«Я мрію про те, щоб бути корисним — допомагати, захищати. Робити свою роботу якісно та в тіні, як супергерой: його ніхто не бачить, але на ньому тримається державна…
Агресія проти нашої держави триває не лише в традиційних сферах збройного протиборства. Структури кіберборотьби та різноманітні хакерські угруповання росії активізували проведення кібероперацій та інших дій у кіберпросторі, спрямованих на системи державного і військового управління та інформаційну інфраструктуру України. Вони постійно вдосконалюють свої інструменти впливу, зокрема шкідливе програмне забезпечення (ШПЗ) з метою отримання максимально можливого несанкціонованого доступу до ресурсів та впливу на них. Не менш активно ведеться робота росіян проти інших країн світу, особливо наших партнерів.
На підставі аналізу відкритих джерел, насамперед звітів фахових структур сфери кіберзахисту, ми підготували короткий огляд потенціалу кібервпливу російської федерації, який «засвітився» в проведенні деструктивних дій в кіберпросторі станом на травень поточного року.
Стало очевидним, що на сьогодні практично всі силові структури рф намагаються опанувати кіберпростором як сферою своїх дій. Передусім уваги заслуговує Федеральна служба безпеки (ФСБ) зі своїми спеціалізованими підрозділами — 16-м та 18-м центрами ФСБ. Аналогічні підрозділи розвиває у своєму складі Служба зовнішньої розвідки рф. Хоча найбільш численний склад «кібербійців» налічується в структурах російського оборонного відомства. Зокрема, головне управління гш зс рф (раніше відоме під назвою головного розвідувального управління) створило 85-й головний центр спеціальної служби (ГЦСС) та головний центр спеціальних технологій (ГЦСТ). Також експерти ідентифікували активність, пов’язану з кіберпростором з боку Центрального науково-дослідного інституту хімії та механіки мо рф (ЦНДІХМ). Його «нейтральна назва» не повинна нікого вводити в оману, адже зазвичай специфічні підрозділи кіберборотьби намагаються утримувати під прикриттям.
Кожна з наведених організацій має тривалу «історію» деструктивної та протиправної діяльності в кіберпросторі. Зокрема, ФСБ раніше була ідентифікована в злочинній діяльності, спрямованій на енергетичний сектор, Великої Британії та США, авіаційну галузь, урядовий та воєнний персонал США, приватні організації, компанії з кібербезпеки та ЗМІ. Крім того, ФСБ намагається всіма можливим способами примушувати ІТ-компанії до незаконного збору інформації в мережі Інтернет. У ЗМІ пишуть щонайменше про три основні хакерські угруповання, пов’язані з ФСБ, зокрема, про Berserk Bear. Наведене угруповання залишило свої «сліди» в Західній Європі та Північній Америці в секторах енергетики, транспортних систем та оборонної промисловості. З цього приводу уповноважені структури США та Велиї Британії обґрунтовано вважають, що ця група з високим ступенем ймовірності і є тим самим 16-м центром ФСБ (відомим також як військова частина 71330).
Російська служба зовнішньої розвідки також помічена в координації хакерських угруповань, починаючи з 2008 року, зі спеціалізацією на критичній інфраструктурі. Експерти вважають, що під «дахом» СЗР діють наступні угруповання: APT29, Cozy Bear, Cozy Duke, Dark Halo, Noble Baron, Stellar Particle, UNC2452 тощо.
Головний центр спеціального призначення (військова
частина 26165) у складі мо рф функціонує щонайменше з 2004 року та першочергово націлений на державні організації, науково-дослідні установи та неурядові організації, а також об’єкти критичної інфраструктури. Як проєкти військової частини 26165 ідентифіковані хакерські групи APT28, Fancy Bear, Group 74, Iron Twilight, Pawn Storm, Threat Group-4127, Tsar Team тощо.
