в сеть Sony Pictures. Они взломали внутренние серверы компании, используя вредоносное ПО Desktopware, которое уничтожало данные после загрузки.
Хакеры выложили в открытый доступ конфиденциальные данные сотрудников, включая зарплаты и личные переписки, неизданные фильмы Sony Pictures, сценарии будущих проектов, планы развития компании и другие корпоративные документы. Хакеры угрожали терактами в кинотеатрах, которые покажут интервью. Это привело к массовому отказу кинотеатров от показа фильма, и Sony была вынуждена отменить широкий прокат.
Ущерб от утечки данных и восстановительных работ оценивается в 15-20 млн долларов. Компании пришлось полностью перестраивать свою систему безопасности. Утечка внутренних переписок вызвала скандалы, связанные с сексизмом, расизмом и предвзятостью в Голливуде. Некоторые высокопоставленные сотрудники Sony, включая одного из руководителей ушли в отставку. Sony выпустила фильм ограниченным тиражом в кинотеатрах и на стриминговых платформах, включая YouTube.
Президент Барак Обама осудил Sony за решение отменить выпуск фильма. США ввели дополнительные санкции против Северной Кореи, обвиняя ее в причастности к атаке. ФБР официально обвинило Северную Корею в организации атаки. Доказательства приводились IP-адреса, связанные с Северной Корее, схожесть вредоносного ПО с тем, что использовалось в предыдущих атаках, связанных с Lazarus Group.
Одна из самых дерзких кибератак в истории произошла в феврале 2016 года, когда Lazarus Group похитили 81 миллион из Центрального банка Бангладеш, используя уязвимости в международной банковской системе SWIFT. Центральный банк Бангладеш хранит свои валютные резервы в Федеральном резервном банке Нью-Йорка. Эти резервы используются для проведения международных транзакции через систему SWIFT. Lazarus Group выбрала Центральный банк Бангладеш из-за предполагаемых уязвимостей в его системе безопасности.
Хакеры взломали внутреннюю сеть Центрального банка через фишинговые письма, отправленные сотрудником. Они провели несколько месяцев, изучая структуру сети банка и систему SWIFT. Хакеры подделали более 35 запросов на перевод общей суммы около 1 миллиарда из резервов Центрального банка Бангладеш. Они использовали вредоносное ПО, чтобы стереть логи транзакций и затруднить расследование.
Из 35 запросов на общую сумму 1 миллиард были выполнены только 5 транзакций на сумму 101 миллион. 20 миллионов были переведены в Шри-Ланку, но эти средства удалось вернуть из-за ошибки в документах. 81 миллион долларов оказались на счетах в банке на Филиппинах. Деньги, переведенные на Филиппины, были выведены через казино, что сделало их практически невозможными для отслеживания. Использование казино было умным ходом, так как филиппинское законодательство не обязывает казино соблюдать строгие правила противодействия отмывания денег.
Центральный банк Бангладеш обнаружил проблему через несколько дней, когда пытался провести обычную транзакцию, но не смог получить доступ к системе SWIFT. Расследование показало, что логи SWIFT были удалены, а система подверглась атаке. Один из запросов на перевод был направлен в Шарлика Фандэйшн. В нем слово Фандэйшн было написано как Фандэйшн, что вызвало подозрение в Deutsche Bank проверяющего транзакцию.
К расследованию подключились ФБР, Интерпол и эксперты по кибербезопасности. ФБР быстро установила связь между Lazarus Group и Атакой, отметив схожесть вредоносного ПО. Через филиппинское казино было отмыто около 81 миллиона долларов. Если бы все запросы на перевод были выполнены, сумма украденных средств составила бы 1 миллиард долларов. Атака с использованием вируса-вымогателя Ванакрай в мае 2017 года стала одной из крупнейших кибератак в истории, затронувшей более 200 тысяч устройств в 150 странах всего за несколько дней.
За атакой стояла группа Lazarus Group. Ванакрай – это вирус-вымогатель, который использует уязвимость в операционной системе Windows. Вредоносная программа проникала в сеть, зашифровывала файлы пользователей и отображала сообщения с требованием выкупа. Для расшифровки требовалась оплата в биткоинах, обычно от $300 до $600.
Атака началась 12 мая 2017 года и распространилась с невероятной скоростью. Ванакрай использовал механизм червя, чтобы заражать устройства, подключенные к одной сети. Вирус поразил устройства в различных секторах – больницы, транспортные системы, банки, энергетические компании. Ванакрай вывел из строя компьютеры в сотнях больниц, что привело к отмене операции, закрытию отделений и задержкам в лечении пациентов.
Врачи были вынуждены использовать бумажные записи. Французский автопроизводитель Renault остановил производство на нескольких заводах, чтобы предотвратить распространение вируса. В Германии Ванакрай нарушил работу железнодорожной системы, заставив в дисплее информация о поездах показывать сообщения от вируса. Общий ущерб от атаки оценивается в 4,8 миллиарда долларов. Майкрософт выпустила патч для устранения уязвимости в марте 2017 года, за два месяца до атаки.
Однако многие организации не установили обновление, что и позволило вирусу распространяться. Несмотря на масштаб атаки, хакеры собрали относительно небольшую сумму. Многие жертвы отказались платить выкуп. В последние годы Lazarus Group активизировала атаки на криптовалютные биржи и платформы. Используя сложные методы фишинга, вредоносное ПО и взломы систем, группа похищала цифровые активы на миллионы долларов, делая криптобиржи одними из своих главных целей.
Южнокорейская биржа Битхамп несколько раз становилась жертвой Lazarus Group. В 2017 году хакеры похитили данные 30 тысяч пользователей и украли около 7 миллионов долларов. Через год Лазарус украли уже более 30 миллионов долларов у этой биржи. В 2018 году японская биржа Коинчек подверглась атаке, в результате которой было похищено 534 миллиона долларов.
Лазарус Групп использовала зараженные письма для доступа к сети биржи. Это была одна из крупнейших криптоатак в истории. В 2020 году Lazarus Group атаковала сингапурскую биржу Kucoin. Было похищено 281 миллион долларов. Часть украденных средств была восстановлена благодаря отслеживанию транзакции с помощью аналитических платформ. Лазарус Групп похитила более 1,7 миллиарда долларов в криптовалютах за последние годы.
Это стало существенным источником доходов для Северной Кореи.
Conti — Рэнсомвер-группа с глобальным влиянием
Conti – это хакерская группировка, часть специализации атаки с использованием программ-вымогателей. Они стали одними из самых успешных киберпреступников современности с масштабом операций, поражающим своей эффективностью и разрушительностью. Их происхождение, структура и тактика дают глубокое понимание, почему именно эта группа стала столь влиятельной. Конти возникла в 2020 году, но ее корни уходят к более ранним группировкам, таким как Раек и Трикбот.
Райк был известен своими успешными атаками на корпорации и государственные учреждения. Трикбот – это ботнет, который распространял вредоносное ПО и предоставлял первоначальный доступ к зараженным системам. Большинство экспертов сходятся во мнении, что Conti состоит из русскоязычных хакеров. Это подтверждается языком общения участников и кодом программного обеспечения, который избегает атак на системы, где установлен русский язык.
Conti появилась на фоне роста популярности программ-вымогателей. Огромные суммы выкупов, которые выплачивались жертвами, сделали эту нишу особенно прибыльной. Группировка работает как полноценная корпорация с распределением ролей. Разработчики отвечают за создание и обновление вредоносного ПО. Операторы занимаются внедрением программ в целевые системы. Переговорщики участвуют в коммуникации с жертвами, договариваясь о выкупе. Аналитики данных обрабатывают украденную информацию, находя наиболее ценные данные для шантажа.
Conti предоставляла свои инструменты другим хакерам за процент от выкупа. Это позволяло группе масштабировать операции и распространять свое влияние. В 2022 году утечка внутренних документов Conti, опубликованных инсайдером, раскрыла их корпоративный подход. Зарплаты сотрудников колебались от 1,5 до 2 тысяч в месяц для рядовых участников.
