Від української енергосистеми до Пентагону. Сім найбільших хакерських атак Росії в Україні та світі за два роки великої війни

Поділитися:

Восени 2022 року Росія синхронізувала перші ракетні удари по енергосистемі України з потужною кібератакою (Фото:Укренерго)

У вівторок, 12 грудня, було здійснено масштабну хакерську атаку мережі Київстар. Проблеми зі зв’язком охопили всю Україну, зачепивши найрізноманітніші сфери — від мобільної та інтернет мережі до локальних проблем з оплатою проїзду, інфраструктурою міст, роботою банкоматів, поштоматів та оповіщень про повітряну тривогу.

Сьогодні ж співзасновник Monobank Олег Гороховський заявив про масовані DDoS атаки і на їхню систему, які вдалося відбити.

Технічних деталей про ці атаки поки небагато, однак і протягом останніх років, і від перших днів повномасштабного вторгнення Росія веде постійну кібервійну проти України. У тому ж Київстарі розповіли, що хакерські атаки з початку повномасштабного вторгнення щодо компанії зросли на 400%, але сьогоднішній кібернапад став наймасштабнішим і найпотужнішим за ці два роки.

Одна із версій, яку наразі досліджують слідчі СБУ, — за цією хакерською атакою можуть стояти спецслужби РФ. Кримінальне провадження відкрито за фактом кібератаки за вісьмома статтями Кримінального кодексу України, серед яких є також державна зрада і диверсія.

У листопаді 2023 року стало відомо, що з січня 2022-го команда CERT-UA (Computer Emergency Response Team of Ukraine) зафіксувала майже чотири тисячі кіберінцидентів, здійснених проти України. Це втричі більше, ніж за аналогічний період до повномасштабного вторгнення.

Коментуючи ці дані, заступниця міністра фінансів США Грем Стіл нагадала, що саме Росія координувала руйнівні кібератаки, спрямовані проти України, проникнення в мережі і кібершпигунство в країнах, які є союзниками Києва, а також операції кібервпливу на людей у всьому світі.

NV нагадує про наймасштабніші кібератаки, які Росія здійснила в Україні і світі за останні два роки.

Атака на державну IT-інфраструктуру України незадовго до вторгнення, січень 2022

У ніч з 13 на 14 січня 2022 року Росія провела атаку, внаслідок якої було здійснено так званий дефейс (зміну головної сторінки) близько 90 сайтів державних організацій. Близько 30 сайтів довелося відключити спеціалістам Державної служби спеціального зв’язку та захисту інформації (ДССЗЗІ), СБУ та Кіберполіції.

На атакованих ресурсах тоді з’явилася картинка з інформацією про те, що персональні дані українців нібито потрапили в публічний доступ. На ній також розміщувався запис польською мовою, який мав переконати України в нібито причетності польської сторони до атаки (в картинку були включені координати у Варшаві). У Держспецзв’язку впевнені: такі дії були спрямовані на те, щоб посіяти хаос, нестабільність та відвернути увагу від реальних авторів атаки.

Також під час атак було знищено частину т.зв. «зовнішньої інфраструктури» окремих відомств — не лише вебсайти, але й сервери застосунків, які безпосередньо відповідали на запити до центральної бази даних. Така проблема, за даними ДССЗЗІ, торкнулася менше ніж десятка організацій.

Спецслужби Британії вважають, що до атаки «майже напевно» було причетна російська військова розвідка.

Кібератака на супутникову платформу Viasat, 24 лютого 2022

У день повномасштабного вторгнення Росія розгорнула надзвичайно потужну атаку проти одного з найбільших у світі операторів комерційних супутників Viasat. Компанія надає послуги високошвидкісного широкосмугового зв’язку комерційним клієнтам та збройним силам, тож головною ціллю російських кібервійськ був удар по системі зв’язку української армії.

Як написав пізніше Spiegel, використовуючи вразливість у програмному забезпеченні, хакери проникли на сервер Viasat і дали команду на перезапис флеш-памʼяті супутникових модемів. Відбувся збій у роботі тисяч таких модемів, які належали Viasat Inc (модеми KA-SAT) — причому не лише в Україні, але й за кордоном.

Атака стала одним з наймасштабніших кіберударів у сучасній історії. У Німеччині припинили роботу близько 5800 вітряних електрогенераторів енергетичної компанії Enercon. Наслідки атаки також відчули тисячі користувачі інтернету в країнах ЄС.

В Україні атака також спричинила великі проблеми зі зв’язком, торкнулася низки українських банків та урядових вебсайтів, а також об’єктів критичної інфраструктури. Заступник голови Держспецзв’язку Віктор Жора пізніше визнав, що «це була справді величезна втрата зв’язку на початку війни».

Британська та американська розвідки пізніше підтвердили, що за зломом інфраструктури Viasat, наслідки якого ліквідовували тижнями, стояли саме російські хакери.

Руйнівний кібернапад на енергосистему України одночасно з ракетними ударами, жовтень 2022

Коли 10 жовтня 2022 року Росія провела перший масований ракетний обстріл енергооб’єктів України у своїй минулорічній осінньо-зимовій кампанії, ракети були не єдиною загрозою для української енергосистеми в той день. Одночасної шкоди їй намагалося завдати хакерське угруповання Sandworm, пов’язане з росіянами. Про це лише через рік розповіли у своєму детальному дослідженні фахівці компанії Mandiant, що належить Google.

