Výskumníci identifikovali tri hackerské skupiny, ktoré vykonávajú útoky v mene Rusov
Mandiant, kyberbezpečnostná spoločnosť, nedávno potvrdila väzby troch hackerských skupín na ruské spravodajské riaditeľstvo.
Mandiant je dcérskou spoločnosťou Googlu, ktorá sa zaoberá kybernetickou bezpečnosťou. Podľa najnovšej správy momentálne sleduje niekoľko „hacktivistických“ skupín, ktoré na internete propagujú a konajú v záujme Ruska.
Presnejšie sa zameriava na hackerov, ktorí vykonali kyberútoky na Ukrajinu od začiatku ruskej invázie. Týmito skupinami sú XakNet Team, Infoccentr a CyberArmyofRussia_Reborn. Na základe únikov z Ukrajinských organizácií, ale aj vlastnou analýzou sa Mandiantu podarilo spojiť moderátorov týchto troch skupín s Ruskou vládou a ich Hlavným spravodajským riaditeľstvom GRU. Počas vyšetrovania kyberbezpečnostná spoločnosť odhalila aj prepojenie skupiny XakNet Team na ďalšiu proruskú hackerskú skupinu, Killnet.
Hoci dôkazy nie sú jasné, všetko naznačuje tomu, že XakNet a Killnet priamo koordinovali aspoň časť ich útokov. Vo väčšine prípadov však majú „pod palcom“ svoje vlastné misie, ktoré síce zdieľajú spoločné ciele, no skupiny nijakým spôsobom nespolupracujú.
Čo sa však spolupráce s ruským Hlavným spravodajským riaditeľstvom týka, Mandiant s polovičnou istotou tvrdí, že všetky tri skupiny spolupracujú so skupinou APT28, ktorá je týmto riaditeľstvom sponzorovaná. Kyberbezpečnostná organizácia priamo pozorovala použitie takzvaných wiper útokov skupinou APT28. Ide o útoky, ktoré majú vymazať všetko, čo sa na harddisku obete nachádza. Cieľom týchto útokov boli siete viacerých ukrajinských organizácií. Následne došlo aj k únikom citlivých dát na sociálnej sieti Telegram, na ktorej trojica hackerských skupín operuje.
Spojenie s GRU?
Aj hackerská skupina XakNet prispela k únikom dát, v ktorých si experti z Mandiantu všimli jedinečný technický artefakt, ktorý sa spája s činnosťou skupiny APT28. Trojica hackerských skupín už v minulosti priznali útoky DDoS alebo úniky informácií.
Neprehliadnite
XakNet, Infocentr a CyberAryofRussia_Reborn prinajmenšom koordinujú svoju činnosť podľa GRU, no zatiaľ bezpečnostní experti nedokážu povedať, do akej miery sú s ruským spravodajským riaditeľstvom prepojené. Nevylučuje sa ani to, že príslušníci GRU priamo kontrolujú tieto skupiny, ktoré môžu byť len frontom pre operácie Hlavného spravodajského riaditeľstva. Už v minulosti sa dokázalo, že GRU môže vytvárať falošné internetové persóny alebo skupiny, ktoré sa tvária ako proruské. Príkladom je napríklad Guccifer 2.0.
XakNet Team na základe jedinečného artefaktu spájajúceho sa z APT28, môže byť v skutočnosti jeden alebo viac predstaviteľov spravodajského riaditeľstva GRU vystupujúcich pod falošnou identitou. Ak to nie je ten prípad, potom musia priamo s týmto riaditeľstvom komunikovať.
Čo sa týka skupiny CyberArmyofRussia_Reborn, tá sa podľa Mandiantu aspoň koordinuje s tým, čo robí skupina APT28. Vzťah tejto skupiny s XakNet zatiaľ nie je expertom známy.
Infoccentr je ďalšou skupinou, ktorá sa prinajmenšom riadi podľa toho, čo robí skupina APT28. Zameriava sa však predovšetkým na boj proti proukrajinským a protiruským informáciám.
Mandiant aj naďalej pokračuje v analýze vzťahov nielen medzi skupinami, ale aj prípadnými väzbami na ruskú spravodajskú agentúru GRU.
Komentáre