Высшее руководство получало десятки и сотни тысяч долларов. Conti выбирает жертв на основе их финансовой состоятельности и уровня киберзащиты. Основные цели это государственное учреждение, здравоохранение и крупные корпорации. Conti заявляла, что не будет атаковать больницы или школы, но как показали их действия, это правило нарушалось. У группы был собственный блог в Даркнете, где они публиковали украденные данные и угрозы, усиливая давление на жертвы.
Они использовали сочетание сложных инструментов, тщательно спланированных методов и уникальных тактик, чтобы захватить и монетизировать доступ к корпоративным и государственным системам. Программа Conti стала визитной карточкой группы. Conti может шифровать данные быстрее, чем большинство конкурентов, благодаря параллельному использованию нескольких потоков обработки данных. Помимо шифрования, Conti крадет данные жертвы.
Если компания отказывается платить, хакеры угрожают опубликовать украденные данные в своем блоке в Даркнете. Этот метод делает отказ от оплаты выкупа крайне рискованным для компаний, особенно если утечка может повлиять на репутацию или привести к судебным разбирательствам. После проникновения в сеть, Conti использует инструменты для повышения привилегий, чтобы получить административный доступ к системам. Conti стремится к распространению своей программы внутри корпоративной сети, атакуя дополнительные устройства.
Это делается для увеличения масштабов атаки и захвата критически важных данных. После завершения разведки, хакеры шифруют данные и уничтожают резервные копии, чтобы заставить жертву заплатить, Conti удаляет и изменяет системные журналы, чтобы затруднить расследование. Группировка Conti известна своей агрессивной тактикой. Если переговоры затягиваются, они начинают публиковать данные, чтобы ускорить процесс оплаты.
Атака на ирландскую систему здравоохранения в 2021 году, совершенной группировкой Conti, стала одной из крупнейших и самых разрушительных кибератак в истории здравоохранения. Она вызвала хаос в национальной системе здравоохранения, парализовала работу больниц, задержала операции и поставила под угрозу жизни тысяч пациентов. Эта атака стала примером того, как киберпреступность может напрямую повлиять на здоровье и безопасность людей.
Conti внедрила свою программу-вымогатель в систему взрывоохранения. Первоначально доступ был получен через фишинговую атаку, направленную на одного из сотрудников. Зараженная система предоставила хакерам доступ к внутренней сети. Хакеры использовали инструменты для горизонтального перемещения внутри сети, такие как Cobalt Strike. Они получили доступ к серверам с данными пациентов, финансовыми документами и другой критически важной информацией.
Программа-вымогатель зашифровала основные системы, сделав их недоступными для сотрудников. Хакеры оставили сообщения с требованием выкупа в размере 20 миллионов долларов. Более 80% IT-систем оказались отключены, что привело к массовым сбоям. Пациенты не могли получить доступ к своим медицинским картам. Операции и консультации были отменены. Пациенты с онкологическими заболеваниями, требующие срочного лечения, не смогли вовремя получить медицинскую помощь.
Экстренные службы работали вручную. Хакеры заявили, что получили доступ к конфиденциальной информации о пациентах, включая медицинские записи, адреса и финансовую информацию. Несмотря на обещание не публиковать данные, страх утечки вызвал общественное беспокойство. Conti предоставила бесплатный инструмент для расшифровки данных через несколько дней после атаки. Это может быть связано с глобальным осуждением их действий и давлением со стороны правоохранительных органов.
Однако восстановление системы оказалось медленным и дорогостоящим из-за масштаба разрушений. Ирландское правительство приняло твердую позицию и отказалось платить хакерам. Восстановление всех систем обошлось Ирландии более чем 100 миллионов евро. Conti выпустила сообщение, в котором пыталась оправдать свои действия, заявив, что они не хотели вредить людям. Эта атака вызвала резонанс в обществе и даже среди хакерских сообществ, что заставило Conti пересмотреть свои действия.
В итоге, группировка Conti стала жертвой внутренних утечек, которые существенно повлияли на ее деятельность. Эти утечки не только осветили внутренние процессы группы, но и дали экспертам по кибербезопасности уникальный шанс изучить методы одной из самых мощных киберпреступных группировок современности. В феврале 2022 года, в первые дни войны России и Украины, группа Conti публично заявила о своей поддержке российской стороны.
Это заявление вызвало острый отклик в хакерских кругах и привело к утечке их внутренних данных. Анонимный инсайдер, предположительно связанный с Украиной, опубликовал значительный объем внутренней информации Conti. Исходные коды вредоносного ПО, внутренние чаты, переписки инструкции, финансовые отчеты, включая данные о выкупах. Более 170 тысяч сообщений из внутренних чатов стали доступны в открытом доступе.
Утечка показала, что группировка зарабатывала миллионы долларов на выкупах. Значительная часть дохода тратилась на разработку новых инструментов, оплату инфраструктуры и подкуп потенциальных инсайдеров в компаниях. Чаты раскрыли информацию о конфликтах между участниками. Например, разработчики жаловались на задержки зарплаты.
Интересные факты из утечки. Группировка тщательно тестировала свое ПО перед атаками, одним из инструментов был уникальный шифровальщик, способный обойти современные антивирусы.
Некоторые члены группы обсуждали политические темы и высказывались в поддержку определенных стран, что создавало внутренние конфликты. Утечка нанесла серьезный удар по репутации и безопасности группы. Правоохранительные органы получили множество полезных данных для расследования. Многие жертвы, увидев разоблачение, отказались платить выкуп, понимая, что группировка уязвима.
APT28 (Fancy Bear) — Кибершпионы из России
Группа считается одной из самых длительно существующих и опытных в киберпространстве. Эксперты связывают APT28 с Главным разведывательным управлением России. Эти предположения основаны на анализе их действий, целей атак и характера работы. Например, часы активности группы совпадают с рабочим днем в московском часовом поясе, использование инструментов и методов, характерных для спецслужб, направленность атак на геополитические цели, такие как НАТО, Евросоюз и политические партии западных стран. APT28 ориентирована на государственный кибершпионаж и вмешательство в международные дела.
Их задачи включают сбор разведданных, дискредитация оппонентов, вмешательство в политические процессы и военная разведка. APT28 – это высокоорганизованная группа с четким разделением ролей. Разработчики ПО отвечают за создание вредоносных программ, операторы проводят атаки, управляют серверами команд и контроля, взаимодействуют с жертвами через фишинговые компании или уязвимые системы. Аналитики разведданных обрабатывают собранные данные, чтобы сделать их полезными для дальнейших операций.
Например, систематизируют документы, украденные из серверов политических партий. APT28 работает в условиях строгой секретности. Члены группы редко имеют полную информацию о масштабах операции. Децентрализованный подход позволяет минимизировать риски утечки информации, если кто-то из участников будет пойман. APT28 известна своей терпеливостью.
Они могут находиться в системе жертвы годами, незаметно собирая данные. Появление APT28 связано с усилением роли киберразведки в стратегии российских спецслужб в начале 2000-х годов. В отличие от APT29, КОЗИ-Б, которая также ассоциируется с Россией, APT28 больше ориентирована на политическое вмешательство, чем на шпионаж. APT28 известна своей стратегической длинновидностью. Некоторые из операций, например взломы НАТО, начались еще в седьмом году, задолго до того, как стали публичными.
Фишинговые атаки являются ключевым методом проникновения APT28. Группа тщательно изучает своих жертв перед атакой, включая их привычки, контакты и интересы. Создаются письма, которые выглядят максимально достоверно, например, сообщения от коллег, банков или государственных учреждений. Часто используются вложения с вредоносными макросами, например, документы Word или Excel.
