"Провоцировали украинцев". Эксперт раскрыл изначальный план атаки на госсайты 14 января

Во время масштабного взлома государственных сайтов в Украине российские спецслужбы могли использовать "фейковый" вирус-вымогатель, чтобы спровоцировать украинцев атаковать сайты в России. Такую версию эксперт по кибербезопасности Андрей Баранович выдвинул на своей странице в Facebook.

Правительственная команда CERT-UA во время исследования нашла сходство между вредоносной программой WhisperKill, которую использовали для взлома украинских сайтов 13-14 января и вирусом-вымогателем Encrpt3d. В обоих "зловредах" содержится стилизованный трезубец и указан криптовалютный кошелек из сообщений о минировании объектов в России в конце 2019 года — автор призывал российского олигарха Константина Малофеева вернуть 120 биткоинов, якобы украденных из биржи WEX.

"Чекисты времени не теряли и чтобы как-то объяснить происходящее безобразие выпустили троян-вымогатель "Encrpt3d" с трезубцем и требованием перевести десять биткоинов на адрес 19B5Bt11… Перед этим они так же нашли связь между "минером" и пользователем WEX из Киева и 83-м ЦИПСО и заблокировали на России ProtonMail. Всегда так делают — чем больше версий, тем лучше", — рассказал киберэксперт.

По данным сайта Forklog, в конце декабря 2021 года часть биткоинов общей стоимостью около $4 тыс. по текущему курсу, перевели с упомянутого кошелька на биржу Binance. Андрей Баранович считает, что вымогатели, будь они настоящими владельцами адреса, вывели бы деньги еще полтора года назад. Злоумышленники точно не стали бы использовать кошелек повторно, ведь очень легко сделать новый. По мнению эксперта, российские спецслужбы использовали "вымогатель с трезубцем", чтобы обвинить украинцев в волне минирований.

6 января, за неделю до кибератаки, "Украинский Кибер Альянс" получил от неизвестного письмо от лица "российского минера" с просьбой принять его в свои ряды. Он также напомнил о скандале с Encr3pted:

"Кстати о шифровальщике, который просил битки на мой адрес у англоязычных пользователей с трезубцем на банере, так это подстава. К ЦИПсО отношения не имею, но планирую с ними тоже связаться".

"И раз все (включая "минера") согласны с тем, что вымогатель — работа российских спецслужб, то как так получается, что практически идентичный софт использовался для уничтожения данных 14 января? И зачем они оставили столько следов? Думаю, что изначальный план заключался в том, чтобы спровоцировать украинские спецслужбы и украинских хактивистов Ukrainian Cyber Alliance на активные действия против россии, чтобы отвлечь внимание от атаки "14 января" или по крайней мере сделать так, чтобы она выглядела, как симметричный ответ, а не акт агрессии и кибертерроризма", — такой вывод сделал Андрей Баранович.

Ранее Госспецсвязь заявила, что хакеры пытаются обвинить ССО ВСУ в кибератаке на правительственные сайты Украины, состоявшейся в ночь с 13 на 14 января. По мнению ведомства, они умышленно использовали ПО WhisperKill и упомянули адрес криптокошелька, указанный в сообщениях о минированиях в России.

До этого украинские эксперты выяснили, как хакерам удалось совершить взлом госсайтов 14 января. Во время атаки использовали атаку на цепь поставок (supply chain attack), она предусматривает внедрение вредоносного кода при помощи стороннего ПО через инфраструктуру компании-разработчика.