"Київстар" атакувала російська хакерська група: що про неї відомо
Фото: Unsplash
Російська хакерська група "Солнцепек" взяла на себе відповідальність за атаку на "Київстар". Це не перша їхня атака на українські ресурси. Зокрема, раніше "Солнцепек" атакував "Суспільне", українських провайдерів і Міністерство розвитку громад.
Ми знищили 10 тисяч комп'ютерів, понад 4 тисячі серверів, усі системи хмарного зберігання даних і резервного копіювання. Ми атакували "Київстар", тому що компанія забезпечує зв'язком ЗСУ, а також державні органи й силові структури України. Решті контор, які допомагають ЗСУ, приготуватися! — написали російські хакери.
Що відомо про "Солнцепек" та до яких хакерських атак вони причетні, розповідає видання dev.ua.
Кібератаки з росії
Ось хронологія хакерських атак, відповідальність за які на себе взяв "Солнцепек":
- 25 квітня — локальна мережа Міністерства розвитку громад та територій України зазнала хакерської атаки.
- 11 травня — сайт "24 Каналу" зазнав хакерської атаки. Тоді росіяни почали оперативно публікувати на сайті фейкові новини з погрозами президенту Володимиру Зеленському та українцям.
- 11 травня — атака на українських провайдерів. За версією росіян, це були Citylan, Gigabit-net, UOS, UA Group, FiberNet та інші. Провайдери "Корбіна Телеком" і Znet повідомляли про злом і розсилку користувачам із боку російських хакерів.
- 16 травня — атака на сайт "Гордон". Тоді редакція на якийсь час втратила доступ до адмінпанелі сайту, через що зловмисники змогли розмістити на головній сторінці видання заяву антиукраїнського змісту. Атака розпочалася приблизно о 15:50 за київським часом, але роботу сайту вдалося відновити приблизно о 17:15.
- 25 травня — атака на Південний гірничо-збагачувальний комбінат. За заявою російських хакерів, їм вдалося "знищити понад 30 серверів і близько 2000 комп'ютерів". Тоді у пресслужбі українського підприємства заявили, що якщо спроби атак і відбувалися, то вони були відбиті, а всі наслідки усунуті.
- 14 червня — хакери атакували сайти "Суспільного". Атаку розслідує Держспецзв'язку. Через кібератаку мовник звернувся до CERT-UA.
- 12 грудня — потужна атака на "Київстар".
Як діє "Солнцепек"
У мережі небагато інформації про "Солнцепек". Як тільки ти починаєш гуглити на цю тему, тобі буде видавати однойменну важку вогнеметну систему рф. У "Солнцепека" є телеграм-канал, який існує з кінця квітня 2022 року. Зараз на нього підписано близько 28 тис. людей.
Майже рік там публікували особисті дані українських військових, називаючи їх "військовими злочинцями". У перших постах каналу можна знайти фото українських медійних особистостей — активіста Сергія Стерненка і телеведучої Наталії Мосейчук.
Їхній "план А" полягав у тому, що після тижневого бліцкригу (Україна впаде — ред.) вони розпочнуть контрпартизанську війну. Тому "Солнцепек" публікує "деанони", це мали бути розстрільні списки. Оскільки ніякого "плану Б" у них не було, то вони продовжують займатися тим самим, і намагаються змінювати тактику, — розповів у коментарі dev.ua український хакер Андрій Баранович (Sean Townsend).
Публікації щодо особистих даних українських військових продовжуються і сьогодні, але навесні 2023 року до них додалася інформація про хакерські атаки в Україні.
Хто може стояти за угрупуванням
Активність, що висвітлюється в частині деструктивних кібератак, відстежується CERT-UA з ідентифікатором UAC-0165. Водночас із високим рівнем впевненості ця активність асоціюється з діяльністю угрупування Sandworm, — розповіли dev.ua у Держспецзв'язку.
Sandworm — це елітний підрозділ російських хакерів, який працює на Кремль. Саме він розповсюджував вірус NotPetya, який знищував дані на комп'ютерах комерційних та урядових структур у всьому світі, завдаючи лише однією диверсією збитків на 10 млрд доларів. Sandworm підпорядковується головному розвідувальному управлінню росії.
Якщо уважно подивитися на їхній канал, то цілком очевидно, що це ніяке не "угрупування", а чергова вивіска ГРУ РФ. Вони неуважні й припускаються помилок, — розповів dev.ua хакер Андрій Баранович.
Про Sandwarm дуже добре знають у світі. У 2020 році Міністерство юстиції США звинуватило шістьох російських хакерів (ймовірних офіцерів ГРУ) в кібератаках в Україні, США, Франції та Південній Кореї й зломі програмного забезпечення, який заподіяв збитків майже на 1 млрд доларів.
На той час підозрювані перебували в росії. Це офіцери ГРУ — Юрій Андрієнко, Сергій Детістов, Павло Фролов, Анатолій Ковальов, Артем Очиченко і Петро Пліскін. Тоді були опубліковані їхні фотографії. Вважається, що всі шестеро — члени Sandworm, яка стоїть за такими кібератаками, як KillDisk (кібератака на енергетичні компанії України, 2015 рік) і OlympicDestroyer (атака на зимову Олімпіаду в Південній Кореї, 2018 рік).
Більша частина зломів — це робота спецслужб, роль "хакерів-волонтерів" невелика. В останніх просто недостатньо мотивації та ресурсів, щоб працювати в такому темпі, — каже Андрій Баранович.
Навесні 2022-го Sandworm очолив Євген Серебряков. Про нього мало що відомо. Є інформація, що він народився у 1981 році в Курську, але про його освіту чи кар'єру до початку роботи в ГРУ рф немає жодних даних. Хакер ретельно стежить за своєю анонімністю та не допускає витоків. У мережі є лише кілька його фото не найкращої якості, які надані спецслужбами Євросоюзу.
У 2018 році голландські правоохоронці заарештували Серебрякова та його команду. Це відбулося біля Організації із заборони хімічної зброї в Гаазі (ОЗХО). Тоді правоохоронці вилучили рюкзак Серебрякова, повний технічного обладнання, його ноутбук та інші пристрої, які доводили його причетність до світових кібератак. Але Серебрякова та його групу відпустили й вони повернулися до росії. Вважається, що мали місце таємні домовленості спецслужб ЄС і РФ.
Чого можна чекати від "Солнцепека" в майбутньому?
У Держспецзв'язку кажуть, що, на жаль, цього передбачити неможливо, але при відповідальному ставленні до кіберзахисту та своєчасному виявленні загроз таким атакам можна запобігти.
Їхні звичні, обкатані схеми просто перестали працювати, ось вони намагаються змінювати свою тактику — і в технічному, і в медійному відношенні. Поки що без особливих результатів, як на мене, — підсумував Андрій Баранович.
Нагадаємо, що масштабний збій у роботі мережі "Київстар" стався вчора вранці. У багатьох абонентів припинив працювати мобільний зв'язок та інтернет, а також стаціонарний інтернет. Крім того, абоненти "Київстар" через збій не можуть під'єднатися до мереж інших операторів.