В 2016 году группа использовала фишинговые письма для взлома аккаунтов сотрудников Национального комитета партии США. Письма содержали ссылки на поддельные страницы входа в Google. Жертвы вводили свои учетные данные, которые тут же попадали в руки хакеров. APT28 активно использует нулевые уязвимости. Ранее неизвестной уязвимости в программном обеспечении. В атаках на НАТО и Евросоюз группа использовала уязвимости в Microsoft Word и Windows, позволяющие удаленно использовать код.
APT28 поддерживает обширный арсенал эксплойтов для различных операционных систем и приложений. Они разрабатывают собственные вредоносные программы, которые отличаются высокой сложностью. APT28 активно пытается скрыть свою принадлежность к России. Они используют символики других стран, чтобы запутать следователей, например, оставление фальшивых следов, указывающих на Китай, применение инструментов с англоязычными интерфейсами.
В 2016 году США готовились к президентским выборам, на которых основными кандидатами были Хилари Клинтон и Дональд Трамп. APT28 использовала целенаправленный фишинг для получения доступа к системам ДНС. Жертвам были отправлены электронные письма, имитирующие уведомления безопасности от Google. В письмах содержалась ссылка на фальшивую страницу входа в Google. Когда сотрудники вводили свои учетные данные, хакеры получали доступ к их аккаунтам.
Один из взломанных аккаунтов принадлежал Джоне Подесте, главе избирательного штаба Хилари Клинтон. Его электронные письма содержали конфиденциальные данные о стратегии кампании. Украденные данные были переданы в Викиликс, который начал опубликовать их за несколько месяцев до выборов. Раскрытые данные вызвали скандал, в результате которого глава ДНС подала в отставку. Американские спецслужбы обвинили Россию в координации этой атаки.
В 2016 году были введены санкции против России, включая выдворение 35 российских дипломатов. В 2016 году APT28 провела серию атак на всемирное антидопинговое агентство. Предыстория атаки. В 2015 году разразился крупный допинговый скандал. Расследование ВАДа выявило систематическое использование допинга российскими спортсменами. В результате сборная России была временно отстранена от участия в международных соревнованиях, включая Олимпиаду.
Хакеры использовали метод фишинга, чтобы получить доступ к внутренним документам ВАДа. Были похищены медицинские записи известных спортсменов, включая разрешение на использование запрещенных веществ. Похищенные материалы были размещены на сайте ФНСБ и активно распространялись через социальные сети. В них утверждалось, что западные спортсмены легально используют запрещенные вещества.
Хакеры акцентировали внимание на том, что звезды мирового спорта, такие как Сирена Уильямс и Симон Байлз, якобы пользовались привилегиями, позволяющими принимать препараты, запрещенные для других спортсменов. Вместо обсуждения допинга в России, общественность начала дискутировать о двойных стандартах в международном спорте. ФНСБ утверждало, что ВАДОС закрывает глаза на допинг в западных странах, что подорвало доверие к организации. Скандал вызвал волну недоверия к антидопинговой системе.
СМИ широко освещали утечку, что усилило разногласия между странами на тему справедливости в спорте. Эти события усилили напряженность в отношении между Западом и Россией. Кибератака на президентскую кампанию Эммануэля Макрона в 2017 году стала одной из самых громких операций, предположительно связанной с группой APT28. Французские выборы 2017 года проходили в условиях обострения международной напряженности. Эксперты считают, что цель атаки заключалась в том, чтобы подорвать избирательную кампанию Макрона и укрепить позиции более пророссийских кандидатов.
Хакеры использовали методы фишинга, отправляя сотрудникам кампании поддельные электронные письма, замаскированные под внутренние сообщения. Злоумышленники получали доступ к учетным записям и данным. В результате атаки хакеры похитили более 20 тысяч документов, включая переписку, финансовую отчетность, стратегические планы и личную информацию. За два дня до второго тура выборов похищенные данные были опубликованы в интернете под названием Macron Leaks.
Документы распространялись через форумы, твиттеры и другие платформы. В похищенных документах хакеры пытались найти компрометирующую информацию, которая могла бы повредить репутации Макрона и уменьшить его шансы на победу. Среди реальных документов были внедрены поддельные материалы, включая ложные утверждения о финансовых махинациях и налоговых уклонениях. Команда Макрона заранее знала о попытках хакеров проникнуть в их систему, а не намеренно загрузили фальшивые документы, чтобы запутать злоумышленников и снизить эффект утечек.
Французское законодательство запретило СМИ публиковать или обсуждать утечки за два дня до выборов, что существенно снизило их влияние. Несмотря на утечку, Макрон одержал уверенную победу, получив более 66% голосов. Метаданные некоторых похищенных документов содержали русскоязычные символы, что стало косвенным доказательством причастности APT28.
Группа APT28 неоднократно проводила кибератаки на структуры НАТО и связанные с ним государственные учреждения. Эти атаки, проводимые на протяжении более 10 лет, были направлены на шпионаж и дезинформацию. Они стали частью масштабной кибервойны, связанной с геополитической напряженностью между Россией и странами НАТО. Одной из наиболее известных и разрушительных компаний группы APT28 стали кибератаки на энергетический сектор Украины.
В 2015 году 3 украинские энергетические компании, обслуживающие регионы Ивано-Франковска, Киевской области и Львова. 225 тысяч человек остались без электричества на несколько часов. Хакеры отправили фальшивые письма сотрудникам энергетических компаний с вложениями, содержащими вредоносное ПО. Программа проникла в сети компаний, позволяя атакующим захватывать контроль над их системами. Хакеры получили доступ к Эскадо системам и отключили подстанции вручную.
Использовалась ПО Kill Disk, чтобы уничтожить критические важные файлы и усложнить восстановление систем. Хакеры также атаковали телефонные линии энергетических компаний, чтобы предотвратить оперативное восстановление работы. Впервые в истории атака была полностью выполнена дистанционно, без физического доступа к объектам. APT28 продолжает оставаться одной из самых влиятельных и обсуждаемых хакерских групп.
Узнайте всё о самых известных хакерских группах, изменивших цифровой мир! В этом выпуске мы расскажем о APT28 (Fancy Bear), Conti, Lazarus Group, Lizard Squad и Anonymous — их невероятных атаках, секретных методах и влиянии на мировую политику. Вы услышите о громких взломах, вроде WannaCry, атак на PlayStation и даже о кибервойнах с участием целых государств. Хотите понять, как хакеры становятся ключевыми фигурами в глобальных конфликтах?
Содержание:
Введение: Самые опасные хакерские группы мира
Узнайте, почему хакеры играют ключевую роль в современных цифровых конфликтах.
#5: Anonymous — Кибератаки и борьба за свободу слова
Главные операции Anonymous: от WikiLeaks до атаки на Sony.
Как анонимные хакеры вдохновили протестные движения?
Противостояние с Церковью Саентологии.
История о том, как Anonymous разоблачили культ и стали легендой.
#4: Lizard Squad — Хаос в игровом мире
Взлом PlayStation Network и Xbox Live.
Скандал с самолётом и как это повлияло на репутацию группы?
#3: Lazarus Group — Северокорейские кибервойны
Кибератака на Sony Pictures: месть за фильм «Интервью».
WannaCry и крупнейший вирус-шифровальщик в истории.
Кража $81 млн из Банка Бангладеш.
Как хакеры обманули банковскую систему SWIFT и вызвали глобальный кризис доверия.
#2: Conti — Рэнсомвер-группа с глобальным влиянием
Атака на систему здравоохранения Ирландии: миллионы пациентов под угрозой.
Утечка данных группы: как разоблачение изменило мир киберпреступлений?
#1: APT28 (Fancy Bear) — Кибершпионы из России
Взлом Демократической партии США: как хакеры вмешались в выборы 2016 года.
Нападения на НАТО и энергетический сектор Украины: геополитический аспект атак.
Введение: Самые опасные хакерские группы мира
Сегодня я расскажу вам о пяти самых опасных хакерских группировках, которые шокировали мир своими действиями. Кто-то из них стоит за крупнейшими утечками данных, кто-то парализовал целые города.
