Хакеры на спецслужбе

В условиях современной геополитики и цифровизации любая утечка данных может обернуться не просто финансовыми потерями, но и стратегическим проигрышем. Кибершпионаж давно уже не удел исключительно спецслужб: все чаще в инфополе появляются имена хактивистских группировок, действующих не менее агрессивно.

Выйти из полноэкранного режима

Развернуть на весь экран

По словам директора департамента расследований T.Hunter Игоря Бедерова, хактивисты действуют из идеологических, политических или социальных мотивов, часто без прямой связи с государством. Их атаки направлены на публичное воздействие, уточняет он, например взлом сайтов для размещения пропаганды или DDoS-атаки на инфраструктуру противника. Государственные же кибергруппы (APT-группы) работают в интересах стран, фокусируясь на долгосрочном шпионаже, саботаже или влиянии на геополитику, продолжает господин Бедеров. Кроме того, их методы значительно сложнее, подчеркивает собеседник: целевой фишинг, эксплуатация уязвимостей «нулевого дня», внедрение бэкдоров.

«При этом границы между двумя государственными кибергруппами и хактивистами размываются, когда последние начинают использовать инструменты, разработанные государственными структурами, как это было с “IT-армией Украины” или “Украинским киберальянсом”,— уточняет господин Бедеров.— Кроме этого, стоит помнить, что государственные группы могут маскироваться под хактивистов, используя публичное вредоносное ПО, чтобы скрыть происхождение атак».

По словам руководителя направления аналитики и спецпроектов ГК InfoWatch Андрея Арсентьева, ландшафт угроз можно разделить на четыре типа: помимо APT-группировок и хактивистов, также можно выделить вымогателей и похитителей и продавцов данных. Первые нацелены на кражу данных и/или их блокировку с помощью шифровальщиков, а после требуют выкуп за возврат данных, их расшифровку и гарантии их нераспространения, поясняет он. Вторые, продолжает господин Арсентьев, специализируются на взломах ресурсов различных компаний с целью извлечения данных, как правило — персональных, и их продаже в закрытых Telegram-каналах и дарквебе.

Хактивисты редко обладают серьезной технической базой или длительным финансированием, тогда как у государственных группировок имеются постоянное финансирование, возможности для глубокой аналитики и дальнейшего использования полученных данных, специфические технические возможности, разъясняет руководитель отдела исследования угроз экспертного центра безопасности Positive Technologies Аскер Джамирзе.

«Прогосударственные группы стремятся реализовывать атаки максимально тихо и могут находиться в скомпрометированной инфраструктуре годами. Хактивисты же стараются привлечь внимание к своим атакам, публикуя выгруженные данные на различных теневых ресурсах»,— отмечает руководитель BI.ZONE Threat Intelligence Олег Скулкин. В то время как обычные хакеры являются преступниками, что в какой-то момент может прервать их карьеру, участники государственных групп в большинстве случаев находятся под протекцией своих государств и могут безнаказанно работать десятилетиями, добавляет господин Джамирзе.

В ряде случаев хактивисты стараются дистанцироваться от любых связей с государствами, отмечает технический руководитель F6 Threat Intelligence Елена Шамшина. Но в 2024 году эксперты F6 зафиксировали как минимум 17 групп, атаковавших российские и белорусские организации. Среди них — IT Army of Ukraine и Cyber Anarchy Squad, специализирующиеся на DDoS и краже данных соответственно.

Кибершпионаж в целом больше характерен для APT-группировок. За 2024 год специалисты F6 выявили 27 групп, атаковавших Россию и СНГ. Что касается целей кибершпионажа, то Игорь Бедеров выделяет три основных направления: технологический шпионаж, включающий кражу патентов, данных R&D, исходного кода; геополитика; критическая инфраструктура. «Все сводится к одному — возможности получить еще больше власти и денег»,— добавляет он. Его мнение подтверждает господин Джамирзе, добавляя к списку интересующих объектов внутренние документы, переписки, оборонные данные, информацию о технологиях, ноу-хау, личные данные государственных лиц.

В качестве основных мишеней как для хактивистов, так и для прогосударственных группировок эксперты называли российские оборонные, нефтегазовые, энергетические компании, а также банки и IT-компании. Отдельно господин Арсентьев отмечает, что стабильный интерес хакеров представляют телекоммуникационные операторы и другие компании, обладающие большими клиентскими базами, то есть те, которые обрабатывают миллионы записей персональных данных.

По словам господина Скулкина, «если компания обладает ценной информацией, высока вероятность, что она уже под прицелом». Признаками того, что компания может находиться в поле зрения хактивистов или APT-группировки, в частности, являются фишинговые атаки на привилегированных пользователей, атаки на ключевых партнеров, взломы корпоративных аккаунтов, попытки вступить в сговор с сотрудниками, перечисляет господин Арсентьев.

Специалисты по киберразведке выделяют группировки на основе технических особенностей реализации кибератак, что позволяет отличить одних злоумышленников от других и дает дополнительный контекст к срабатыванию средств защиты информации, говорит господин Скулкин. А это, в свою очередь, ускоряет реагирование на инциденты, подчеркивает он. Именно поведенческие шаблоны, выбор инструментов, последовательность действий и предпочтения при проникновении в сеть позволяют аналитикам сопоставить атаку с известной кибергруппой или даже страной происхождения, добавляет госпожа Шамшина.

По словам господина Бедерова, зачастую киберпреступность не имеет национальности и включает в одни и те же группы хакеров разных стран. «Во время атрибуции важно понимать, что злоумышленники могут специально оставлять следы, которые уводят аналитиков по ложному следу, поэтому аналитику нужно проводить комплексно и использовать вероятностный подход»,— отмечает господин Джамирзе. По словам Игоря Бедерова, вопрос отслеживания хактивистов и APT-группировок крайне сложен — ИБ-компании применяют ML-алгоритмы для сопоставления паттернов в коде и связывания их с известными группами, однако даже это не гарантирует точной атрибуции.

Мария Орбелиани