Злам "Дії" по-чеченськи. Чи отримали російські хакери особисті дані українців
Наприкінці червня Федеральне бюро розслідувань (ФБР) оголосило в розшук 22-річного російського хакера чеченського походження Аміна Стігала. За інформацію про нього пообіцяли винагороду – 10 млн дол. Ця новина могла ніколи не потрапити в український інформаційний простір, якби не одна деталь.
Річ у тім, що Стігал – не простий хакер, який дошкулив американцям. Він співпрацював з російською військовою розвідкою і причетний до масштабної кібератаки проти України в січні 2022 року. Тоді десятки урядових сайтів стали жертвами хакерського удару, а на сторінках окремих зламаних ресурсів з’явилися погрози на адресу українців.
За версією слідства, ту атаку здійснили з метою збору даних, які не мали військового значення, а також для дестабілізації України напередодні російського вторгнення. Група хакерів використовувала шкідливе програмне забезпечення WhisperGate для маскування атак з вимогою викупу. Насправді ж їх метою було знищення даних.
Після цих подій у даркнеті (частина інтернету, доступ до якої можливий лише через спеціальне програмне забезпечення) почали з'являтися десятки гігабайтів даних нібито з різних державних сайтів, зокрема з порталу "Дія". У Мінцифри це заперечували, називали це провокацією і частиною гібридної війни.
Однак через місяць гібридна війна перетворилася на реальну, а версія про отримання даних з "Дії" отримала прихильників та критиків. В документі окружного суду штату Меріленд (США) ідеться, що після атаки хакери, серед яких був Стігал, того ж дня виставили на продаж дані 13,5 млн користувачів із сайту Diia.gov.ua за 80 тис дол.
Чи дійсно дані з порталу "Дія" були втрачені і для чого ФБР "засвітило" ім’я одного з хакерів атаки?
Атака напередодні великої війни
Кібератаку в ніч з 13 на 14 січня 2022 року можна вважати першим актом війни в кібернетичному просторі перед повномасштабним вторгненням росіян. Тоді під ударом хакерів опинилися десятки державних сайтів, серед яких були сторінки Міністерства закордонних справ, Міністерства охорони здоров'я, порталу "Дія" та інших.
У своєму звіті урядова команда реагування на комп’ютерні надзвичайні події CERT-UA одним з найбільш вірогідних векторів реалізації кібератаки визначила "компрометацію ланцюга постачальників" (supply chain).
Крім того, тодішній голова Держспецзвʼязку Юрій Щиголь розповідав, що атака була комбінованою і складалася з трьох векторів. Перший – supply chain attack, що дозволило проникнути в систему та вивести з ладу пов'язані інформаційні та автоматизовані системи. Інші два включали використання вразливостей у системах керування вмістом сайтів October CMS та Log4j.
Чергова масована кібератака на Україну: як це стало можливим та які наслідки
Про вразливість October CMS згадували ще в травні 2021 року. Крім того, у документі окружного суду штату Меріленд згадується, що приблизно 19 серпня того ж року змовники просканували понад 2 400 сайтів українського уряду на наявність потенційних вразливостей, включаючи портал "Дія". Жертвами тієї атаки стали майже 70 сайтів державних установ – центральних та місцевих органів влади.
У розмові з ЕП один із засновників "Українського кіберальянсу" Андрій Баранович вказував, що всі атаковані держсайти працювали на одній неоновленій версії програмного забезпечення.
Під час атаки на держсектор вирішальну роль зіграли шкідливі програми BootPatch та WhisperKill. Стігал керував схемою шкідливого програмного забезпечення WhisperGate. Такі атаки маскували під шахрайство з вимогою заплатити 10 тис дол у біткоїнах за відновлення викрадених даних. Проте, за версією прокурорів США, зараження повʼязаних з українськими урядовими мережами компʼютерів вірусом WhisperGate спричинило знищення даних.
У Мінцифри ЕП відповіли, що атаку здійснили на інфраструктуру однієї з ІТ-компаній-розробників порталу "Дія".
