Головний хакер Путіна та ГРУ РФ: хто стоїть за атаками на Україну та очолює Sandworm

Спецслужбам ЄС та США вдалося розсекретити ім'я керівника найвідомішого підрозділу хакерів, який перебуває на службі Кремля. За даними Wired, саме Sandworm уславилися саботажем за допомогою вірусу NotPetya, що знищував дані на комп'ютерах комерційних та урядових структур у всьому світі. За останні 8 років угруповання відзначилося безліччю операцій проти європейських держструктур. Фокус розповідає про те, хто керує найелітнішим підрозділом хакерів, які підпорядковуються Головному управлінню Генерального штабу ЗС РФ (це відомство більше відоме під назвою Головне розвідувальне управління — ГРУ РФ).

Хто такий Євген Серебряков

Ні для кого не є секретом, що хакерські підрозділи є невід'ємною частиною будь-якої спецслужби світу. Але саме Євген Серебряков, чиє ім'я стало відоме завдяки зусиллям західних правоохоронців і набуло розголосу за допомогою авторитетного розслідувача Христа Грозева з Bellingcat, очолює найнебезпечніше з них – Sandworm.

Новий керівник хакерського підрозділу ГРУ Росії потрапив у поле зору західних розвідок у 2018 році після того, як його спіймали на гарячому разом з іншими спільниками при невдалій атаці на Організацію із заборони хімічної зброї в Гаазі (ОЗХО).

Це тільки у фільмах хакер може зламати будь-який комп'ютер, перебувавши від нього на іншому кінці світу, але насправді для злому таких серйозних організацій, як ОЗХО, доводиться діяти "в полі" і зблизька. Група російських хакерів припаркувалася біля офісу організації для того, щоб отримати можливість зламати мережу Wi-Fi і проникнути на сервери ОЗХО. Ймовірно, група націлилася на файли співробітників організації, які розслідували використання Росією отруйної речовини "Новичок" у спробі вбити перебіжчика Сергія Скрипаля.

У результаті голландські правоохоронці не лише заарештували Серебрякова та його команду, члени якої входили до складу іншого підрозділу ГРУ РФ відомого як Fancy Bear (або APT28). Вони також вилучили рюкзак Серебрякова, повний технічного обладнання, його ноутбук та інші пристрої хакерів.

Слідчі вивчили конфісковане обладнання для злому Wi-Fi і виявили довгий список мереж, до яких воно підключалося раніше, по суті, склавши карту переміщень Серебрякова та його колег щодо попередніх хакерських операцій. Наприклад, слідчі виявили сліди злому мереж, якими користувалися офіційні особи під час літніх Олімпійських ігор 2016 року у Ріо-де-Жанейро. Тоді від Олімпіади усунули понад 100 російських спортсменів за вживання допінгу. Також були зламані мережі, які використовували учасники конференції у Лозанні (Швейцарія), присвяченій боротьбі з допінгом у легкій атлетиці.

Чому Серебряков та його команда опинилися в Росії

Попри те, що Серебрякова та його групу затримали, а їхні злочини були фактично доведені, команду кібершпигунів відпустили і вони повернулися до Росії. Адже їм могли пред'явити кримінальні звинувачення та екстрадувати до США, де їм і сьогодні загрожують звинувачення у численних кібератаках.

Розслідувачі вважають, що мали місце таємні домовленості спецслужб ЄС та РФ. Можливо, навіть відбувся якийсь неформальний обмін цінною інформацією чи кимось із важливих персон а-ля класична операція з обміну шпигунами на мосту у Глиниці, як за часів Холодної війни.

Стрімка кар'єра Євгена Серебрякова

За даними Христа Грозева, Серебряков очолив Sandworm навесні 2022 року після того, як працював заступником командира APT28 і зараз має звання полковника. Той факт, що Серебрякову вдалося обійняти цю посаду, говорить про те, що він має становити значну цінність для ГРУ.

"Мабуть, він дуже гарний, щоб його списати з рахунків", — зазначає Грозев.

Про самого Серебрякова мало що відомо. Є інформація, що він народився в 1981 році в Курську, але про його освіту чи кар'єру до початку роботи в ГРУ РФ немає жодних даних. Хакер ретельно стежить за своєю анонімністю та не допускає витоків. У мережі є лише кілька його фото не найкращої якості, які надані спецслужбами Євросоюзу.

Чим "прославилися" хакери ГРУ РФ із Sandworm

Цей елітний хакерський підрозділ ГРУ Росії відомий під різними назвами: FrozenBarentz, Voodoo Bear, IRIDIUM або Unit 74455, але вся світова хакерська "тусовка" знає їх, як Sandworm, що перекладається як "піщаний черв'як" — за аналогією з вигаданою істотою з науково-фантастичного роману Френка Герберта "Дюна" Ймовірно, група Серебрякова обрала це ім'я, щоб наголосити на своїй здатності ховатися в глибинах інтернету і завдавати руйнівних ударів по цілям.

