Расстановка сил
События, разворачивающиеся последнюю неделю на Украине, нашли свое отражение и в киберпространстве. Хакерские группировки одна за другой публично заявляют о поддержке той или иной стороны конфликта. На сегодня порыву патриотизма поддались 15 группировок. Например, помимо Anonymous, на стороне Украины сегодня выступают такие объединения, как Ghostsec (изначально боролись против запрещенной в РФ террористической организации ИГИЛ (организация запрещена в России)), AgainstTheWest (известна атаками против российской инфраструктуры), KelvinSecurity (занимаются шпионскими операциями в госструктурах) и не только. Всего в поддержку Украины на сегодня выступили восемь группировок.
Looks like #Ghostsec is also engaged in #OpRussia. The list of actors involved across #cyberspace continues to increase.#cybersecurity #threatintelligence #threatintel #ddos #Ukraine #RussiaUkraineWar #Russia #infosec pic.twitter.com/S2znsRqkiv
— CyberKnow (@Cyberknow20) February 25, 2022
В свою очередь Россию поддержала крупнейшая в мире группировка, которая занимается распространением вирусов-вымогателей – Conti. За РФ также вступились хакеры Freecivilian, известные прежде всего атаками на иностранные госучреждения. Группа Coomingproject, которая ранее прославилась успешной атакой на Южноафриканское национальное космическое агентство тоже пообещало правительству РФ справиться с натиском злоумышленников в киберпространстве. На данный момент российскую сторону публично заняли семь группировок.
Another #ransomware operation sides with Russia. #CoomingProject https://t.co/Fr8f5RolXO
— Brett Callow (@BrettCallow) February 25, 2022
Какие именно цели преследуют хакеры подобными выступлениями, достоверно неизвестно. Руководитель отдела продвижения продуктов компании «Код Безопасности» Павел Коростелев считает, что так киберпреступники просто рекламируют себя на фоне громких политических событий.
«Как только повод исчезнет, все вернется к тому, с чего началось – люди продолжат заниматься киберпреступлениями», – сказал он.
Код в спину
Куда очевиднее на примере группировки Conti становятся последствия хакерской мобилизации. Вскоре после того, как профессиональные вымогатели выступили в поддержку РФ, в их рядах наступило серьезное разногласие. Один из участников группировки, предположительно украинец, слил журналистам архив данных, в котором хранилась история переписки Conti в закрытых чатах с 29 января 2021 года по 27 февраля 2022.
«Такие утечки случаются крайне редко. Этот прецедент привлек внимание специалистов по информационной безопасности во всем мире: его изучение позволит глубже понимать структуру киберкриминального бизнеса шифровальщиков и более эффективно противостоять этой угрозе» – говорит руководитель лаборатории компьютерной криминалистики и исследования вредоносного кода компании компания Group-IB Олег Скулкин.
Большинство экспертов, опрошенных «Газетой.Ru», считают, что диверсия однозначно подкосит Conti, но едва ли ее уничтожит.
Главный специалист аудита отдела информационной безопасности T.Hunter Владимир Макаров не исключает, что Conti прекратит свою деятельность, но только на время — до тех пор, пока члены группировки не обеспечат себе безопасность, которая была ослаблена сливом переписки. Аналогичного мнения придерживается и Павел Коростелев из «Кода Безопасности». По его словам, вероятен сценарий, при котором хакеры в ближайшее время сообщат о ликвидации бренда Conti, а после объединятся под новой вывеской.
В свою очередь Олег Скулкин отмечает, что последние данные как раз и говорят о том, что Conti берет паузу на подготовку к перезапуску.
«На днях в своем чате Conti объявили своим партнерам по RaaS (Ransomware-as-a-Service), что уходят в отпуск на 2-3 месяца. В сообщении, в частности, говорится о том, что у группы «сложилась непростая ситуация: слишком пристальное внимание к фирме привело к тому, что шеф решил залечь на дно». Дальше сообщается, что «было много утечек и других обстоятельств, которые склоняют нас к тому, чтобы всем нам взять небольшой отпуск и подождать пока ситуация не успокоится», – сказал Скулкин.
То ли еще будет
В «Лаборатории Касперского» «Газете.Ru» сообщили, что не исключают возникновения конфликтов и в других русскоязычных группировках. Как минимум потому, что, по их данным, многонациональность свойственна большинству известных групп, в составе которых более десяти активных участников. Следовательно, вероятность конфликтов внутри группировок ввиду политических разногласий не является нулевой.
«Можно также допустить, что отдельные участники будут создавать новые группы», – сообщили в пресс-службе «Лаборатории Касперского».
В свою очередь Владимир Макаров из T.Hunter считает, что конфликты уже имеют место и в других группировках, но в отличие от Conti внутренняя информация других хакерских объединений пока не вылилась в общественное поле.
«На сегодня многонациональность хакерских групп – это скорее правило, чем исключение. Децентрализованное расположение людей по миру и их не связанность друг с другом в «реальном мире» является залогом выживания группировок», – сказал он.
Олег Скулкин из Group-IB добавляет, что на фоне разлада внутри русскоязычного киберпреступного комьюнити, к которому они относят группы, работающие с территорий РФ, СНГ и ближнего зарубежья, вероятно, хакеры забудут про негласное правило «не атаковать российские компании». Макаров также предсказал рост числа киберинцидентов в РФ и других странах из-за внутренних конфликтов в киберпреступном мире.