Anonymous — Кибератаки и борьба за свободу слова
Anonymous – это сообщество хактивистов, которое не имеет четкой структуры лидеров или единой организации. Их отличительная черта – использование масок Гая Фокса из фильма «В значит Вендетта», символизирующих сопротивление авторитаризму и борьбу за свободу.
Группа прославилась своими атаками против корпораций, правительств и организаций, которые, по их мнению, действуют несправедливо. Основной мотив Anonymous – защита прав человека и свободы слова. Anonymous появился в середине 2000-х годов как явление, связанное с популярным форумом 4chan. На этом сайте пользователи анонимно публиковали контент. Сначала их действия были больше похожи на интернет-шалости, мемы, шутки и массовые рейды на веб-сайты.
Однако со временем Анонимус начали использовать свои навыки для более серьезных целей. В 2008 году в центре внимания Анонимус оказалась Церковь Саентологии – религиозная организация, известная своими спорными методами работы и строгой конфиденциальностью. Конфликт начался после того, как в сеть попало видео с Томом Крузом, известным саентологом, где он описывал эту религию.
Церковь попыталась удалить видео из интернета, ссылаясь на нарушение авторских прав, что вызвало бурю негодования. Анонимус увидели в этом акт цензуры и попытку подавления свободы слова. Для группы, основанной на принципах открытости и свободы информации, это стало вызовом. Анонимус начали с того, что организовали масштабные распределенные атаки типа DDoS на официальные сайты церкви-санитологии, перегружая их запросами.
Сайты оставались недоступными несколько дней подряд. Анонимус отправляли тысячи пустых черных страниц на факсы санитологических центров, чтобы исчерпать их чернила. Звонили в центры и заваливали сотрудников нелепыми вопросами и троллили. Группа выпустила видео с угрозами в адрес церкви санитологии, в котором они заявляли, что уничтожат эту организацию за ее действия.
Это видео стало вирусным и привлекло внимание СМИ. В феврале 2008 года Анонимус организовали массовые протесты у зданий церкви санитологии в разных странах. Участники носили маски Гая Фокса, чтобы скрыть свои лица и показать солидарность с протестующими. Протесты носили мирный характер, а участники держали плакаты с надписями, осуждающими цензуру и методы церкви. Операция Channology стала первым крупным проектом Anonymous, который привлек внимание международных СМИ.
Группа вышла из тени интернет-форумов и стала заметным игроком на политической и социальной арене. Попытки церкви-сайентологии скрыть видео привели к противоположному эффекту. Общественность узнала больше о спорных аспектах их деятельности. Первоначально атака на саентологов началась как шутка ради лузов, но постепенно превратилась в серьезное движение. В 2010 году Wikileaks стал в центре скандала после публикации секретных материалов США. Эти утечки содержали сотни тысяч дипломатических сообщений, раскрывающих действия американского правительства и военных в различных странах.
После этой публикации началось давление на Wikileaks, финансовые компании и сервисы отказались обрабатывать пожертвования для платформы, блокируя ее финансирование. Anonymous подсчитали, что действия финансовых гигантов являются атакой на свободу слова и попыткой подавить правду. Для группы это было неприемлемо, и они решили ответить своими методами – кибератаками и информационной компанией.
Основной целью Anonymous стали сайты компаний, отказавшись работать с Wikileaks – PayPal, MasterCard, Visa, Швейцарский банк PostFinance, закрывший личный счет Асанжу. Anonymous использовали DOS-атаки, чтобы парализовать работу веб-сайтов этих компаний. Серверы Paypal и Mastercard перестали отвечать на запросы, из-за чего клиенты не могли проводить транзакции. DOS-атака на Visa была настолько мощной, что веб-сайт компании был отключен на несколько часов.
Anonymous координировали свои атаки через чаты, предоставляя инструкции участникам о том, как подключиться к ботнету и направить трафик на серверы. Anonymous помогли распространить зеркала сайта Wikileaks, чтобы пользователи могли получить доступ к утечкам, несмотря на попытки блокировки. Они запустили хештеги и организовали информационную кампанию в Twitter, YouTube и других соцсетях.
Операция Payback получила широкое освещение в международных СМИ. Wikileaks стала еще более известной, и публикации привлекли миллионы пользователей. По данным на тот момент, атаки нанесли PayPal и Mastercard, существенный финансовый ущерб, так как временное отключение их сайтов означало потерю тысяч транзакций. PayPal признал, что их блокировка пожертвований для Wikileaks была политически мотивированной. Это подтвердило подозрения Anonymous и укрепило их репутацию как борцов за свободу.
В 2011 году Anonymous провели одну из самых известных кампаний — атаку на Sony, связанную с конфликтом вокруг взлома PlayStation 3. Это событие привело к крупнейшему на тот момент отключению сервиса PlayStation Network, вызвало массовое возмущение среди пользователей и нанесло огромный ущерб репутации Sony. Почему Anonymous атаковали Sony? В начале 2011 года известный хакер Джордж Ходс опубликовал ключи безопасности PlayStation 3, позволяющие устанавливать на консоль неофициальное программное обеспечение, включая пиратские игры.
Sony отреагировала жестко, подала в суд на Geohot и других хакеров, обвинив их в нарушении авторских прав и взломе системы. Anonymous считали, что владельцы PS3 имеют право модифицировать свои устройства, поскольку они за них заплатили. В апреле 2011 года Anonymous объявили операцию об Sony.
Группа начала с атаки на веб-сайты Sony, включая Sony.Com и PlayStation.Com. PlayStation Network, сервис с миллионами активных пользователей, стал основной мишенью. В середине апреля 2011 года PlayStation Network внезапно перестала работать. Пользователи не могли подключиться к серверам, играть в игры, скачивать контент или делать покупки. 20 апреля Sony официально отключила PCN, чтобы предотвратить дальнейшие атаки.
Сеть не работала 23 дня. Это был крупнейший сбой такого рода в истории на тот момент. Позже Sony признала, что во время атаки были украдены личные данные 77 миллионов пользователей, включая имена, адреса, электронные почты и, возможно, данные кредитных карт. Это вызвало панику среди пользователей и привело к расследованиям в разных странах. После отключения PCN, Anonymous опубликовали заявление, в котором отрицали свою причастность к утечке данных.
Они утверждали, что их целью были исключительно протесты против Sony, а не кражи информации. Некоторые эксперты предполагают, что настоящими виновниками утечки данных могла быть другая группа хакеров, которая воспользовалась хаосом, созданным анонимус. Sony оценила ущерб от атаки в 171 миллион долларов. Эти расходы включали компенсацию пользователям, восстановление инфраструктуры и судебные сдержки.
Репутация компании сильно пострадала, миллионы пользователей потеряли доступ к своему контенту и играм. Sony была оштрафована в Европе за ненадлежащую защиту пользовательских данных. В 2015 году после трагических терактов в Париже, хакерская группа Anonymous объявила кипервойну против исламского государства – ИГИЛ. Это была одна из самых амбициозных и масштабных акций Anonymous, направленных на борьбу с терроризмом в цифровом пространстве.
13 ноября 2015 года в Париже произошла серия терактов, организованных ИГИЛ, в которых погибло 130 человек. Эти события шокировали мир, вызвав волну возмущения и страха. Анонимус через видеообращение объявили. Анонимус будут охотиться за вами, мы устраним вас из интернета. Целью операции было уничтожение аккаунтов, страниц и веб-сайтов, связанных с вербовкой и распространением экстремистской идеологии.
Выявление лиц, связанных с ИГИЛ и передача их данных спецслужбам. Уничтожение каналов финансирования и донатов террористическим организациям. Анонимус активно атаковали аккаунты ИГИЛ в Твиттер, Facebook и других соцсетях. К ноябрю 2015 года группа заявила, что отключила более 20 тысяч аккаунтов Twitter, связанных с ИГИЛ. Они передали списки таких аккаунтов спецслужбам.
