Оффлайн
- Регистрация
- 21.07.20
- Сообщения
- 40.408
- Реакции
- 1
- Репутация
- 0
Главные кибератаки Sandworm
Группа хакеров из войсковой части 74455 (Главного центра специальных технологий ГРУ) была названа «Sandworm» Джоном Халтквистом из компании iSight (теперь он директор аналитического отдела FireEye). Именно компания iSight в 2014 году обнаружила группу хакеров, стоявшую за атаками на объекты в Украине, а также на участников саммита НАТО в Уэльсе. В тот момент хакеры использовали уязвимости нулевого дня в программе Powerpoint для рассылки вредоносного кода. iSight удалось доказать, что за группой стоят именно российские власти. Но о том, что хакеры служат именно в этой войсковой части, тогда еще известно не было. На самом деле привлечение ГРУ к операциям такого рода началось не позднее чем в 2007 году.
В апреле 2007 года кибератаке подверглись правительственные организации и частные компании в Эстонии. Это совпало с организованными Кремлем уличными беспорядками, последовавшими после переноса Бронзового солдата в Таллине. В ходе кибератак был использован ботнет, включавший от одного до двух миллионов взломанных компьютеров, расположенных в 100 разных странах. Многие страны тогда помогли Эстонии остановить эту атаку. Россия помогать, разумеется, отказалась.
В августе 2008 года, во время войны с Грузией, кибератаке подверглось множество грузинских правительственных сайтов. Хакеры из ГРУ, получившие доступ к сайтам, выкладывали там фотографии с Гитлером. При этом кибератаки были хорошо скоординированы с военными атаками. Скажем, кибератаки на официальный сайт и газету грузинского города Гори начались непосредственно перед тем, как город подвергся российской бомбардировке с воздуха, а затем оккупации российскими войсками. Также любопытно, что хорошо подготовленная массированная атака на грузинские сайты началась уже 8 августа, то есть сразу после начала войны, хотя по официальной российской версии именно Грузия инициировала неожиданное вероломное нападение. 28 октября 2019 года та же войсковая часть повторила кибератаку на Грузию. Вещание нескольких телеканалов было прервано, правительственные сервера заблокированы, оказалась парализованной работа нескольких общественных учреждений. Во многих случаях главные страницы веб-сайтов были заменены фотографией бывшего президента страны Михаила Саакашвили с подписью «I'll be back».
Следующая крупная кибератака произошла в 2015 году в ходе вторжения России в Украину. Все началось 23 декабря под конец рабочего дня в местном «Прикарпаттяоблэнерго», которое снабжает электричеством весь регион. Один из работников предприятия приводил в порядок бумаги на своем столе и вдруг заметил, как курсор его мышки вдруг начал самопроизвольно перемещаться по экрану. На его глазах состоялся запуск программы, управляющей работой областных подстанций, и последующее отключение соответствующих подстанций, лишившее тысячи жителей света и отопления. Все последующие действия оператора, направленные на восстановление контроля над ситуацией и возобновление работы подстанций, не принесли желаемого результата — злоумышленники изменили код доступа к системе. Вследствие атаки в общей сложности было отключено примерно 30 подстанций. Также параллельно были атакованы еще два распределительных центра, что позволило отключить практически вдвое больше подстанций и погрузить около 230 тысяч жителей в темноту. Без света остались не только обыватели и предприятия, но и, например, больницы, где отключение электричества может стоить людям жизни. Помимо электростанций, аналогичной атаке подверглись Минфин и Казначейство Украины. Атака была выполнена с использованием адаптируемого вредоносного ПО, известного как CrashOverride, которое закодировано для автоматического уничтожения сети. CrashOverride мог «говорить» на языке протоколов системы управления сетью и таким образом отправлять команды непосредственно на оборудование.
