Ексспівробітники СБУ в Криму - найбільш активні хакери, що працюють проти України - Держспецзв’язку
Колишні співробітники СБУ в Автономній Республіці Крим входять до найбільш активного хакерського угруповання, яке працює проти України.
Такого висновку дійшли в Державній службі спеціального зв’язку та захисту інформації України.
Як зазначається в аналітичному звіті Держспецзв’язку Russia’s Cyber Tactics H1’2023, найбільше кібератак на Україну (лише у 2022 році - понад 100), здійснила група Armageddon / Gamaredon.
До Gamaredon належать хакери ялтинського підрозділу ФСБ — колишні співробітники СБУ в АРК, які перейшли на бік ворога. Основною метою Gamaredon є шпигунство.
Відмінною рисою фішингових розсилань угруповання є високий рівень їхньої підготовки: знання українського контексту та розуміння специфіки роботи тих чи інших організацій.
Це угрупування атакує державний сектор, державні підприємства, сектор безпеки й оборони та правоохоронні органи. Наприклад, Хакери Gamaredon намагаються дістати доступ до всіх можливих баз даних і видобути максимум інформації про автомобілі, їх пересування, камери спостереження, ситуацію на дорогах, арешти тощо.
При цьому, Gamaredon вдалося значно збільшити загальну кількість операцій. Якщо за увесь 2022 рік CERT-UA зареєструвала 128 випадків, то лише за перше півріччя 2023 року — вже 103. Проте не всі з них були настільки успішними, як раніше.
Ще одна активна хакерська група — Sandworm / UAC-0002 (UAC-0082 / UAC-0165), діяльність якої асоціюється з Головним управлінням Генштабу ЗС РФ (раніше — ГРУ). У січні 2023 року це угрупування здійснило кібератаку на Українське національне інформаційне агентство УКРІНФОРМ. У квітні 2022 року — на один з енергетичних об’єктів України з використанням шкідливих програм Industroyer2 та CaddyWiper.
Минулого року також багато кібератак намагалася здійснити група UAC-0056 (Pandora hVNC, RemoteUtilities, GrimPlant, GraphSteel): хактивісти-кібершпигуни з РФ. Наприклад, протягом 2022 року було кілька випадків розсилання небезпечних листів з ШПЗ (шкідливе програмне забезпечення). Розсилання, зокрема, здійснювали зі скомпрометованих електронних адрес державних органів України.
Група UAC-0098 (TrickBot — група асоційована з РФ): фінансово мотивована у минулому хакерська група, яка в цей час діє в інтересах уряду РФ. Наприклад, у квітні 2022 року здійснювала кібератаку на державні організації України шляхом розсилання небезпечних електронних листів з використанням теми "Азовсталі" та шкідливої програми Cobalt Strike Beacon.
Угрупування UAC-0035 (InvisiMole). Цих хакерів пов’язують зі Службою зовнішньої розвідки РФ. Група здійснює повільні та "тихі" атаки, спрямовані на шпигунство. Їхньою основною мішенню є високопосадовці, дипломати та інші фахівці, які мають доступ до найбільш чутливої інформації. Оскільки такі "тихі" атаки складніше виявити, вони можуть мати більш критичні наслідки.
Часто спрямовують свої зусилля проти України хакери угрупування UAC-0028 (АРТ28) (також відоме як Pawn Storm, Fancy Bear, BlueDelta). Низка дослідників пов’язують їх зі спецслужбами РФ.
Група UAC-0100: шахрайська група, діє з метою викрадення коштів громадян України. Шахрайська активність, що здійснюється невстановленою групою осіб шляхом створення фейкових вебсторінок та сторінок в соціальних мережах з використанням тематики "грошових допомог", "компенсацій", "опитувань".
У першій половині 2023 року команда реагування на комп’ютерні надзвичайні події CERT-UA зафіксувала постійну діяльність щонайменше 23 російських кібертерористичних хакерських груп. Усі вони переслідують різні цілі, зокрема і воєнні, та атакують державний і приватний сектори.
Загалом, у 2023 році найбільш активними угрупованнями були:
- UAC-0010 (Gamaredon / ФСБ),
- UAC-0056 (Ember Bear / Генштаб ЗС РФ (ГРУ),
- UAC-0028 (APT28 / (Генштаб ЗС РФ (ГРУ),
- UAC-0002 (UAC-0082 / UAC-0165 / Sandworm / (Генштаб ЗС РФ (ГРУ),
- UAC-0003 (UAC-0024 / Turla / (Генштаб ЗС РФ (ГРУ),
- UAC-0004 (UAC-0029 / APT29 / Служба зовнішньої розвідки),
- UAC-0109 (Заря — група асоційована з РФ),
- UAC-0100, UAC-0106 (XakNet — група асоційована з РФ),
- UAC-0107 (CyberArmyofRussia — група асоційована з РФ).
Практично усі найбільші зареєстровані кібератаки було асоційовано з цими APT-угрупованнями.