Как «Украинский киберальянс» ведёт войну с Россией при помощи СБУ
С начала СВО Украина увеличила частоту кибератак на российские сайты различных ведомств, предприятий и компаний. Профессиональные хакеры и школьники-самоучки ежедневно пытаются нанести ущерб российской виртуальной инфраструктуре — взломать сайты, обрушить серверы, украсть информацию. О том, как Украина ведёт кибервойну против России и кто стоит за группировкой «Украинский киберальянс», RT рассказали специалисты компании «Интернет-Розыск», занимающиеся поиском и деанонимизацией украинских хакеров.
По данным российских специалистов по кибербезопасности компании «Интернет-Розыск», группу «Украинский киберальянс» стали формировать ещё в 2015 году.
Согласно предоставленным ими сведениям, альянс был образован в результате слияния нескольких независимых хакерских объединений — FalconsFlame, Trinity, RUH8 и «КиберХунта».
Сейчас группировке приписывают десятки успешных взломов и интернет-атак на сайты российских ведомств и объектов критической инфраструктуры, а также хищение баз данных с персональной информацией россиян.
Эксперты уверены, что «Украинский киберальянс» создавался при непосредственном участии спецслужб Украины. Курировал его, предположительно, офицер СБУ Дмитрий Золотухин.
В открытых источниках упоминается, что с 2009 года Золотухин занимался информационными войнами и конкурентной разведкой. Позже ему поручили направление киберразведки.
В 2017-м его назначили заместителем министра информполититики Украины. По некоторым данным, сейчас Золотухин проживает в Великобритании. Сотрудничает ли он с СБУ до сих пор, неизвестно.
Выход из тени
«Украинский киберальянс» существовал негласно и получил официальный статус общеизвестной организации только в 2019 году, рассказал RT основатель и владелец компании «Интернет-розыск» Игорь Бедеров.
Центральный офис «Украинского киберальянса», согласно выписке из Единого государственного реестра Украины, находится на окраине Киева, по адресу переулок Василия Жуковского, 15, корпус 3.
Однако, по мнению собеседника RT, этот адрес может использоваться хакерами номинально — только для получения регистрации: помимо хакеров, в этом малоэтажном, небольшом строении числится ещё свыше 40 других организаций.
Основателями кибергруппировки, по данным экспертов, стали Артём Карпинский, Андрей Баранович и Александр Галущенко. Согласно выписке из ЕГР Украины, Галущенко является владельцем и учредителем ряда других фирм и коммерческих организаций, связанных с IT-сферой, в том числе и коммерческих. Этим бизнесом он начал заниматься ещё до 2014 года.
Андрей Баранович открыто называет себя «пресс-секретарём «Киберальянса» и отвечает за пиар сообщества.
Пираты XXI века
Глава «Интернет-Розыска» Бедеров рассказал RT, как формируются и на чём основаны взаимоотношения хакеров с государством.
Основными направлениями в работе «Украинского киберальянса», по его мнению, являются: поиск и кража баз данных у иностранных государственных и коммерческих организаций, взлом систем безопасности объектов критической инфраструктуры, атаки на информационные сайты, поиск и кража личных данных и личной информации отдельных граждан, а также консультационные услуги и обучение сотрудников силовых органов Украины.
Но это лишь та работа, которую хакеры выполняют по заказу силовых ведомств Украины, пояснил эксперт. По его словам, группировка находится на самообеспечении, зарабатывает на обычном криминале и не только предоставляет силовикам свои услуги, но и делится с ними преступно нажитыми доходами.
«Как показывает опыт, взаимодействие хакеров и государства происходит полюбовно. Хакерам разрешают, например, совершать атаки с целью хищения денежных средств, взлома банковских учреждений, массового мошенничества, шифрования данных и вымогательства. А государство закрывает на это глаза», — говорит основатель «Интернет-Розыска».
Отдельные кураторы берут за эту услугу деньги с хакеров. При этом утверждается, что они решают важные задачи в информационном поле.
По мнению Бедерова, программистов и хакеров, которые занимаются профессиональной работой в «Киберальянсе», не больше двадцати человек. В основном это хакеры старой школы: им сейчас в среднем по 40—45 лет и все их имена известны. Это подтверждает и сам Баранович.
«Я не буду называть точное количество постоянных участников, но их было не очень много: плюс-минус десять человек. Никакую иностранную помощь мы не принимали и не принимаем. Я никогда не ставил своей целью выяснять, кто такие остальные участники. О некоторых я знаю больше, о некоторых — меньше. В основном это специалисты-технари. Такие вопросы в общем-то и не принято задавать: меньше знаешь — крепче спишь», — заявил в 2021 году пресс-секретарь «Киберальянса».
Поколение киберанархии
По данным «Интернет-Розыска», Баранович имеет отношение и к другим хакерским группировкам. Маскируясь профилем SeanTownsend, он администрирует Telegram-канал группировки хакеров C.A.S (Cyber.Anarchy.Squad). Это относительно новое сообщество, которое присоединилось к «Киберальянсу» после начала СВО.
Представители этой группировки значительно моложе своих именитых коллег, но уже обладают необходимыми навыками и опытом. Они специализируются на взломах баз данных российских ведомств и крупных коммерческих компаний.
Сейчас российские IT-специалисты занимаются установлением личностей хакеров группировки C.A.S. и сбором доказательств их причастности к конкретным преступлениям. Результаты уже есть, но, пока идёт расследование, они не разглашаются.
