Розділи
Матеріали

"Провокували українців". Експерт розкрив початковий план атаки на держсайти 14 січня

Фото: Unsplash

Російські спецслужби намагалися відвернути громадськість від злому в Україні або хоча б видати його за симетричну відповідь, вважає Андрій Баранович.

Під час масштабного зламування державних сайтів в Україні російські спецслужби могли використати "фейковий" вірус-вимагач, щоб спровокувати українців атакувати сайти в Росії. Таку версію експерт з кібербезпеки Андрій Баранович висунув на своїй сторінці у Facebook.

Урядова команда CERT-UA під час дослідження знайшла схожість між шкідливою програмою WhisperKill, яку використовували для злому українських сайтів 13-14 січня та вірусом-вимагачем Encrpt3d. В обох "злодіях" міститься стилізований тризуб і вказаний криптовалютний гаманець із повідомлень про замінування об'єктів у Росії наприкінці 2019 року — автор закликав російського олігарха Костянтина Малофєєва повернути 120 біткоїнів, нібито вкрадених із біржі WEX.

"Чекісти часу не втрачали і щоб якось пояснити неподобство, що відбувається, випустили троян-вимагач "Encrpt3d" з тризубцем і вимогою перевести десять біткоїнів на адресу 19B5Bt11… Перед цим вони так само знайшли зв'язок між "мінером" і користувачем W3 з Києва і 83-ім ЦІПСО і заблокували на Росії ProtonMail. Завжди так роблять — що більше версій, то краще", — розповів кіберексперт.

За даними сайту Forklog, наприкінці грудня 2021 року частину біткоїнів загальною вартістю близько $4 тис. за поточним курсом перевели зі згаданого гаманця на біржу Binance. Андрій Баранович вважає, що здирники, якби вони були справжніми власниками адреси, вивели б гроші ще півтора роки тому. Зловмисники точно не стали б використовувати гаманець повторно, адже дуже легко зробити новий. На думку експерта, російські спецслужби використали "вимагач із тризубом", щоб звинуватити українців у хвилі мінувань.

6 січня, за тиждень до кібератаки, "Український Кібер Альянс" отримав від невідомого листа від імені "російського мінера" з проханням прийняти його до своїх лав. Він також нагадав про скандал із Encr3pted:

"До речі про шифрувальника, який просив битки на мою адресу в англомовних користувачів з тризубом на банері, так це підстава. До ЦІПСО стосунку не маю, але планую з ними також зв'язатися".

"І якщо всі (включаючи "мінера") згодні з тим, що здирник — робота російських спецслужб, то як так виходить, що практично ідентичний софт використовувався для знищення даних 14 січня? І навіщо вони залишили стільки слідів? Думаю, що початковий план полягав у тому, щоб спровокувати українські спецслужби й українських хактивістів Ukrainian Cyber Alliance на активні дії проти росії, щоб відвернути увагу від атаки "14 січня" або принаймні зробити так, щоб вона мала вигляд симетричної відповіді, а не акту агресії та кібертероризму", — такий висновок зробив Андрій Баранович.

Раніше Держспецзв'язок заявив, що хакери намагаються звинуватити ССО ЗСУ в кібератаці на урядові сайти України, що відбулася в ніч із 13 на 14 січня. На думку відомства, вони навмисне використовували ПЗ WhisperKill і згадали адресу криптогаманця, зазначену в повідомленнях про мінування в Росії.

До цього українські експерти з'ясували, як хакерам вдалося вчинити злом держсайтів 14 січня. Під час атаки використовували атаку на ланцюг поставок (supply chain attack), вона передбачає впровадження шкідливого коду за допомогою стороннього програмного забезпечення через інфраструктуру компанії-розробника.