ЕП раніше писала, що атаковані державні сайти на October CMS побудувала київська компанія Kitsoft (ТОВ "Комп'ютерні інформаційні технології"), яка спеціалізується на створенні IT-продуктів для державних органів і бізнесу. У 2021 році вона виграла тендер на розробку Єдиного державного порталу електронних послуг на замовлення держпідприємства "Дія" вартістю 38,4 млн грн.
Зрештою, оголошення винагороди за допомогу в пошуку російського хакера пролило світло на деталі однієї з найбільших кібератак в історії незалежної України, довівши при цьому причетність до інциденту російського Головного розвідувального управління (ГРУ).
Співпраця з ГРУ та збір даних перед вторгненням
Влада США, звинувачуючи Стігала, вказує на його зв’язок з російською військовою розвідкою. Згідно із звинуваченням, хакер та його неназвані змовники з ГРУ напередодні великої війни націлювалися на дані українського уряду, які не мали військового чи оборонного значень.
За словами генерального прокурора США Мерріка Гарленда, Стігал вступив у змову з російською військовою розвідкою напередодні вторгнення РФ в Україну, щоб здійснити кібератаки проти українського уряду, а згодом – проти його союзників, включаючи Сполучені Штати.
У Росії існує негласна система, за якої кожне силове відомство співпрацює з певними групами хакерів, надаючи їм захист та поблажки (наприклад, можливість безкарно займатися шахрайством). ГРУ опікується хакерами, які спеціалізуються на шифруванні та зламі систем з метою отримання інформації.
"ГРУ можна назвати центром хакерів, які збирають інформацію для військових цілей і так званої критичної інфраструктури. Під час проведення наступальних операцій їм потрібні дані для проведення фільтраційних заходів та контролю над окупованими територіями. Саме тому військова розвідка отримала завдання збирати цю інформацію", – пояснює спеціаліст з кібербезпеки та засновник проєкту HackYourMom Микита Книш.
Кібератака в січні 2022 року – крапля в морі спецзаходів, які здійснюють російські хакери під керівництвом ГРУ. Часто вони видають себе за звичайних шахраїв, які вимагають кошти за повернення доступу до уражених систем, але насправді за цим стоїть вплив держави.
Одним з найвідоміших хакерських угруповань у світі є Sandworm, члени якого є офіцерами ГРУ (військова частина №74455). Їм приписують низку гучних кібератак, зокрема за допомогою вірусу NotPetya у 2017 році, яка завдала шкоди на мільярди доларів в усьому світі, та на оператора мобільного зв'язку "Київстар" у 2023 році.
Інша хакерська група, "APT 28", що складається з офіцерів 85-го головного центру спеціальної служби ГРУ (в/ч №26165), не раз атакувала урядові та неурядові об’єкти в США та Європі, зокрема в Україні. Влітку 2018 року Мін’юст США опублікував обвинувачення для 12-ти співробітників ГРУ, яких вважають причетними до "APT 28". Їх звинувачують у зламі серверів Демократичної партії США та спробі втручання в американські вибори.
Американська консультантка з кібербезпеки Лора Галанте: Росія готова атакувати
Злам українських державних сайтів є тільки частиною злочинів, у яких підозрюють Стігала. Згідно із судовими документами, 22-річний чеченець причетний до атак на транспортну інфраструктуру однієї з центральноєвропейських держав, яка відіграє важливу роль у наданні допомоги Україні після початку великої війни.
Крім того, група WhisperGate атакувала американську державну установу, розташовану в штаті Меріленд. За даними ФБР, Стігал та інші хакери понад 60 разів впливали на роботу сайтів держустанов США. Сукупність цих атак, імовірно, дозволила ФБР деанонімізувати російського хакера і встановити винагороду 10 млн дол за інформацію про нього.
Чи прискорить викриття Стігала його арешт
Спрогнозувати дії американських спецслужб важко. Одним з найпоширеніших варіантів переслідування таких підозрюваних є непублічне передавання даних, наприклад, Інтерполу. Це дозволило б затримати росіянина при спробі потрапити в іншу країну. Проте, імовірно, він не так часто покидає межі РФ.
Зрештою, для американської влади це далеко не перший випадок деанонімізації російських хакерів з подальшим оголошенням винагороди. Так, Секретна служба США в січні 2024 року звинуватила й батька Стігала – Тіма (Тимура) у викраденні даних банківських карток та коштів з рахунків громадян США.