Інша військова структура — головний центр спеціальних технологій (або військова частина 74455) функціонує щонайменше з 2009 року та націлена на різноманітні організації критичної інфраструктури західних країн, зокрема в секторі енергетики, транспортних систем та фінансових послуг. З їхнього складу «засвітилися» такі групи як Iron Viking, Sandworm Team, Voodoo Bear тощо. Наведений центр активно займається розвідувальною діяльністю в кіберпросторі, а також ідентифікований як виконавець операцій активного кібервпливу проти країн-членів НАТО, урядових і військових організацій. Його «почерком» є методи, які викликають руйнівні ефекти за допомогою DDoS-атак або ШПЗ. До речі, саме вони провели низку кібератак проти України та Грузії, починаючи з 2015 року.
Окремої уваги заслуговує Центральний науково-дослідний інститут хімії та механіки мо рф. Формально він є лише науково-дослідною установою. Але така «мирна структура» помічена в розробленні та тестуванні шпигунського програмного забезпечення, наприклад, ICS. І не випадково інститут потрапив під санкції Міністерства фінансів США у зв’язку з використанням ШПЗ Triton в організаціях американського енергетичного сектору, а також під санкції Великої Британії за кіберінцидент 2017 року, пов’язаний із втручанням шляхом використання ШПЗ Triton у функціонування нафтопереробного заводу.
На доповнення до наведених вище російських хакерських угруповань поширюється інформація про діяльність низки інших, наприклад, Primitive Bear та Venomous Bear. Саме Primitive Bear націлені на українські організації принаймні з 2013 року і вони дуже активізували свою діяльність проти сектору безпеки та оборони України перед початком широкомасштабної агресії. Зі свого боку Venomous Bear традиційно «спеціалізується» на урядах держав — членів НАТО, ОПК цих країн та підрядних організаціях.
У росії існують також кримінальні кіберугруповання, які є переважно фінансово мотивованими «гравцями», що намагаються використати вразливості безпеки або людей для викрадення або вимагання коштів. Вони також періодично використовуються російськими спецслужбами для спільних дій у кіберпросторі. Наприклад, після початку російського вторгнення в Україну в лютому 2022 року деякі кіберзлочинні групи публічно підтримали кремлівський режим та долучилися до проведення кібероперацій проти України. Загрозу з їхнього боку применшувати не варто, адже вони також активно використовують розгортання програм-вимагачів або проведення DDoS-атак, що жодним чином не відрізняється від «звичайної» кібервійни. Фахівці у сфері кібербезпеки зазначають, що такими кримінальними кіберугрупованнями російського походження є Coming Project, Mummy Spider, Salty Spider, Scully Spider, Smokey Spider тощо. У лютому 2022 року хакери саме Salty Spider здійснили DDoS-атаки на українські вебресурси, на яких обговорювалися події, пов’язані з наступом російських військ на місто Харків.
Уповноважені державні структури та ІТ-компанії сфери кіберхзахисту провідних країн світу продовжують активно досліджувати діяльність у кіберпросторі російських хакерських угруповань, насамперед пов’язаних із силовими структурами. Ці дослідження аналізуються та публікуються у фахових засобах масової інформації, зокрема оприлюднюються тактики та прийоми, які використовують російські спецслужби, а також відповідні рекомендації для захисту від них. У наступній публікації ми спробуємо описати деякі поточні заходи протидії з боку міжнародної спільноти російським деструктивним діям у кіберпросторі.
Агресія рф проти нашої держави триває не лише в традиційних сферах збройного протиборства. Структури кіберборотьби та різноманітні хакерські угруповання росії намагаються вдосконалювати свої інструменти впливу, зокрема шкідливе програмне забезпечення (ШПЗ) з метою отримання максимально можливого несанкціонованого доступу до українських ресурсів та впливу на них. Не менш активно росіяни ведуть роботу проти інших країн світу, особливо наших партнерів. Більше інформації на цю тему — в матеріалі АрміяInform.
