На кого работают российские хакеры и как спецслужбы вербуют в кибервойска
Какие хакерские группировки используют тактику «водопоя», заражая не сайты жертвы, а те, на которые она сама любит заглядывать? Чем методы группировок, связанных с ФСБ, отличаются от команд, близких к ГРУ? Могут ли хакеры, работающие на разные ведомства, обмениваться секретами? Сколько они зарабатывают? Ответы — в расследовании Daily Storm про «Степь гризли».
Накануне президентских выборов в США в 2016 году, когда кресло в Овальном кабинете Белого дома получил республиканец Дональд Трамп, его конкуренты из Демократической партии США подверглись атакам российских хакеров. Взломщики смогли получить доступ к переписке Хиллари Клинтон и передали собранный компромат администраторам сайта WikiLeaks.

APT (Advanced Persistent Threat или «развитая устойчивая угроза») — термин, используемый для обозначения хакерских группировок
Карта: © Daily Storm
Неизвестно, как сильно повлиял на результаты голосования этот «слив», но для России хакерский кейс обернулся испорченными отношениями с новой администрацией в Вашингтоне и бесконечным расследованием о вмешательстве в американские выборы.
В ходе него выяснилось, что кандидату от демократов пыталась противостоять, и не одна, а две независимые друг от друга хакерские группировки. И если первая, которую расследователи связывали с ФСБ, действовала более тонко и аккуратно, то вторая, предположительно подконтрольная ГРУ, работала нахально, не слишком старательно маскируясь и не убирая за собой следы.
Триумфатор тех событий президент Дональд Трамп в 2018 году создал Агентство кибербезопасности (CISA). На официальной странице ведомства прямо
Для хакерских группировок, связанных с Москвой, американские чиновники даже придумали специальный термин: «Степь гризли».
Daily Storm опросил сотрудников российских спецслужб и участников хакерских группировок (и те, и другие согласились общаться только на условиях анонимности). С помощью этой информации, а также благодаря сведениям из докладов, посвященных хакерской активности, мы смогли нарисовать карту «Степи гризли» и рассказать о том, с какими силовыми ведомствами связаны самые известные хакерские группировки.
Группировки, связанные с ФСБ
Primitive Bear
Альтернативные названия: Gamaredon

Иллюстрация: © Daily Storm
Считается, что прогосударственная группировка Primitive Bear появилась в середине 2013 года. Тогда хакеры начали
Медведей в названия группировок включают тоже не сами хакеры, а эксперты по кибербезопасности: например, китайские команды обозначают как Panda, а иранские — Kitten («котята», в честь персидских кошек).
Хакеры рассылали украинским чиновникам фишинговые письма, содержащие вирус или троян (атака типа spear phishing). Чтобы заставить получателя скачать зараженный файл или перейти по вредоносной ссылке, хакеры использовали украденные ранее секретные или компрометирующие документы, которые могли заинтересовать жертву.
Спецоперацию группировки Primitive Bear окрестили «Армагеддоном», после того как специалисты компании Looking Glass, работающей в сфере кибербезопасности,
Цели Primitive Bear до и после революции на Украине в 2014 году существенно отличались: если до «майдана» жертвами хакеров становились преимущественно оппозиционные Януковичу журналисты и политики, то после революции акцент сместился на новое правительство, армию и правоохранительные органы.
Группа продолжает действовать и по сей день, существенно расширив свой функционал: например, они
В отличие от других проправительственных хакерских групп участники Primitive Bear прилагают
СБУ считает, что за группировкой Primitive Bear стоят сотрудники Центра информационной безопасности ФСБ (ЦИБ ФСБ, 18-й центр) и Центра радиоэлектронной разведки на средствах связи ФСБ (16-й центр). Эксперты из Lookingglass Cyber (подрядчик правительства США в сфере кибербезопасности)
Venomous Bear
Альтернативные названия: Turla, Snake, Krypton, Uroboros (возможно также Moonlight Maze)