Начиная с 2022 года, именно C.A.S стали брать на себя ответственность за взломы и атаки на самые различные российские коммерческие компании и госучреждения. Результаты атак публикуются в их Telegram-канале. Если верить этим данным, только в 2023 году хакеры этой группировки способствовали утечке персональных данных в ряде крупных российских компаний.
Заокеанский интерес
При этом хакеры «Украинского киберальянса» ведут себя более скрытно. Они прекратили обнародование результатов своих атак ещё в 2018 году. По мнению Бедерова, это связано с тем, что их имена всем известны, а брать на себя эти киберпреступления они не хотят, чтобы в будущем не нести за них ответственность.
До начала СВО взаимоотношения хакеров и силовиков носили совсем другой характер: СБУ и МВД Украины периодически оказывали давление на группировку. Так, в феврале 2020 года СБУ провела обыски у лидеров объединения, им были выдвинуты обвинения во взломе информационной системы Одесского аэропорта.
Речь шла о событиях октября 2019-го, когда на центральном табло воздушной гавани неизвестные разместили изображение шведской активистки Греты Тунберг, сопроводив его нецензурными выражениями на английском языке в её адрес.
В ходе этого скандала, сопровождавшегося арестом личного IT-оборудования ряда лидеров «Киберальянса», стало известно о консультационных услугах, которые хакеры оказывали силовикам. Об этом заявлял в украинской прессе Александр Галущенко.
В результате никто из подозреваемых так и не был привлечён к ответственности, дело быстро развалилось, а уже через несколько месяцев Галущенко официально стал ведущим инспектором Национального координационного центра кибербезопасности СНБО Украины.
Примечательно, что Галущенко, вопреки сложившейся мировой традиции, сам искал взаимодействия с силовыми структурами своей страны. Начиная как минимум с 2014 года он неоднократно предлагал собственные разработки в области безопасности ВСУ и СБУ. Об этом он сам заявлял в интервью представителям прессы.
В частности, Галущенко хвастался, что создал так называемый WiFi-монитор, при помощи которого можно обнаружить все электронные устройства, в том числе и военного назначения, в радиусе восьми километров. Но, по его словам, разработки оказались не нужны ВСУ по причине отсутствия финансирования.
Однако в 2015 году один из проектов Галущенко заинтересовал иностранных покупателей.
Американский инвестиционный фонд Noosphereventures, основанный украинским олигархом в сфере информационных технологий Максимом Поляковым, совместно с фондом научно-технического развития Украины, заявили о готовности выделить 97 млн гривен на одну из разработок Галущенко. Дальнейшая судьба этого проекта была засекречена.
Интерес иностранных представителей к разработкам и навыкам украинских хакеров больше не афишировался.
Киберармия простодушных
Подсчитать ущерб, нанесённый России деятельностью «Киберальянса» на данный момент, невозможно. Как оценить потери от приостановки работы сайта ведомства или от утечки персональных данных гражданина?
Поймать и осудить хакеров — тоже не самая простая задача. Даже после установления личности хакера и сбора доказательств его причастности к конкретным киберпреступлениям надеяться, что он сам явится в суд, не приходится.
По мнению специалиста в области кибербезопасности Павла Ситникова, для поимки хакеров необходимо перенимать международный опыт.
«Личности их устанавливать не надо, они все известны. А вот как поймать? Надо действовать как американцы — задерживать на территории третьих стран и доставлять к нам», — считает IT-специалист.
Помимо высококвалифицированных хакеров, войной против России в киберпространстве занимаются сотни тысяч обычных украинцев, говорит Игорь Бедеров.
По его словам, 26 февраля 2022 года при поддержке министра цифровой трансформации и первого вице-премьер-министра Украины Михаила Фёдорова было создано добровольческое объединение IT-Army of Ukraine.
Его участники проводят наступательные и оборонительные операции в киберпространстве. Для координации своей деятельности они используют Twitter и Telegram, в которых ежедневно публикуются цели для совершения атак.
«Общее число подписчиков различных социальных групп и чатов IT-Army превышает 650 тыс. пользователей, что делает его крупнейшим подобным объединением», — рассказывает Бедеров.
Однако, по мнению экспертов, уровень подготовки подавляющего большинства участников крайне низок. В результате IT-Army наиболее эффективно смогла проявить себя лишь на поприще массированных низкоквалифицированных DDoS-атак на российские компании и госпредприятия.
Абсолютное большинство этих интернет-воинов не имеют кураторов ни в ЦИПсО (Центре информационно-психологических операций), ни тем более в СБУ.
Они выполняют элементарную работу — от вброса дезинформации в социальных сетях и простейших DDoS-атак на сайты до так называемого интернет-минирования и вербовки потенциальных одноразовых террористов и диверсантов, считает Бедеров.
В 2019—2022 годах украинские подростки при помощи электронной почты массово рассылали угрозы о якобы минировании российских школ, судов, больниц, объектов инфраструктуры. По данным СМИ, сейчас они активно размещают объявления о вознаграждении за нападения на военкоматы и уничтожение полицейских машин.
Эксперты подчёркивают: такие призывы рассчитаны на людей с отклонениями в психике или на запутавшихся подростков — деньги им выплачивать (даже в случае успешного поджога военкомата или автомобиля) никто не будет.