Anonymous атаковали сайты, используемые ИГИЛ для вербовки, пропаганды и координации. Группа пыталась взломать электронные кошельки и каналы финансирования, связанные с ИГИЛ. Хотя прямого успеха в этой области не было, усилия привлекли внимание к вопросу финансирования терроризма. Это был первый случай, когда хакерская группа объявила войну террористической организации. Твиттер обвинили Anonymous в хаотичных действиях.
Иногда они блокировали аккаунты невинных людей, ошибочно принятых за сторонников ИГИЛ. Какие результаты операции? Тысячи аккаунтов и веб-сайтов были уничтожены или заблокированы. Пропагандистская деятельность террористов в интернете временно замедлилась. Впоследствии Anonymous сосредоточили усилия на Телеграм. Они находили каналы ИГИЛ и передавали данные администраторам платформы. Некоторые спецслужбы заявляли, что действия Anonymous мешают их расследованиям, так как уничтожение аккаунтов затрудняет отслеживание террористов.
Lizard Squad — Хаос в игровом мире
Lizard Squad – одна из самых известных и противоречивых хакерских групп, которая прославилась своими дерзкими атаками, провокационным поведением и созданием хаоса в интернете. В отличие от других хакерских групп, таких как Anonymous, они редко прикрывались высокими идеалами, действуя скорее с желанием получить внимание, унизить тех, кого атаковали или просто веселились.
Первое упоминание о Lizard Squad появилось в середине 2014 года. Вначале они атаковали серверы онлайн-игр, таких как Майнкрафт и стриминговые платформы. Они использовали твиттер и другие соцсети для анонсов своих атак, что привлекло внимание СМИ и общественности. Лизард Сквад в переводе Отряд Ящериц отсылает к хулиганскому стилю и хаосу, который они создавали. У группы не было единого лидера, что характерно для многих современных хакерских организаций.
Участники координировали свои действия через закрытые форумы, чат-группы и зашифрованные каналы. Lizard Squad использовали Твиттер как основной канал для анонсов и насмешек, они публиковали списки своих жертв и заявления о готовящихся атаках. Например, после атаки на Xbox Live они оставили сообщение «Xbox Live лежит, можете насладиться своим оффлайн рождеством».
Группа часто вступала в открытые конфликты с другими хакерскими группами, например с Anonymous, которых они обвиняли в лицемерии и ненужной морали. Эти конфликты иногда перерастали в настоящие кибервойны с атаками друг на друга. Одной из целей группы было монетизировать свои действия. Они создали Lizard Stressor, инструмент для DDoS-атак, который продавали другим хакерам. Lizard Squad не скрывали свои действия и часто хвастались своими успехами.
Они смело вызывали крупные компании на дуэль, утверждая, что те не способны их остановить. В отличие от хакеров, сосредоточенных на шпионаже или кражах данных, Lizard Squad действовали ради самого процесса. Вместо серьезных заявлений, группа публиковала мемы, шутки и провокации. Несмотря на анонимность, несколько членов Lizard Squad все же были разоплачены. В 2015 году власти США, Великобритании и Финляндии провели серию арестов.
После арестов и давления со стороны властей, активность Lizard Squad резко снизилась. Некоторые бывшие участники перешли в другие группы или прекратили хакерскую деятельность. К концу 2014 года Sony PlayStation Network и Microsoft Xbox Live были крупнейшими игровыми сервисами с десятками миллионов активных пользователей. Атака на них гарантировала внимание СМИ и общества. В середине декабря 2014 года Blizzard Squad начали проводить DDoS-атаки на серверы PlayStation Network и Xbox Live.
Уже в первые часы Атак, миллионы пользователей начали жаловаться на невозможность подключиться к своим аккаунтам и играм. В канун Рождества Атака достигла своего пика. Lizard Squad намеренно выбрали это время, зная, что тысячи новых консолей будут распакованы и активированы в этот день. Семьи, которые рассчитывали провести праздники за совместными играми, столкнулись с полной недоступностью сервисов.
PlayStation оставался недоступным более 24 часов. Хотя Microsoft быстрее восстановила работу, некоторые пользователи жаловались на перебой еще несколько дней. Lizard Squad использовали ботнеты для создания огромного количества трафика, перегружающего серверы. Для усиления атак они подключали уязвимые устройства, такие как маршрутизаторы и IOT-устройства. По оценкам экспертов, объем трафика, направленного на серверы Sony и Microsoft, достигал сотен гигабит в секунду, что делало атаку одной из самых мощных на тот момент.
Миллионы геймеров выразили свое разочарование в социальных сетях, обвиняя Sony и Microsoft в неспособности предотвратить атаку. После атаки спрос на инструменты для DDoS-атак, такие как Lizard Stressor, значительно вырос. Одним из самых противоречивых и известных инцидентов, связанных с группой Lizard Squad, стала фейковая угроза взрыва самолета в августе 2014 года.
Этот случай привлек внимание СМИ и властей по всему миру и стал примером того, как киберхулиганы могут использовать интернет для создания хаоса в реальном мире. Целью Lizard Squad стал Джон Смедли, президент подразделения Sony. Смедли в то время руководил разработкой и поддержкой популярных игр, включая Эверквест и Планетсайд. Lizard Squad решили ударить по его репутации, нарушив не только цифровую, но и физическую безопасность.
24 августа Lizard Squad отправили сообщение в Твиттер «Американский авиарейс 362 имеет на борту взрывчатку. Мы нацелились на него». Получив угрозу, авиакомпания American Airlines незамедлительно приняла меры. Самолет был экстренно перенаправлен в аэропорт Феникса, штат Аризона, для эвакуации. Пассажиры, включая Смедли, были вынуждены ждать, пока сотрудники службы безопасности проведут осмотр самолета и багажа.
После тщательной проверки выяснилось, что сообщения были ложными, а взрывчатка на борту отсутствовала. Однако угроза вызвала значительные задержки и нарушения авиасообщения. Группа хотела показать, насколько легко можно парализовать авиакомпанию с помощью простой онлайн-угрозы. Lizard Squad искали возможности для максимальной медийной огласки, и атака на самолет стала их визитной карточкой. Смедли осудил действия Lizard Squad, назвав их террористами и циничными хулиганами.
В январе 2015 года Lizard Squad взломали сайт авиакомпании Malaysia Airlines. На главной странице сайта появилась надпись 404 Plane. Not Found. Это был явный намек на исчезновение рейса MH370. Атака вызвала бурю негодования, так как была воспринята как оскорбление о памяти жертв катастрофы.
Lazarus Group — Северокорейские кибервойны
Lazarus Group – одна из самых известных хакерских организаций, представляет собой нечто большее, чем просто группу киберпреступников.
Её деятельность, по мнению аналитиков, тесно связана с государственными интересами Северной Кореи. Эта группа считается инструментом страны для проведения финансовых, шпионских и разрушительных операций в киберпространстве. Lazarus Group связывает с северокорейской разведкой подразделение 121, киберподразделением, входящим в состав Генерального разведывательного бюро Северной Кореи.
Подразделение 121 было основано в конце 90-х годов и изначально занималась обучением специалистов в области кибервойны, Lazarus Group считается его оперативным крылом, ответственным за атаки за пределами Северной Кореи. Первые подтвержденные следы деятельности Lazarus Group появились в 2007 году. Ранние атаки были направлены на южнокорейские государственные и финансовые структуры, что говорит о геополитической направленности их операции.
Lazarus Group действует под строгим контролем северокорейского правительства. Их деятельность направлена на достижение двух основных целей. Финансовая поддержка режима, добыча денег через взломы банков, криптовалютных бирж и корпоративных сетей. Геополитический шпионаж, сбор данных, подрыв доверия к системам противников Северной Кореи. Эксперты делят Lazarus Group на три основные категории в зависимости от специализации.