Иллюстрация: © Daily Storm
Многие компании, работающие в сфере информационной безопасности, полагают, что группировка Turla зародилась в 2004 году. Однако эксперты «Лаборатории Касперского» совместно с исследователями из Королевского колледжа Лондона пришли к
Moonlight Maze были первыми российскими кибершпионами, работавшими на государство. В 1996 году они
— Мы находимся в разгаре кибервойны, —
В следующий раз Turla прогремела на весь мир в 2014 году: тогда им
В своих фишинговых письмах-приманках Turla использовала кликбейтные названия инфицированных файлов: «Позиции НАТО в Сирии», «Женевская конвенция», «Протокол безопасности». Когда хакеры проникали в почтовый ящик жертвы, они искали там письма по ключевым словам «НАТО» и «Энергетический диалог ЕС».
Помимо атак типа spear phishing (рассылки фишинговых писем), группировка использует стратегию watering hole. Название стратегии («водопой») взято из мира дикой природы: зачастую хищники выслеживают свою добычу у берега реки или озера. Так поступали и члены Turla: они отслеживали сайты, которые пользовались популярностью у потенциальной жертвы, а затем взламывали их. Разместив вирус на сайте, они выжидали, когда «зловред» попадет на компьютер цели.
Turla считается одной из наиболее продвинутых и технически подкованных группировок. Они применяют собственное кибероружие, постоянно его совершенствуя. Turla использует сложные методики прикрытия атак: например, в 2017 году они взломали системы хакерской группировки OilRig и воспользовались ими для
Служба внешней разведки Эстонии
Cozy Bear
Альтернативные названия: APT 29, Dukes, Yttrium

Иллюстрация: © Daily Storm
Согласно
В том же году они
Cozy Bear, которых еще называют Dukes («Князья»), действуют с 2008 года. Финская компания F-Secure
— Сотрудникам ФСБ и ГРУ запрещено обмениваться кусками кода или программами друг с другом. С СВР, в теории, обмениваться можно, но я про такое ни разу не слышал.
Группировки, связанные с ГРУ
Fancy Bear
Альтернативные названия: APT 28, Pawn Storm, Tsar Team, Strontium

Иллюстрация: © Daily Storm
«Модный медведь» — самая известная прогосударственная группировка.
Считается, что именно они весной 2016 года
Для рассылки фишинговых писем сотрудникам штаба Клинтон Fancy Bear использовали e-mail-адрес, на одну букву отличающийся от адреса одного из участников кампании Клинтон (тип атаки: тайпсквоттинг). В письмах содержалась фейковая ссылка на Excel документ с «актуальным рейтингом Клинтон», а на деле, кликнув по ссылке, сотрудник штаба заражал свой компьютер.
Для сокрытия следов взлома хакеры из Fancy Bear
Войсковая часть 74455 является подразделением ГРУ, специализация которого — боевые кибероперации. Ее прозвали «Башней ГРУ», поскольку она базируется на территории бизнес-центра. Обвинения в сговоре с целью вмешательства в выборы США были выдвинуты против трех офицеров этой части.
Еще одна известная кибератака Fancy Bear, ответственность за которую они уже не скрывали, произошла в сентябре 2016 года. Тогда они
Тогда «Медведи» запустили собственный
В 2020 году Fancy Bear вновь обвиняют во вмешательстве в американские выборы: в сентябре об этом
Американские спецслужбы
Спецпрокурор Мюллер называет эту часть киберподразделением ГРУ, «предназначенным для нанесения ударов по военным, политическим и правительственным организациям». В СМИ войсковая часть 26165 «засветилась» и в другом громком киберинциденте:
Voodoo Bear
Альтернативные названия: BlackEnergy, Sandworm Team

Иллюстрация: © Daily Storm
Voodoo Bear существует с 2009 года и известна прежде всего созданием легендарного вируса-шифровальщика NotPetya, о котором написаны целые книги (например, Sandworm Энди Гринберга). Именно Voodoo Bear фигурируют в новом обвинительном
«В ту секунду, когда вы видите его, ваш дата-центр уже пропал».
В США потери от кибератаки оценили в рекордные 10 миллиардов долларов (для сравнения, предыдущий разрушительный вирус WannaCry нанес ущерб в четыре-восемь миллиардов долларов), некоторые частные компании понесли рекордные убытки: Merc (США) — 870 миллионов долларов, Maersk (Дания) — 300 миллионов. Больше всего от NotPetya
Вирус NotPetya является наследником вируса-вымогателя Petya, обнаруженного в 2016 году. Такие программы шифруют файлы, хранящиеся на жестком диске компьютера-жертвы, в результате все файлы становятся недоступны. Затем программа требует денежный выкуп в биткойнах за расшифровку и восстановление доступа к файлам. Целью вируса Petya было получение денег: за расшифровку жертва должна была отправить разработчикам около 380 долларов (тогда — 0,9 биткойна). Цель NotPetya — исключительно нанесение вреда, поскольку «малварь» необратимо шифровал загрузочный сектор компьютера. Восстановить содержимое было невозможно, выплаты ни к чему не приводили. NotPetya только маскируется под вирус-вымогатель, а на деле является настоящим кибероружием.
Voodoo Bear также известны разработкой еще одного кибероружия — BlackEnergy. Считается, что этот инструмент использовался для
19 октября 2020 года американский минюст