В 2017 году хакеры из войсковой части 74455 провели свою самую масштабную операцию посредством созданного ими вируса NotPetya, поражающим корпоративные сети. Главным объектом атаки, начавшейся накануне 27 июня, снова была Украина, которая в этот момент готовилась отмечать День Конституции. В результате действия вируса, стиравшего жесткие диски, была заблокирована деятельность таких предприятий, как аэропорт «Борисполь», Укртелеком, Укрпочта, Ощадбанк, Укрзализныця, а также ряда крупных коммерческих предприятий. Пострадала даже система радиационного мониторинга в Чернобыльской АЭС. При атаке вирус-вымогатель NotPetya шифровал жесткий диск и требовал у обладателя компьютера деньги за возвращение доступа к компьютеру (разумеется, при выплате денег диск все равно оставался зашифрованным).
После Украины вирус вышел из под контроля и поразил многие другие страны, в том числе и Россию. Пострадали в том числе «Сбербанк», «Роснефть», «Башнефть» и «Евраз». Среди пострадавших оказалась и компания Maersk Line — мировой лидер в морских контейнерных перевозках: вирус на некоторое время вызвал хаос в логистике. Снова пострадало множество больниц и медучреждений. что поставило под угрозу жизни тысяч людей. Общий ущерб от атаки оценивают в $10 млрд, что в разы больше, чем ущерб от второго по масштабу вируса WannaCry ($4 млрд).
9 февраля 2018 года февраля хакеры Sandworm организовали кибератаку на компьютеры комитета зимних Олимпийских игр 2018 года в Пхёнчхане (Южная Корея), использовав вирус Olympic Destroyer для атаки на церемонию открытия игр 9 февраля. При этом хакеры, оставляя ложные следы, пытались выдать себя за северокорейских (что было не очень убедительно, поскольку это был тот редкий момент, когда Северная и Южная Корея переживали период сближения и даже выставили общую сборную в некоторых видах спорта). Благодаря высокому профессионализму южнокорейских программистов ущерб от кибератаки был минимизирован и церемонию открытия сорвать не удалось. Напомним, на Олимпиаду не было допущено 111 российских спортсменов из-за применения допинга (подробнее о системе массового применения допинга в российском спорте — в докладе Макларена).
Группа хакеров из войсковой части 74455 (Главного центра специальных технологий ГРУ) была названа «Sandworm» Джоном Халтквистом из компании iSight (теперь он директор аналитического отдела FireEye). Именно компания iSight в 2014 году обнаружила группу хакеров, стоявшую за атаками на объекты в Украине, а также на участников саммита НАТО в Уэльсе. В тот момент хакеры использовали уязвимости нулевого дня в программе Powerpoint для рассылки вредоносного кода. iSight удалось доказать, что за группой стоят именно российские власти. Но о том, что хакеры служат именно в этой войсковой части, тогда еще известно не было. На самом деле привлечение ГРУ к операциям такого рода началось не позднее чем в 2007 году.
В апреле 2007 года кибератаке подверглись правительственные организации и частные компании в Эстонии. Это совпало с организованными Кремлем уличными беспорядками, последовавшими после переноса Бронзового солдата в Таллине. В ходе кибератак был использован ботнет, включавший от одного до двух миллионов взломанных компьютеров, расположенных в 100 разных странах. Многие страны тогда помогли Эстонии остановить эту атаку. Россия помогать, разумеется, отказалась.
В августе 2008 года, во время войны с Грузией, кибератаке подверглось множество грузинских правительственных сайтов. Хакеры из ГРУ, получившие доступ к сайтам, выкладывали там фотографии с Гитлером. При этом кибератаки были хорошо скоординированы с военными атаками. Скажем, кибератаки на официальный сайт и газету грузинского города Гори начались непосредственно перед тем, как город подвергся российской бомбардировке с воздуха, а затем оккупации российскими войсками. Также любопытно, что хорошо подготовленная массированная атака на грузинские сайты началась уже 8 августа, то есть сразу после начала войны, хотя по официальной российской версии именно Грузия инициировала неожиданное вероломное нападение. 28 октября 2019 года та же войсковая часть повторила кибератаку на Грузию. Вещание нескольких телеканалов было прервано, правительственные сервера заблокированы, оказалась парализованной работа нескольких общественных учреждений. Во многих случаях главные страницы веб-сайтов были заменены фотографией бывшего президента страны Михаила Саакашвили с подписью «I'll be back».