Ориентированы на атаки внутри Южной Кореи, специализация, шпионаж, сбор данных и создание хаоса. Финансовое подразделение группы, специализация кража денег через банковские атаки, взлом криптовалютных бирж и финансовых платформ. Участвует в масштабных и шпионских финансовых операциях. Известны своими атаками на международные финансовые системы, включая сеть SWIFT.
В Северной Корее действует ряд специализированных учебных заведений, таких как Университет автоматизации Киммерсена, где готовят хакеров мирового уровня. Студенты, проявившие выдающие способности, отправляются на обучение за границу, в частности в Китай и Россию. После завершения обучения, они получают работу в бюро 121. По данным перебежчиков, хакеры живут в относительно комфортных условиях по сравнению с остальным населением Северной Кореи, имеют доступ к интернету и работают за границей, чтобы избежать ограничения в ресурсах.
Северная Корея находится под строгими международными санкциями, которые ограничивают ее доступ к валютным резервам и технологиям. Lazarus Group стала своеобразным финансовым оружием, способным обходить санкции и обеспечивать приток средств в государственный бюджет. Lazarus Group известна своими сложными, многоэтапными атаками.
Первоначальный этап включает фишинг и установку вредоносного ПО. Далее идет исследование инфраструктуры жертвы и вывод средств, все следы стираются, чтобы затруднить расследование. Группа постоянно совершенствует свои методы, внедряя новые инструменты и стратегии. Группа известна тем, что иногда шантажирует компании, требуя выкуп за нераспространение украденных данных. Для проведения атак Lazarus Group часто создает поддельные компании или приложения.
Например, они создали приложение для трейдинга криптовалютами, зараженное вредоносным ПО. Благодаря поддержке правительства Северной Кореи, обнаружить и задержать членов Lazarus Group практически невозможно. Атака на Sony Pictures в 2014 году стала одной из самых громких в истории. Эта операция продемонстрировала, как киберпреступления могут быть использованы как политическое оружие.
Sony готовила к выпуску фильм-интервью, сатирическую комедию, где главные герои получают задание от СРУ убить северокорейского лидера Ким Чен Ын. Северокорейский МИД предупредил США, что выпуск фильма вызовет суровые последствия. Это заявление позже связывали с атакой, которая произошла за несколько месяцев до премьеры. В ноябре 2014 года группа хакеров проникла в сеть Sony Pictures. Они взломали внутренние серверы компании, используя вредоносное ПО Desktopware, которое уничтожало данные после загрузки.
Хакеры выложили в открытый доступ конфиденциальные данные сотрудников, включая зарплаты и личные переписки, неизданные фильмы Sony Pictures, сценарии будущих проектов, планы развития компании и другие корпоративные документы. Хакеры угрожали терактами в кинотеатрах, которые покажут интервью. Это привело к массовому отказу кинотеатров от показа фильма, и Sony была вынуждена отменить широкий прокат.
Ущерб от утечки данных и восстановительных работ оценивается в 15-20 млн долларов. Компании пришлось полностью перестраивать свою систему безопасности. Утечка внутренних переписок вызвала скандалы, связанные с сексизмом, расизмом и предвзятостью в Голливуде. Некоторые высокопоставленные сотрудники Sony, включая одного из руководителей ушли в отставку. Sony выпустила фильм ограниченным тиражом в кинотеатрах и на стриминговых платформах, включая YouTube.
Президент Барак Обама осудил Sony за решение отменить выпуск фильма. США ввели дополнительные санкции против Северной Кореи, обвиняя ее в причастности к атаке. ФБР официально обвинило Северную Корею в организации атаки. Доказательства приводились IP-адреса, связанные с Северной Корее, схожесть вредоносного ПО с тем, что использовалось в предыдущих атаках, связанных с Lazarus Group.
Одна из самых дерзких кибератак в истории произошла в феврале 2016 года, когда Lazarus Group похитили 81 миллион из Центрального банка Бангладеш, используя уязвимости в международной банковской системе SWIFT. Центральный банк Бангладеш хранит свои валютные резервы в Федеральном резервном банке Нью-Йорка. Эти резервы используются для проведения международных транзакции через систему SWIFT. Lazarus Group выбрала Центральный банк Бангладеш из-за предполагаемых уязвимостей в его системе безопасности.
Хакеры взломали внутреннюю сеть Центрального банка через фишинговые письма, отправленные сотрудником. Они провели несколько месяцев, изучая структуру сети банка и систему SWIFT. Хакеры подделали более 35 запросов на перевод общей суммы около 1 миллиарда из резервов Центрального банка Бангладеш. Они использовали вредоносное ПО, чтобы стереть логи транзакций и затруднить расследование.
Из 35 запросов на общую сумму 1 миллиард были выполнены только 5 транзакций на сумму 101 миллион. 20 миллионов были переведены в Шри-Ланку, но эти средства удалось вернуть из-за ошибки в документах. 81 миллион долларов оказались на счетах в банке на Филиппинах. Деньги, переведенные на Филиппины, были выведены через казино, что сделало их практически невозможными для отслеживания. Использование казино было умным ходом, так как филиппинское законодательство не обязывает казино соблюдать строгие правила противодействия отмывания денег.
Центральный банк Бангладеш обнаружил проблему через несколько дней, когда пытался провести обычную транзакцию, но не смог получить доступ к системе SWIFT. Расследование показало, что логи SWIFT были удалены, а система подверглась атаке. Один из запросов на перевод был направлен в Шарлика Фандэйшн. В нем слово Фандэйшн было написано как Фандэйшн, что вызвало подозрение в Deutsche Bank проверяющего транзакцию.
К расследованию подключились ФБР, Интерпол и эксперты по кибербезопасности. ФБР быстро установила связь между Lazarus Group и Атакой, отметив схожесть вредоносного ПО. Через филиппинское казино было отмыто около 81 миллиона долларов. Если бы все запросы на перевод были выполнены, сумма украденных средств составила бы 1 миллиард долларов. Атака с использованием вируса-вымогателя Ванакрай в мае 2017 года стала одной из крупнейших кибератак в истории, затронувшей более 200 тысяч устройств в 150 странах всего за несколько дней.
За атакой стояла группа Lazarus Group. Ванакрай – это вирус-вымогатель, который использует уязвимость в операционной системе Windows. Вредоносная программа проникала в сеть, зашифровывала файлы пользователей и отображала сообщения с требованием выкупа. Для расшифровки требовалась оплата в биткоинах, обычно от $300 до $600.
Атака началась 12 мая 2017 года и распространилась с невероятной скоростью. Ванакрай использовал механизм червя, чтобы заражать устройства, подключенные к одной сети. Вирус поразил устройства в различных секторах – больницы, транспортные системы, банки, энергетические компании. Ванакрай вывел из строя компьютеры в сотнях больниц, что привело к отмене операции, закрытию отделений и задержкам в лечении пациентов.
Врачи были вынуждены использовать бумажные записи. Французский автопроизводитель Renault остановил производство на нескольких заводах, чтобы предотвратить распространение вируса. В Германии Ванакрай нарушил работу железнодорожной системы, заставив в дисплее информация о поездах показывать сообщения от вируса. Общий ущерб от атаки оценивается в 4,8 миллиарда долларов. Майкрософт выпустила патч для устранения уязвимости в марте 2017 года, за два месяца до атаки.
Однако многие организации не установили обновление, что и позволило вирусу распространяться. Несмотря на масштаб атаки, хакеры собрали относительно небольшую сумму. Многие жертвы отказались платить выкуп. В последние годы Lazarus Group активизировала атаки на криптовалютные биржи и платформы. Используя сложные методы фишинга, вредоносное ПО и взломы систем, группа похищала цифровые активы на миллионы долларов, делая криптобиржи одними из своих главных целей.
Южнокорейская биржа Битхамп несколько раз становилась жертвой Lazarus Group. В 2017 году хакеры похитили данные 30 тысяч пользователей и украли около 7 миллионов долларов. Через год Лазарус украли уже более 30 миллионов долларов у этой биржи. В 2018 году японская биржа Коинчек подверглась атаке, в результате которой было похищено 534 миллиона долларов.