Фото: © FBI
Всего США выдвинули обвинения против девяти офицеров войсковой части 26165 (за атаки группировки Fancy Bear) и девяти офицеров войсковой части 74455 (троих — за атаки Fancy Bear, шестерых — за деятельность Voodoo Bear).
Принято считать, что у Voodoo Bear есть две группировки-сателлита, с которыми они делятся своим киберарсеналом: GreyEnergy и TeleBots. GreyEnergy фокусируется на энергетическом секторе и транспортной инфраструктуре Польши и Украины. Цели TeleBots — финансовый сектор и бизнес-среда Украины. Во время одной из атак они
Energetic Bear
Альтернативные названия: Dragonfly, Electrum

Иллюстрация: © Daily Storm
В 2015 году, незадолго до Рождества, в Ивано-Франковской области Украины были зафиксированы перебои с подачей электроэнергии. Оператор одного из центров управления энергетическими подстанциями заметил, что курсор на его мониторе начал самостоятельно двигаться в сторону кнопки, отвечающей за рубильник на одной из подстанций, и выключил его. В это время в call-центре энергетической компании, отвечающей за область, произошел технический сбой, вызванный шквалом звонков. Это была атака группировки кибершпионов Dragonfly: помимо внедрения в энергетическую сеть хакеры устроили массовый спам-прозвон техподдержки.
Изначально ориентированные на оборонные и авиационные компании, в начале 2013 года хакеры сместили вектор атак на энергетический сектор. Жертвой их активности в основном была Украина, но также были
Министерство внутренней безопасности США приписывает хакеров из Dragonfly к неустановленной войсковой части ГРУ, однако до сих пор не было предоставлено подробностей. Хакер, знакомый с деятельностью российских группировок, в разговоре с Daily Storm выразил сомнения в «высокой степени точности» такой атрибуции:
— Знаете, как они (спецслужбы и ИБ-компании. — Примеч. Daily Storm) могут группы детектить? Если в вирусе находят кусок кода, который был на «ру» форуме, то сразу записывают его создателей в русскую группировку. Комменты в коде на китайском написаны — записывают в китайскую, или если код скомпилирован на компе, где локальный язык — хинди, то в индийскую.
Считается, что у Dragonfly есть одна группировка-сателлит — Berserk Bear (Dragonfly 2.0), с которой они активно делятся своими программными наработками. Они известны своими
Не атрибутированные группировки
Киберберкут
Альтернативные названия: Cyber Berkut, Kiberberkut