За їхніми даними, група кіберзлочинців Sandworm працює на користь російського ГРУ (Головного управління розвідки) щонайменше з 2009 року і є одним з найбільш досвідчених хакерських угрупувань, до «послуг» якого вдається Кремль

Саме ця група, ймовірно, стоїть і за атаками на українську енергосистему в 2015 та 2016 роках, які так само призводили до масових проблем з постачанням електроенергії.

Експертам Mandiant вдалося з’ясувати, що хакери Sandworm проникли в комп’ютерну систему української енергосистеми ще в червні 2022 року або навіть раніше, щоб ретельно вивчити її слабкі сторони. Зрештою вони посилили ефект масованих ракетних обстрілів «двома руйнівними» кібератаками 10 і 12 жовтня 2022 року. За інформацією Mandiant, хакерам вдалося відключити автоматичні вимикачі на українських підстанціях, що призвело до незапланованих порушень в системі електропостачання. Експерти дійшли висновку, що методи роботи й використаний хакерами коду свідчачть про «розвиток російських можливостей» у сфері кібератак, а також про постійні інвестиції Росії в «наступальні кіберпотужності, орієнтовані на операційні системи».

«Помста» за Леопарди: атака на інфраструктуру на фінансовий сектор Німеччини, січень 2023

Наприкінці січня 2023 року Федеральне управління з інформаційної безпеки Німеччини підтвердило, що російська злочинна хакерська група Killnet організувала DDoS-атаки на сайти німецьких органів влади, аеропортів та фінансових організацій.

Невдовзі після того, як Німеччина оголосила про своє рішення передати Україні танки Leopard 2, у Telegram-каналі Killnet з’явилося повідомлення про старт повномасштабної кібератаки проти ФРН. Російські хакери створили хештег «#ГерманияRIP» і закликали «взяти участь у святій помсті за предків».

Серед цілей кібератак вони назвали Міноборони, правоохоронні та силові структури Німеччини, урядові сайти, Міністерство фінансів та Deutsche Bank, а також дев’ять найбільших аеропортів країни, зокрема в Берліні, Мюнхені, Дюссельдорфі, Гамбурзі, Дрездені тощо. Зрештою атаку вдалося відбити без серйозних наслідків, хоча перебої в роботі відомств все ж спостерігалися

Величезний витік персональних даних, що зачепив держструктури США, травень 2023

Профільні сайти, що відслідковують тему кібербезпеки, називають найбільшим зломом 2023 року масовий витік персональних даних через злом популярної системи MOVEit. Це широко використовуваний інструменті передачі файлів, який тисячі організацій і компаній використовують для переміщення великих масивів конфіденційних даних в інтернеті.

Російські хакери скористалися вразливістю в MOVEit, що дало змогу шкідливі програмі Clop викрасти конфіденційні дані тисяч організацій, які зберігали дані клієнтів і користувачів у такий спосіб. Вперше проблему було виявлено в травні 2023 року, а до осені 2023 понад 2 500 організацій по всьому світу підтвердили витік даних щонайменше 66 мільйонів осіб — хоча реальна кількість постраждалих, ймовірно, набагато більша.

Зокрема у США жертвами злом стали сотні компаній і організацій, від авіакомпаній і університетів до урядових структур, включно з даними Міністерств енергетики, юстиції та оборони (лише в останніх двох хакери отримали доступ до електронної пошти близько 632 тис. співробітників). Серед тих, кого злом торкнувся у Пентагоні, були посадові особи Військово-повітряних і сухопутних сил, інженерного корпусу армії США, офісу міністра оборони та Об’єднаного штабу американської армії.

Удар по Нідерландах: атака найбільшого порту в Європі, червень 2023

У червні 2023 року мішенню атаки хакерів, пов’язаних з Росією, став вебсайт порту нідерландського міста Роттердам — найбільшого порту в усій Європі.

Порт Роттердама отримав інформацію від Нідерландського національного центру кібербезпеки про те, що відповідальність за атаку несуть проросійські угруповання. Кілька інших нідерландських портів, включаючи Амстердам та Гронінген, одночасно зіткнулися зі схожими DDoS атаками.

Нідерландське інформаційне агентство RTL повідомило, що за атакою стояла хакерська група під назвою NoName057(16). Її представники заявили, що кіберудар є їхньою відповіддю на плани Нідерландів купити швейцарські танки для України. Атаки проводилися з російських та сербських IP-адрес.

До цього спецслужби Нідерландів вже попереджали, що нідерландська морська інфраструктура може зазнати загрози з боку Росії.

Зрештою вебсайт порту Амстердама 6 червня 2023 року не працював більше ніж години, а порти Гронінгена страждали від перебоїв у роботі мережі упродовж двох днів.

Параліч найбільшого порту Японії, липень 2023

На початку липня 2023 року роботу найбільшого вантажного порту Японії в місті Нагоя було паралізовано внаслідок кібератаки російської хакерської групи LockBit 3.0. Злочинці заблокували операційну систему порту, через який здійснюється більшість експортно-імпортних операцій компанії Toyota Motor, й висунули вимогу викупу в обмін на відновлення роботи.

Порт у Нагої кілька днів не міг завантажувати й розвантажувати контейнери. За даними Kyodo, системний збій стався після того, як вранці один із працівників порту не зміг запустити комп’ютер. Зрештою з’ясувалося, що комп’ютерна система була заражена програмою-вимагачем.

Нагоя є найбільшим портом Японії вже понад 20 років. Його вантажообіг у 2021 році досягав майже 178 млн тонн.

Редактор: Інна Семенова