Лазарус Групп использовала зараженные письма для доступа к сети биржи. Это была одна из крупнейших криптоатак в истории. В 2020 году Lazarus Group атаковала сингапурскую биржу Kucoin. Было похищено 281 миллион долларов. Часть украденных средств была восстановлена благодаря отслеживанию транзакции с помощью аналитических платформ. Лазарус Групп похитила более 1,7 миллиарда долларов в криптовалютах за последние годы.
Это стало существенным источником доходов для Северной Кореи.
Conti — Рэнсомвер-группа с глобальным влиянием
Conti – это хакерская группировка, часть специализации атаки с использованием программ-вымогателей. Они стали одними из самых успешных киберпреступников современности с масштабом операций, поражающим своей эффективностью и разрушительностью. Их происхождение, структура и тактика дают глубокое понимание, почему именно эта группа стала столь влиятельной. Конти возникла в 2020 году, но ее корни уходят к более ранним группировкам, таким как Раек и Трикбот.
Райк был известен своими успешными атаками на корпорации и государственные учреждения. Трикбот – это ботнет, который распространял вредоносное ПО и предоставлял первоначальный доступ к зараженным системам. Большинство экспертов сходятся во мнении, что Conti состоит из русскоязычных хакеров. Это подтверждается языком общения участников и кодом программного обеспечения, который избегает атак на системы, где установлен русский язык.
Conti появилась на фоне роста популярности программ-вымогателей. Огромные суммы выкупов, которые выплачивались жертвами, сделали эту нишу особенно прибыльной. Группировка работает как полноценная корпорация с распределением ролей. Разработчики отвечают за создание и обновление вредоносного ПО. Операторы занимаются внедрением программ в целевые системы. Переговорщики участвуют в коммуникации с жертвами, договариваясь о выкупе. Аналитики данных обрабатывают украденную информацию, находя наиболее ценные данные для шантажа.
Conti предоставляла свои инструменты другим хакерам за процент от выкупа. Это позволяло группе масштабировать операции и распространять свое влияние. В 2022 году утечка внутренних документов Conti, опубликованных инсайдером, раскрыла их корпоративный подход. Зарплаты сотрудников колебались от 1,5 до 2 тысяч в месяц для рядовых участников.
Высшее руководство получало десятки и сотни тысяч долларов. Conti выбирает жертв на основе их финансовой состоятельности и уровня киберзащиты. Основные цели это государственное учреждение, здравоохранение и крупные корпорации. Conti заявляла, что не будет атаковать больницы или школы, но как показали их действия, это правило нарушалось. У группы был собственный блог в Даркнете, где они публиковали украденные данные и угрозы, усиливая давление на жертвы.
Они использовали сочетание сложных инструментов, тщательно спланированных методов и уникальных тактик, чтобы захватить и монетизировать доступ к корпоративным и государственным системам. Программа Conti стала визитной карточкой группы. Conti может шифровать данные быстрее, чем большинство конкурентов, благодаря параллельному использованию нескольких потоков обработки данных. Помимо шифрования, Conti крадет данные жертвы.
Если компания отказывается платить, хакеры угрожают опубликовать украденные данные в своем блоке в Даркнете. Этот метод делает отказ от оплаты выкупа крайне рискованным для компаний, особенно если утечка может повлиять на репутацию или привести к судебным разбирательствам. После проникновения в сеть, Conti использует инструменты для повышения привилегий, чтобы получить административный доступ к системам. Conti стремится к распространению своей программы внутри корпоративной сети, атакуя дополнительные устройства.
Это делается для увеличения масштабов атаки и захвата критически важных данных. После завершения разведки, хакеры шифруют данные и уничтожают резервные копии, чтобы заставить жертву заплатить, Conti удаляет и изменяет системные журналы, чтобы затруднить расследование. Группировка Conti известна своей агрессивной тактикой. Если переговоры затягиваются, они начинают публиковать данные, чтобы ускорить процесс оплаты.
Атака на ирландскую систему здравоохранения в 2021 году, совершенной группировкой Conti, стала одной из крупнейших и самых разрушительных кибератак в истории здравоохранения. Она вызвала хаос в национальной системе здравоохранения, парализовала работу больниц, задержала операции и поставила под угрозу жизни тысяч пациентов. Эта атака стала примером того, как киберпреступность может напрямую повлиять на здоровье и безопасность людей.
Conti внедрила свою программу-вымогатель в систему взрывоохранения. Первоначально доступ был получен через фишинговую атаку, направленную на одного из сотрудников. Зараженная система предоставила хакерам доступ к внутренней сети. Хакеры использовали инструменты для горизонтального перемещения внутри сети, такие как Cobalt Strike. Они получили доступ к серверам с данными пациентов, финансовыми документами и другой критически важной информацией.
Программа-вымогатель зашифровала основные системы, сделав их недоступными для сотрудников. Хакеры оставили сообщения с требованием выкупа в размере 20 миллионов долларов. Более 80% IT-систем оказались отключены, что привело к массовым сбоям. Пациенты не могли получить доступ к своим медицинским картам. Операции и консультации были отменены. Пациенты с онкологическими заболеваниями, требующие срочного лечения, не смогли вовремя получить медицинскую помощь.
Экстренные службы работали вручную. Хакеры заявили, что получили доступ к конфиденциальной информации о пациентах, включая медицинские записи, адреса и финансовую информацию. Несмотря на обещание не публиковать данные, страх утечки вызвал общественное беспокойство. Conti предоставила бесплатный инструмент для расшифровки данных через несколько дней после атаки. Это может быть связано с глобальным осуждением их действий и давлением со стороны правоохранительных органов.
Однако восстановление системы оказалось медленным и дорогостоящим из-за масштаба разрушений. Ирландское правительство приняло твердую позицию и отказалось платить хакерам. Восстановление всех систем обошлось Ирландии более чем 100 миллионов евро. Conti выпустила сообщение, в котором пыталась оправдать свои действия, заявив, что они не хотели вредить людям. Эта атака вызвала резонанс в обществе и даже среди хакерских сообществ, что заставило Conti пересмотреть свои действия.
В итоге, группировка Conti стала жертвой внутренних утечек, которые существенно повлияли на ее деятельность. Эти утечки не только осветили внутренние процессы группы, но и дали экспертам по кибербезопасности уникальный шанс изучить методы одной из самых мощных киберпреступных группировок современности. В феврале 2022 года, в первые дни войны России и Украины, группа Conti публично заявила о своей поддержке российской стороны.
Это заявление вызвало острый отклик в хакерских кругах и привело к утечке их внутренних данных. Анонимный инсайдер, предположительно связанный с Украиной, опубликовал значительный объем внутренней информации Conti. Исходные коды вредоносного ПО, внутренние чаты, переписки инструкции, финансовые отчеты, включая данные о выкупах. Более 170 тысяч сообщений из внутренних чатов стали доступны в открытом доступе.
Утечка показала, что группировка зарабатывала миллионы долларов на выкупах. Значительная часть дохода тратилась на разработку новых инструментов, оплату инфраструктуры и подкуп потенциальных инсайдеров в компаниях. Чаты раскрыли информацию о конфликтах между участниками. Например, разработчики жаловались на задержки зарплаты.
Интересные факты из утечки. Группировка тщательно тестировала свое ПО перед атаками, одним из инструментов был уникальный шифровальщик, способный обойти современные антивирусы.
Некоторые члены группы обсуждали политические темы и высказывались в поддержку определенных стран, что создавало внутренние конфликты. Утечка нанесла серьезный удар по репутации и безопасности группы. Правоохранительные органы получили множество полезных данных для расследования. Многие жертвы, увидев разоблачение, отказались платить выкуп, понимая, что группировка уязвима.