"Такі випадки можуть мати певний вплив на хакерське ком'юніті, яке і так не дуже хоче працювати з ГРУ. Однак коли справа доходить до співпраці із силовиками, у хакерів немає особливого вибору. Залякування тюремними термінами є стандартним способом вербування хакерів у всьому світі", – розповідає Книш.
Хакери, проможні до кібератак на такому рівні, розуміють, що рано чи пізно реальна інформація про них стане публічною, оскільки це поширена практика ФБР, додає Книш.
Американським спецслужбам вдалося встановити, що Стігал використовував псевдонім Free Civilian. Згідно з обвинувальним актом, через кілька годин після кібератаки, що відбулася 13 січня 2022 року, хакер та його спільники виставили на продаж дані, які, за їхніми твердженнями, були викрадені в українського уряду.
Ці дані виклали на форумах даркнету під псевдонімом Free Civilian. У розслідуванні The Insider також зазначається, що Стігал ще з шкільних часів використовував нікнейми Vaticano і Free Civilian. Людина під ніком Vaticano виставила на продаж дані українців на великому форумі RaidForums, після чого адміністрація його заблокувала. Твердження ФБР спонукали фахівців з кібербезпеки відновити дискусію про те, чи дійсно відбувся злам порталу "Дія".
Чи зламували "Дію"
Після кібератаки в січні 2022 року в мережі щонайменше двічі з’являлися масиви даних, які містили особисту інформацію українців. Востаннє, 23 лютого 2023 року, у Telegram-каналі Free Civilian з’явився анонс оприлюднення даних з низки українських державних сайтів, зокрема порталу "Дія".
Мінцифри переконує, що дані, які продавалися у 2022-2023 роках, не мають нічого спільного з "Дією". Там зазначили, що в даркнеті виклали базу даних під виглядом інформації з "Дії". Українські спецслужби провели закупівлю та аналіз матеріалів, додали в уряді. Слідчі встановили, що 13,5 млн даних – це нібито компіляція різних баз приватних компаній, що були "злиті" набагато раніше.
"По-перше, на момент викладення даних у 2022 році на порталі "Дія" було лише 1,5 мільйона користувачів, а не 13 мільйонів. По-друге, структура даних щодо громадян у "злитих" даних значно відрізнялася від тих, що обробляються на порталі "Дія". По-третє, "злиті" дані хакери викладали й раніше, ще до створення "Дії", в інших обсягах чи компіляціях, що було підтверджено правоохоронними органами за результатами аналізу", – відповіли ЕП в Мінцифри.
"Ми знаємо їх імена. Путін не буде жити вічно". Урядовий хакер Поттер про трибунал над російськими кіберзлочинцями
Однак аргументи Мінцифри переконливі не для всіх фахівців у сфері кібербезпеки. Частина з них вказує, що структура даних у зразках, "злитих" на RaidForums 22 січня 2022 року, відповідає структурі даних з порталу "Дія".
Крім того, ФБР звинувачує Стігала у витоку і продажу чутливої інформації українських громадян. В обвинувальному документі йдеться, що після кібератаки 13 січня 2022 року хакери, імовірно, Стігал та його спільники, виставили на продаж у даркнеті дані, які, за їх твердженнями, були вкрадені з українських державних систем.
Вони містили інформацію про кримінальні справи та покарання українців, транспортні засоби та їх власників від Моторного (транспортного) страхового бюро, а також медичні історії пацієнтів.
Крім того, змовники виставили на продаж дані 13,5 млн користувачів з Diia.gov.ua за 80 тис дол.
"У ФБР достатньо коштів, щоб купити зразки цих даних і дослідити, хто їх продає та чи дійсно стався "злив" інформації", – пояснює Книш. На його думку, із січня 2022 року хакери, попри заяви влади, могли отримати доступ до українських реєстрів через портал "Дія".
Наразі однозначної відповіді на питання, чи справді росіяни отримали доступ до "Дії", немає. Однак правоохоронці США змогли привідкрити завісу сцени, на якій розгорталися події перед початком великої війни. Американці вказали на одного учасника кібератаки, який має відповісти як співучасник воєнного злочину.