Следующая крупная кибератака произошла в 2015 году в ходе вторжения России в Украину. Все началось 23 декабря под конец рабочего дня в местном «Прикарпаттяоблэнерго», которое снабжает электричеством весь регион. Один из работников предприятия приводил в порядок бумаги на своем столе и вдруг заметил, как курсор его мышки вдруг начал самопроизвольно перемещаться по экрану. На его глазах состоялся запуск программы, управляющей работой областных подстанций, и последующее отключение соответствующих подстанций, лишившее тысячи жителей света и отопления. Все последующие действия оператора, направленные на восстановление контроля над ситуацией и возобновление работы подстанций, не принесли желаемого результата — злоумышленники изменили код доступа к системе. Вследствие атаки в общей сложности было отключено примерно 30 подстанций. Также параллельно были атакованы еще два распределительных центра, что позволило отключить практически вдвое больше подстанций и погрузить около 230 тысяч жителей в темноту. Без света остались не только обыватели и предприятия, но и, например, больницы, где отключение электричества может стоить людям жизни. Помимо электростанций, аналогичной атаке подверглись Минфин и Казначейство Украины. Атака была выполнена с использованием адаптируемого вредоносного ПО, известного как CrashOverride, которое закодировано для автоматического уничтожения сети. CrashOverride мог «говорить» на языке протоколов системы управления сетью и таким образом отправлять команды непосредственно на оборудование.
В 2017 году хакеры из войсковой части 74455 провели свою самую масштабную операцию посредством созданного ими вируса NotPetya, поражающим корпоративные сети. Главным объектом атаки, начавшейся накануне 27 июня, снова была Украина, которая в этот момент готовилась отмечать День Конституции. В результате действия вируса, стиравшего жесткие диски, была заблокирована деятельность таких предприятий, как аэропорт «Борисполь», Укртелеком, Укрпочта, Ощадбанк, Укрзализныця, а также ряда крупных коммерческих предприятий. Пострадала даже система радиационного мониторинга в Чернобыльской АЭС. При атаке вирус-вымогатель NotPetya шифровал жесткий диск и требовал у обладателя компьютера деньги за возвращение доступа к компьютеру (разумеется, при выплате денег диск все равно оставался зашифрованным).
После Украины вирус вышел из под контроля и поразил многие другие страны, в том числе и Россию. Пострадали в том числе «Сбербанк», «Роснефть», «Башнефть» и «Евраз». Среди пострадавших оказалась и компания Maersk Line — мировой лидер в морских контейнерных перевозках: вирус на некоторое время вызвал хаос в логистике. Снова пострадало множество больниц и медучреждений. что поставило под угрозу жизни тысяч людей. Общий ущерб от атаки оценивают в $10 млрд, что в разы больше, чем ущерб от второго по масштабу вируса WannaCry ($4 млрд).
9 февраля 2018 года февраля хакеры Sandworm организовали кибератаку на компьютеры комитета зимних Олимпийских игр 2018 года в Пхёнчхане (Южная Корея), использовав вирус Olympic Destroyer для атаки на церемонию открытия игр 9 февраля. При этом хакеры, оставляя ложные следы, пытались выдать себя за северокорейских (что было не очень убедительно, поскольку это был тот редкий момент, когда Северная и Южная Корея переживали период сближения и даже выставили общую сборную в некоторых видах спорта). Благодаря высокому профессионализму южнокорейских программистов ущерб от кибератаки был минимизирован и церемонию открытия сорвать не удалось. Напомним, на Олимпиаду не было допущено 111 российских спортсменов из-за применения допинга (подробнее о системе массового применения допинга в российском спорте — в докладе Макларена).