APT28 (Fancy Bear) — Кибершпионы из России
Группа считается одной из самых длительно существующих и опытных в киберпространстве. Эксперты связывают APT28 с Главным разведывательным управлением России. Эти предположения основаны на анализе их действий, целей атак и характера работы. Например, часы активности группы совпадают с рабочим днем в московском часовом поясе, использование инструментов и методов, характерных для спецслужб, направленность атак на геополитические цели, такие как НАТО, Евросоюз и политические партии западных стран. APT28 ориентирована на государственный кибершпионаж и вмешательство в международные дела.
Их задачи включают сбор разведданных, дискредитация оппонентов, вмешательство в политические процессы и военная разведка. APT28 – это высокоорганизованная группа с четким разделением ролей. Разработчики ПО отвечают за создание вредоносных программ, операторы проводят атаки, управляют серверами команд и контроля, взаимодействуют с жертвами через фишинговые компании или уязвимые системы. Аналитики разведданных обрабатывают собранные данные, чтобы сделать их полезными для дальнейших операций.
Например, систематизируют документы, украденные из серверов политических партий. APT28 работает в условиях строгой секретности. Члены группы редко имеют полную информацию о масштабах операции. Децентрализованный подход позволяет минимизировать риски утечки информации, если кто-то из участников будет пойман. APT28 известна своей терпеливостью.
Они могут находиться в системе жертвы годами, незаметно собирая данные. Появление APT28 связано с усилением роли киберразведки в стратегии российских спецслужб в начале 2000-х годов. В отличие от APT29, КОЗИ-Б, которая также ассоциируется с Россией, APT28 больше ориентирована на политическое вмешательство, чем на шпионаж. APT28 известна своей стратегической длинновидностью. Некоторые из операций, например взломы НАТО, начались еще в седьмом году, задолго до того, как стали публичными.
Фишинговые атаки являются ключевым методом проникновения APT28. Группа тщательно изучает своих жертв перед атакой, включая их привычки, контакты и интересы. Создаются письма, которые выглядят максимально достоверно, например, сообщения от коллег, банков или государственных учреждений. Часто используются вложения с вредоносными макросами, например, документы Word или Excel.
В 2016 году группа использовала фишинговые письма для взлома аккаунтов сотрудников Национального комитета партии США. Письма содержали ссылки на поддельные страницы входа в Google. Жертвы вводили свои учетные данные, которые тут же попадали в руки хакеров. APT28 активно использует нулевые уязвимости. Ранее неизвестной уязвимости в программном обеспечении. В атаках на НАТО и Евросоюз группа использовала уязвимости в Microsoft Word и Windows, позволяющие удаленно использовать код.
APT28 поддерживает обширный арсенал эксплойтов для различных операционных систем и приложений. Они разрабатывают собственные вредоносные программы, которые отличаются высокой сложностью. APT28 активно пытается скрыть свою принадлежность к России. Они используют символики других стран, чтобы запутать следователей, например, оставление фальшивых следов, указывающих на Китай, применение инструментов с англоязычными интерфейсами.
В 2016 году США готовились к президентским выборам, на которых основными кандидатами были Хилари Клинтон и Дональд Трамп. APT28 использовала целенаправленный фишинг для получения доступа к системам ДНС. Жертвам были отправлены электронные письма, имитирующие уведомления безопасности от Google. В письмах содержалась ссылка на фальшивую страницу входа в Google. Когда сотрудники вводили свои учетные данные, хакеры получали доступ к их аккаунтам.
Один из взломанных аккаунтов принадлежал Джоне Подесте, главе избирательного штаба Хилари Клинтон. Его электронные письма содержали конфиденциальные данные о стратегии кампании. Украденные данные были переданы в Викиликс, который начал опубликовать их за несколько месяцев до выборов. Раскрытые данные вызвали скандал, в результате которого глава ДНС подала в отставку. Американские спецслужбы обвинили Россию в координации этой атаки.
В 2016 году были введены санкции против России, включая выдворение 35 российских дипломатов. В 2016 году APT28 провела серию атак на всемирное антидопинговое агентство. Предыстория атаки. В 2015 году разразился крупный допинговый скандал. Расследование ВАДа выявило систематическое использование допинга российскими спортсменами. В результате сборная России была временно отстранена от участия в международных соревнованиях, включая Олимпиаду.
Хакеры использовали метод фишинга, чтобы получить доступ к внутренним документам ВАДа. Были похищены медицинские записи известных спортсменов, включая разрешение на использование запрещенных веществ. Похищенные материалы были размещены на сайте ФНСБ и активно распространялись через социальные сети. В них утверждалось, что западные спортсмены легально используют запрещенные вещества.
Хакеры акцентировали внимание на том, что звезды мирового спорта, такие как Сирена Уильямс и Симон Байлз, якобы пользовались привилегиями, позволяющими принимать препараты, запрещенные для других спортсменов. Вместо обсуждения допинга в России, общественность начала дискутировать о двойных стандартах в международном спорте. ФНСБ утверждало, что ВАДОС закрывает глаза на допинг в западных странах, что подорвало доверие к организации. Скандал вызвал волну недоверия к антидопинговой системе.
СМИ широко освещали утечку, что усилило разногласия между странами на тему справедливости в спорте. Эти события усилили напряженность в отношении между Западом и Россией. Кибератака на президентскую кампанию Эммануэля Макрона в 2017 году стала одной из самых громких операций, предположительно связанной с группой APT28. Французские выборы 2017 года проходили в условиях обострения международной напряженности. Эксперты считают, что цель атаки заключалась в том, чтобы подорвать избирательную кампанию Макрона и укрепить позиции более пророссийских кандидатов.
Хакеры использовали методы фишинга, отправляя сотрудникам кампании поддельные электронные письма, замаскированные под внутренние сообщения. Злоумышленники получали доступ к учетным записям и данным. В результате атаки хакеры похитили более 20 тысяч документов, включая переписку, финансовую отчетность, стратегические планы и личную информацию. За два дня до второго тура выборов похищенные данные были опубликованы в интернете под названием Macron Leaks.
Документы распространялись через форумы, твиттеры и другие платформы. В похищенных документах хакеры пытались найти компрометирующую информацию, которая могла бы повредить репутации Макрона и уменьшить его шансы на победу. Среди реальных документов были внедрены поддельные материалы, включая ложные утверждения о финансовых махинациях и налоговых уклонениях. Команда Макрона заранее знала о попытках хакеров проникнуть в их систему, а не намеренно загрузили фальшивые документы, чтобы запутать злоумышленников и снизить эффект утечек.
Французское законодательство запретило СМИ публиковать или обсуждать утечки за два дня до выборов, что существенно снизило их влияние. Несмотря на утечку, Макрон одержал уверенную победу, получив более 66% голосов. Метаданные некоторых похищенных документов содержали русскоязычные символы, что стало косвенным доказательством причастности APT28.
Группа APT28 неоднократно проводила кибератаки на структуры НАТО и связанные с ним государственные учреждения. Эти атаки, проводимые на протяжении более 10 лет, были направлены на шпионаж и дезинформацию. Они стали частью масштабной кибервойны, связанной с геополитической напряженностью между Россией и странами НАТО. Одной из наиболее известных и разрушительных компаний группы APT28 стали кибератаки на энергетический сектор Украины.
В 2015 году 3 украинские энергетические компании, обслуживающие регионы Ивано-Франковска, Киевской области и Львова. 225 тысяч человек остались без электричества на несколько часов. Хакеры отправили фальшивые письма сотрудникам энергетических компаний с вложениями, содержащими вредоносное ПО. Программа проникла в сети компаний, позволяя атакующим захватывать контроль над их системами. Хакеры получили доступ к Эскадо системам и отключили подстанции вручную.
Использовалась ПО Kill Disk, чтобы уничтожить критические важные файлы и усложнить восстановление систем. Хакеры также атаковали телефонные линии энергетических компаний, чтобы предотвратить оперативное восстановление работы. Впервые в истории атака была полностью выполнена дистанционно, без физического доступа к объектам. APT28 продолжает оставаться одной из самых влиятельных и обсуждаемых хакерских групп.
