Хакер #305. Многошаговые SQL-инъекции
Министерство юстиции США предъявило обвинения шести российским гражданам, которые, как считается, являются членами группировки Sandworm (она же Telebots, BlackEnergy, Voodoo Bear и так далее), одной из самых известных хакерских групп, спонсируемых государством.
Американские власти утверждают, что все обвиняемые служат в подразделении 74455 Главного разведывательного управления России (Unit 74455) и по приказу правительства России проводили кибератаки с целью дестабилизировать другие страны, вмешаться в их внутреннюю политику, причинить ущерб и денежные потери.
В частности, Минюст связывает группировку Sandworm со следующими известными инцидентами:
- атаки на правительство и критическую инфраструктуру Украины: с декабря 2015 по декабрь 2016 года проводились атаки на энергосистему Украины, Министерство финансов и Государственную казначейскую службу с использованием малвари BlackEnergy, Industroyer и KillDisk;
- выборы во Франции: в апреле-мае 2017 года, перед выборами во Франции, были зафиксированы целевые фишинговые атаки и связанные с ними попытки взлома, нацеленные на политическую партию «La République En Marche!» президента Франции Макрона, других французских политиков и местные власти страны;
- бизнес и критическая инфраструктура во всем мире (NotPetya): 27 июня 2017 года начались массовые атаки малвари NotPetya, поразившие компьютеры во всем мире, включая медицинские учреждения Heritage в Пенсильвании, дочернюю компанию FedEx Corporation, TNT Express BV, а также крупного производителя фармацевтической продукции в США, который в итоге понес убытки в размере миллиарда долларов;
- организаторы, участники, партнеры и посетители зимних Олимпийских игр в Пхенчхане: с декабря 2017 года по февраль 2018 года фишинговые кампании и вредоносные мобильные приложения атаковали граждан и официальных лиц из Южной Кореи, олимпийских спортсменов, партнеров и посетителей Олимпийских игр, а также официальных лиц из Международного олимпийского комитета;
- ИТ-системы Зимних Олимпийских игр в Пхенчхане (Olympic Destroyer): с декабря 2017 года по февраль 2018 года фиксировались атаки на системы, обслуживающие Зимние Олимпийские игры в Пхенчхане. Кульминацией стала разрушительная атака на церемонию открытия Олимпийских игр, 9 февраля 2018 года, с использованием малвари Olympic Destroyer;
- расследования отравления «Новичком»: в апреле 2018 года были замечены кампании направленного фишинга, целью которых были расследования Организации по запрещению химического оружия (ОЗХО) и оборонной научно-технической лаборатории Соединенного Королевства (DSTL), проводившиеся из-за отравления Сергея Скрипаля, его дочери и несколько граждан Великобритании нервно-паралитическим веществом;
- атака на государственные учреждения Грузии: в 2018 года была замечена кампания целевого фишинга, нацеленная на крупную медиакомпанию, в 2019 году была предпринята попытка компрометации сети парламента, а в 2019 году замечены масштабные дефейс-атаки на самые разные сайты.
Согласно судебным документам, шесть офицеров ГРУ, которым предъявлены обвинения, ответственны за следующие преступления:
Ответчик | Обвинения |
Юрий Сергеевич Андриенко | Разработка компонентов малвари NotPetya и Olympic Destroyer. |
Сергей Владимирович Детистов | Разработка компонентов малвари NotPetya, а также подготовка фишинговых кампаний, нацеленных на Зимние Олимпийские игры в Пхенчхане. |
Павел Валерьевич Фролов | Разработка компонентов малвари KillDisk и NotPetya. |
Анатолий Сергеевич Ковалев | Разработка фишинговых кампаний, нацеленных на: членов La République En Marche!; сотрудников DSTL; членов МОК и спортсменов-олимпийцев; сотрудников грузинского СМИ. |
Артем Валерьевич Очиченко | Участие в фишинговых кампаниях против партнеров Зимних Олимпийских игр в Пхенчхане в 2018 году; Техническая разведка в отношении официального домена Парламента Грузии и попытка получить несанкционированный доступ к его сети. |
Петр Николаевич Плискин | Разработка компонентов малвари NotPetya и Olympic Destroyer. |
На пресс-конференции официальные лица США заявили, что атаки группировки зачастую строились на беспорядочном использовании деструктивной малвари, что не только приводило к финансовым потерям среди тысяч компаний, но и подвергало риску человеческие жизни, демонстрируя пренебрежение любыми нормами и правилами.
«Данный случай демонстрирует, что ни одна страна мира не использовала свои киберпотенциалы так злонамеренно и безответственно, как Россия, бессмысленно наносившая беспрецедентный сопутствующий ущерб ради достижения небольших тактических преимуществ и удовлетворения своих приступов агрессии», — заявил помощник генерального прокурора по национальной безопасности Джон Демерс (John Demers), говоря об атаке на инфраструктуру Олимпийских игр, произошедшей после того, как российским атлетам запретили участвовать в Олимпиаде, а также о шифровальщике NotPetya, которого изначально был нацелен на Украину, но группировка потеряла контроль, причинив ущерб компаниям по всему миру.
«К примеру, вредоносная программа NotPetya помешала Heritage Valley предоставлять критически важные медицинские услуги гражданам Западного округа Пенсильвании и затронула две больницы, 60 офисов и 18 вспомогательных объектов, — говорится в заявлении Министерства юстиции США. — Из-за атаки были недоступны списки пациентов, истории болезни, файлы медицинских осмотров и лабораторные записи.
Heritage Valley примерно на неделю лишилась доступа к своим критически важным компьютерным системам (например, связанным с кардиологией, ядерной медициной, радиологией и хирургией), а к административным системам почти на месяц, что создало угрозу для здоровья и безопасности населения».
В настоящее время все шесть обвиняемых находятся на свободе в России. Если они будут задержаны и преданы американскому суду, каждому из них грозит наказание в виде нескольких десятков лет лишения свободы.