Иллюстрация: © Daily Storm
После революции на Украине в 2014 году милицейский спецназ «Беркут» был
Первые атаки группировки были
Но самый известный взлом группировки произошел в феврале 2016 года. Он подробно описан в книге Даниила Туровского «Вторжение. Краткая история русских хакеров». Тогда хакеры из «Киберберкута» взломали электронную почту журналиста-расследователя Руслана Левиева, сотрудничающего с интернет-изданием Bellingcat. Это издание известно своими расследованиями об участии российских военных в конфликтах на Украине и разоблачительными материалами о Руслане Боширове и Александре Петрове, которых британские власти подозревают в отравлении Скрипалей.
С помощью взломанной почты хакеры получили доступ в панель администратора сайта Bellingcat и от имени Левиева разместили обращение:
«Bellingcat — это про-НАТО и проамериканская организация провокаторов, они врут и шпионят, проблемы других — их хлеб. Они мусорщики, а не расследователи».
Исследователи компании Threatconnect
Позиция России
Российские официальные лица неоднократно
«Если они настроены патриотически, они начинают вносить свою лепту, как они считают правильным, в борьбу с теми, кто плохо отзывается о России. Теоретически это возможно».
Путин также не исключает, что «кто-то специально выстраивает цепочку различных атак таким образом, чтобы источником этой атаки представить территорию Российской Федерации». Такие кейсы действительно встречаются: например, северокорейская хакерская группа Lazarus специально оставляла «русский след» в коде вредоносного ПО, которое использовалось для атаки на банки. Хакеры использовали русские слова, написанные на латинице: kliyent, ustanavlivat, vykhodit.
Особенности национальной вербовки
Будущих «боевых» государственных хакеров могут начинать «вести» с юного возраста. «Хакерские» НИИ зачастую сотрудничают с математическими лицеями и школами, а сотрудники силовых ведомств наведываются в специализированные школы, приглашая старшеклассников поступать в свои академии. Спецслужбы также внимательно следят за успехами в сфере кибербезопасности сотрудников НИИ и военнослужащих научных рот.
— Сотрудники спецслужб могут приехать в технический институт, «выцепить» талантливого парня-безопасника и пригласить его проехаться на машине, поговорить, — рассказывает Daily Storm хакер, знакомый с деятельностью группировок, работающих на государство. — Ничего такого, просто рассказывают о преимуществах работы на спецслужбы. Без принудиловки.

Фото: © Сила РФ
Существует распространенный миф, что основную массу «боевых» единиц составляют «блэкеры» (киберпреступники), которых поймали правоохранительные органы.
— Это заблуждение, — утверждает собеседник Daily Storm из российских спецслужб. — В начале 2010-х такое иногда практиковалось, но сейчас среди сотрудников «блэкеров» нет. Последним «блэкером» у нас, по слухам, (официально этого никто не признает) был Докучаев, который плохо кончил (в 2019 году сотрудник ФСБ Дмитрий Докучаев был приговорен к шести годам колонии по обвинению в госизмене. — Примеч. Daily Storm). Привлекать их в качестве внештатников — можно, но только на свой страх и риск и под редкие задачи, которые невозможно решить без их помощи.
Однако, по его словам, вопрос «использовать ли киберпреступников в работе» возникает у каждого спеца.
— Есть те, кто считает, что на войне все средства хороши, а кто-то — всегда против подобных приемов. Но официальная позиция высшего руководства: привлекать преступников нельзя. Мы не можем их контролировать: их мотивация — поскорее освободиться, плюс — меркантильные цели (денег где-то украсть, например). Рано или поздно они начнут творить отсебятину, в которой будут обвинять нашу страну. Или сами перевербуют кого-то из спецов — это будет как сращивание оперов с ОПГ в 90-е. Тут вопрос скорее не этики, а чисто прагматические соображения: если мы будем использовать «блэков», то и противник тоже будет. Таким образом мы создадим еще одну силу, которая в итоге восстанет против всех нас. Так было с талибами, так в итоге случилось у американцев с ИГИЛ*.
Как признался собеседник Daily Storm, обработка потенциальных сотрудников происходит по американской схеме SMICE: «секс, деньги, идеология, компромат, эго», по убывающей. В России приоритет обратный: секс — крайне редкий мотив сотрудничества.
— У каждого человека есть свои мотивы. На самом деле, много тех, кто работает из патриотических соображений, но это тоже в каком-то смысле относится к «эго».
Хакер, знакомый с деятельностью прогосударственных группировок, рассказал Daily Storm, что зарплата хакеров может превышать 200 тысяч рублей в месяц. Для сравнения, зарплата инженера по информационной безопасности в НИИ «Квант»
— А вообще, — продолжал хакер, — принимая решение идти работать на государство, все понимают, какие ограничения это повлечет. Проверки на полиграфе, всех родственников ведут под перепись. Но есть и своеобразные «плюшки» — офицерское звание, «корочка». Кто-то идет, как ни странно, из-за любви к Родине. И я сейчас не шучу. Но в основном туда идут за адреналином, за ощущением причастности к мегадвижухе — событиям мирового масштаба. В работе на коммерческие ИБ-структуры такого ощущения нет. Оказаться посреди «битвы» здесь и сейчас — вот это ощущение непередаваемо.
*ИГИЛ — запрещенная на территории РФ террористическая организация
Даниил Беловодьев
Оригинал материала: