Главный хакер Путина и ГРУ РФ: кто стоит за атаками на Украину и возглавляет Sandworm

Спецслужбам ЕС и США удалось рассекретить имя руководителя самого известного подразделения хакеров, которое состоит на службе Кремля. По данным Wired, именно Sandworm прославились саботажем с помощью вируса NotPetya, уничтожавшим данные на компьютерах коммерческих и правительственных структур по всему миру. За последние 8 лет группировка отметилась множеством операций против европейских госструктур. Фокус рассказывает о том, кто руководит самым элитным подразделением хакеров, которые подчиняются Главному управлению Генерального штаба ВС РФ (данное ведомство больше известно под названием Главное разведывательное управление — ГРУ РФ).

Кто такой Евгений Серебряков?

Ни для кого не секрет, что хакерские подразделения являются неотъемлемой частью любой спецслужбы мира. Но именно Евгений Серебряков, чье имя стало известно благодаря усилиям западных правоохранителей и обрело огласку с помощью авторитетного расследователя Христо Грозева из Bellingcat, возглавляет самое опасное из них – Sandworm.

Новый руководитель хакерского подразделения ГРУ России попал в поле зрения западных разведок в 2018 году после того, как был пойман на горячем вместе с другими подельниками при неудавшейся атаке на Организацию по запрещению химического оружия в Гааге (ОЗХО).

Это только в фильмах хакер может взломать любой компьютер, находясь от него на другом конце света, но в реальности для взлома таких серьезных организаций, как ОЗХО, приходится действовать "в поле" и с близкого расстояния. Группа российских хакеров припарковалась возле офиса организации с тем, чтобы получить возможность взломать сеть Wi-Fi и проникнуть на сервера ОЗХО. Вероятно, группа нацелилась на файлы сотрудников организации, которые расследовали использование Россией отравляющего вещества "Новичок" в попытке убить перебежчика Сергея Скрипаля.

В итоге, голландские правоохранители не только арестовали Серебрякова и его команду, члены которой входили в состав другого подразделения ГРУ РФ известного как Fancy Bear (или APT28). Они также изъяли рюкзак Серебрякова, полный технического оборудования, его ноутбук и другие хакерские устройства.

Следователи изучили конфискованное оборудование для взлома Wi-Fi и обнаружили длинный список сетей, к которым оно подключалось ранее, по сути, составив карту перемещений Серебрякова и его коллег для проведения предыдущих хакерских операций. Например, следователи обнаружили следы взлома сетей, которыми пользовались официальные лица в ходе летних Олимпийских игр 2016 года в Рио-де-Жанейро. Тогда от Олимпиады отстранили более 100 российских спортсменов за употребление допинга. Также были взломаны сети, использовавшиеся участниками конференции в Лозанне (Швейцария), посвященной борьбе с допингом в легкой атлетике.

Почему Серебряков и его команда оказались в России?

Не смотря на то, что Серебрякова и его группу задержали, а их преступления были фактически доказаны, команду кибершпионов отпустили и они вернулись в Россию. А ведь им могли предъявить уголовные обвинения и экстрадировать в США, где им и сегодня грозят обвинения в многочисленных кибератаках.

Расследователи полагают, что имели место тайные договоренности спецслужб ЕС и РФ. Возможно, даже состоялся какой-то неформальный обмен ценной информацией или кем-то из важных персон а-ля классическая операция по обмену шпионами на мосту в Глинике, как во времена Холодной войны.

Стремительная карьера Евгения Серебрякова

По данным Христо Грозева, Серебряков возглавил Sandworm весной 2022 года после того, как работал заместителем командира APT28, и сейчас имеет звание полковника. Тот факт, что Серебрякову удалось занять эту должность, говорит о том, что он должен представлять значительную ценность для ГРУ.

"Видимо, он слишком хорош, чтобы его списать со счетов", — отмечает Грозев.

О самом Серебрякове мало что известно. Есть информация, что он родился в 1981 году в Курске, но о его образовании или карьере до начала работы в ГРУ РФ нет никаких данных. Хакер тщательно следит за своей анонимностью и не допускает утечек. В Сети доступно всего несколько его фото не самого лучшего качества, которые предоставлены спецслужбами Евросоюза.

Чем "прославились" хакеры ГРУ РФ из Sandworm

Это элитное хакерское подразделение ГРУ России известно под разными названиями: FrozenBarentz, Voodoo Bear, IRIDIUM или Unit 74455, но вся мировая хакерская "тусовка" знает их, как Sandworm, что переводится как "песчаный червь" — по аналогии с вымышленным существом из научно-фантастического романа Фрэнка Герберта "Дюна". Вероятно, группа Серебрякова выбрала это имя, чтобы подчеркнуть свою способность скрываться в глубинах Интернета и наносить разрушительные удары по целям.

Sandworm ответственна за самые громкие кибердиверсии последних лет. Например, хакеры дважды (в 2015 и 2016 годах) с помощью вредоносного ПО BlackEnergy успешно атаковали энергетическую систему Украины, оставив без электричества более чем 225 тыс. украинцев. Они использовали фальшивые электронные письма с вредоносными вложениями для получения доступа к компьютерам операторов энергосистемы. Затем они отключили подстанции и заблокировали возможность удаленного управления, атаковали телефонные линии, чтобы затруднить связь между операторами и потребителями.

В декабре 2016 года хакеры из Sandworm повторили атаку на электросеть в Киеве. Они использовали новый инструмент для удаленного доступа под названием Industroyer 2, или CrashOverride, который был специально разработан для атаки на промышленные системы управления. Они отключили одну из подстанций и лишили света около 200 тыс. киевлян.

Эти атаки были первыми известными случаями кибератак на электросеть с использованием вредоносного ПО. Они показали, что Sandworm имеет высокий уровень навыков и ресурсов для проведения таких операций и их инструменты могут быть доступны другим хакерам.

В апреле и мае 2017 года хакеры Sandworm организовали ряд кампаний по фишингу и связанных с ними утечек информации, нацеленных на политическую партию президента Франции Макрона. Они разместили 9 Гб электронных писем предвыборной кампании Макрона за несколько часов до окончания агитации. Эти атаки были похожи на те, которые Sandworm проводила во время президентской кампании в США в 2016 году. Они также показали, что РФ вмешивается в политические процессы других стран.

Но самым большим "достижением" Sandworm была разработка вируса NotPetya в 2017 году. Изначально он был направлен на украинские компании, но быстро распространился и повлиял на компании по всему миру, причинив ущерб более чем на $10 млрд. NotPetya маскировался под обычный вирус-вымогатель Petya и шифровал файлы пользователей, требуя выкуп, однако даже если жертва соглашалась заплатить, то файлы все равно уничтожались и не поддавались расшифровке, пока антивирусные компании не выпустили "антидот".

От атак NotPetya пострадало множество мировых крупнейших концернов, таких как Maersk (перевозчик), Merck (фармацевтическая компания), FedEx (служба доставки), Mondelez (производитель продуктов питания), Saint-Gobain (строительная компания) и многие другие.

В феврале 2018 года, в день открытия зимних Олимпийских игр в Пхенчхане, хакеры из Sandworm использовали вирус Olympic Destroyer, чтобы атаковать компьютерные системы организаторов игр в Южной Корее. Атака привела к сбоям в работе Сети, ТВ, Wi-Fi и электронных табло на стадионах. Она также повлияла на работу пресс-центра и транспортной системы. Эта была месть Кремля за запрет на участие российских спортсменов под своим флагом из-за очередного допингового скандала.

В октябре 2019 года Sandworm провела массовую кибератаку на 15 тыс. сайтов, размещенных в Грузии, в том числе на сайты правительства, судов, неправительственных организаций и СМИ. Хакеры заменили содержимое сайтов на изображение Михаила Саакашвили с подписью "Я вернусь".

В конце сентября 2022 года группировка запустила кампанию по распространению вымогательского программного обеспечения Ransom в Украине и Польше. Хакеры атаковали несколько организаций, в том числе СМИ, банки и правительственные учреждения. Целью атаки было нарушить работу этих организаций и потребовать выкуп за расшифровку файлов.

А за день до вторжения России в Украину Sandworm использовала новое вредоносное ПО Cyclops Blink для атаки на украинские СМИ. Хакеры пытались совершить диверсию, чтобы получить контроль над коммуникациями с целью дезинформации украинцев, но им это не удалось провернуть.

Неудачей закончилась попытка очередной атаки на украинскую энергосистему в апреле 2022 года. Хакеры атаковали подстанцию Кременчугской ТЭЦ и вызвали перебои в работе энергосистемы, но благодаря быстрому реагированию украинских специалистов по кибербезопасности диверсия провалилась.

Что будет дальше с хакерами из Sandworm

Все члены этой группировки ГРУ хорошо известны правоохранителям всего мира. Они давно объявлены в международный розыск и вряд ли смогут когда-нибудь покинуть территорию России без риска быть арестованными. Впрочем, это не мешает им планировать новые операции.

Однако, по мнению хактивиста Джона Халквиста, известность делает Sandworm более уязвимой и неэффективной, ведь все компании по кибербезопасности и спецслужбы всего мира внимательно следят за участниками Sandworm, которые планируют кибероперации, сидя в небоскребе в московских Химках.