Sandworm відповідальна за найгучніші кібердиверсії останніх років. Наприклад, хакери двічі (у 2015 та 2016 роках) за допомогою шкідливого програмного забезпечення BlackEnergy успішно атакували енергетичну систему України, залишивши без електрики більш ніж 225 тис. українців. Вони використовували фальшиві електронні листи зі шкідливими вкладеннями для доступу до комп'ютерів операторів енергосистеми. Потім вони відключили підстанції та заблокували можливість віддаленого управління, атакували телефонні лінії, щоб утруднити зв'язок між операторами та споживачами.

У грудні 2016 року хакери з Sandworm повторили атаку на електромережу у Києві. Вони використовували новий інструмент для віддаленого доступу під назвою Industroyer 2 або CrashOverride, який був спеціально розроблений для атаки на промислові системи управління. Вони відключили одну з підстанцій та позбавили світла близько 200 тис. киян.

Ці атаки були першими відомими випадками кібератак на мережу з використанням шкідливого ПЗ. Вони показали, що Sandworm має високий рівень навичок та ресурсів для проведення таких операцій та їх інструменти можуть бути доступні іншим хакерам.

У квітні та травні 2017 року хакери Sandworm організували низку кампаній з фішингу та пов'язаних з ними витоків інформації, націлених на політичну партію президента Франції Макрона. Вони розмістили 9 Гб електронних листів передвиборної кампанії Макрона за кілька годин до агітації. Ці атаки були схожі на ті, які Sandworm проводила під час президентської кампанії у США у 2016 році. Вони також показали, що РФ втручається у політичні процеси інших країн.

Але найбільшим "досягненням" Sandworm була розробка вірусу NotPetya у 2017 році. Спочатку він був спрямований на українські компанії, але швидко поширився і вплинув на компанії по всьому світу, завдавши шкоди більш ніж на $10 млрд. файли все одно знищувалися і не піддавалися розшифровці, поки антивірусні компанії не випустили "антидот".

Від атак NotPetya постраждало безліч найбільших світових концернів, таких як Maersk (перевізник), Merck (фармацевтична компанія), FedEx (служба доставки), Mondelez (виробник продуктів харчування), Saint-Gobain (будівельна компанія) та багато інших.

У лютому 2018 року, в день відкриття зимових Олімпійських ігор у Пхьончхані, хакери із Sandworm використовували вірус Olympic Destroyer, щоб атакувати комп'ютерні системи організаторів ігор у Південній Кореї. Атака призвела до збоїв у роботі Мережі, ТБ, Wi-Fi та електронних табло на стадіонах. Вона також вплинула на роботу пресцентру та транспортної системи. Це була помста Кремля за заборону участі російських спортсменів під своїм прапором через черговий допінговий скандал.

У жовтні 2019 року Sandworm провела масову кібератаку на 15 тис. сайтів, розміщених у Грузії, зокрема на сайти уряду, суддів, неурядових організацій та ЗМІ. Хакери замінили вміст сайтів на зображення Михайла Саакашвілі з підписом "Я повернусь".

Наприкінці вересня 2022 року угруповання запустило кампанію з поширення здирницького програмного забезпечення Ransom в Україні та Польщі. Хакери атакували кілька організацій, зокрема ЗМІ, банки та урядові установи. Метою атаки було порушити роботу цих організацій і вимагати викуп за розшифрування файлів.

А за день до вторгнення Росії в Україну Sandworm використала нове шкідливе програмне забезпечення Cyclops Blink для атаки на українські ЗМІ. Хакери намагалися здійснити диверсію, щоб отримати контроль над комунікаціями з метою дезінформації українців, але це їм не вдалося провернути.

Невдачею закінчилася спроба чергової атаки на українську енергосистему у квітні 2022 року. Хакери атакували підстанцію Кременчуцької ТЕЦ та викликали перебої у роботі енергосистеми, але завдяки швидкому реагуванню українських фахівців з кібербезпеки диверсія провалилася.

Що буде далі з хакерами із Sandworm

Усі члени цього угрупування ГРУ добре відомі правоохоронцям усього світу. Вони давно оголошені в міжнародний розшук і навряд чи зможуть колись залишити територію Росії без ризику бути заарештованими. Втім, це не заважає планувати нові операції.

Однак, на думку хактивіста Джона Халквіста, популярність робить Sandworm більш уразливою та неефективною, адже всі компанії з кібербезпеки та спецслужби всього світу уважно стежать за учасниками Sandworm, які планують кібероперації, сидячи у хмарочосі у московських Хімках.