В США раскрыли деятельность российских кибероперативников, обвиняемых в организации нескольких атак. The Guardian подробно рассказывает об их деятельности, основываясь на обвинительном заключении Минюста США в отношении шести российских хакеров-оперативников.
Российская хак-группа Sandworm, которой предписывают организацию кибератак против врагов Кремля по всему миру, работает в стеклянной высотке в подмосковных Химках на улице Кирова, 22. Это бизнес-центр «Новатор», построенный депутатом Госдумы Дмитрием Саблиным, сооснователем российского движения «Антимайдан». В феврале 2016 года здание перешло АО «Оборонстрой», принадлежащему министерству обороны РФ. Согласно Росреестру, сейчас здание числится за оперативным управлением Центрального территориального управления имущественных отношений ведомства. По информации из американского обвинительного заключения, в российском Главном разведывательном управлении это здание называют «Башней».
С улицы Кирова, 22 в Химках хакеры Sandworm, известные также как «часть 74455» и «главный центр специальных технологий», атаковали энергосистемы Украины и кампанию Эмманюэля Макрона перед выборами во Франции в 2017 году, Олимпиаду в Южной Корее и отравление Скрипалей в Солсбери в 2018-м.
Как утверждают эксперты по кибербезопасности, эта же команда хакеров участвовала во взломе Национального комитета Демократической партии США и предвыборной кампании Хиллари Клинтон в 2016, замаскировавшись под группу хакеров-активистов Fancy Bear.
Теперь у хакеров новая цель. В середине октября власти США и Великобритании обвинили Sandworm в планировании кибератак на Олимпийские и Паралимпийские игры в Токио. «Игры» России вышли за пределы политики и коснулись «гражданских» — сотен тысяч украинцев, которые остались посреди зимы без тепла и света, и пациентов крупной больницы в Пенсильвании. Так теперь выглядит неограниченная кибервойна.
В обвинительном заключении США в отношении шести оперативников Sandworm, всех офицеров военной разведки ГРУ, подробно описывается, как они вели свои дела. Готовясь к атаке на Олимпиаду, они изучили тактику и стиль своих северокорейских коллег, группы Lazarus, чтобы имитировать их и вызвать подозрения в Пхеньяне.
Когда Лаборатория оборонной науки и технологий Великобритании и Организация по запрещению химического оружия в Гааге начали расследование атаки нервно-паралитического агента «Новичок» на перебежчика из КГБ Сергея Скрипаля и его дочь Юлию в марте 2018 года, хакеры Sandworm разослали электронные письма на адрес следователей в обеих организациях якобы от имени известных немецких и британских журналистов. Чтобы заставить адресатов кликнуть на ссылки с вредоносном ПО, псевдожурналисты утверждали, что информация по ссылкам относится к расследованию.
Обвинение основано на масштабных расследованиях, проведенных аналитиками ФБР в сотрудничестве с Google, Cisco, Facebook и Twitter, а также со спецслужбами альянса Five Eyes: США, Великобритании, Канады, Австралии и Новой Зеландии.
Согласно обвинительному заключению, следователям удалось настолько плотно следить за хакерами, что они смогли поймать одного из них, Анатолия Ковалева. Он занимался фишингом в российских компаниях по недвижимости и у автодилеров, а также на зарубежных криптобиржах, очевидно, для личной выгоды.
Несмотря на все усилия, которые «часть 74455» приложила, чтобы замести следы, в остальном они, похоже, были на удивление небрежны. Арик Толер, один из журналистов-расследователей Bellingcat, говорит, что трое из шести российских хакеров зарегистрировали свои автомобили по одному и тому же адресу, связанному с Sandworm. «Если вы найдете всех людей, зарегистрировавших свои машины по этому адресу, вы получите 47 результатов — наверняка, все они — хакеры ГРУ», — сказал Толер.
Читайте также:
NAEBC. Как россияне создали еще один фейковый сайт, чтоб сорвать выборы в США
