"Неуклюжие аматоры". Как российские разведчики совершали кибератаки по всему миру и что о них известно G

Сотрудников ГРУ теперь разыскивает ФБР
Фото: EPA

4 октября министерство юстиции США предъявило обвинения семерым сотрудникам Главного управления Генерального штаба РФ. Согласно данным американским правоохранителей, среди объектов их атак были Всемирное антидопинговое агентство, Организация по запрещению химического оружия, Международная ассоциация легкоатлетических федераций, Спортивный арбитражный суд, Международная федерация футбола, а также другие организации. Злоумышленники получили доступ к гигабайтам данных и десяткам тысяч электронных писем. Часть из них они опубликовали. "ГОРДОН" рассказывает, что известно о деятельности семерых россиян, которых обвиняют в организации многочисленных хакерских атак по всему миру.

4 октября министерство обороны Нидерландов сообщило, что в апреле из страны выслали четырех сотрудников Главного управления Генерального штаба РФ (больше известно под названием Главное разведывательное управление (ГРУ), которое использовалось до 2010 года). Их подозревают в попытке кибератаки на Организацию по запрещению химического оружия (ОЗХО). Глава Службы военной разведки и безопасности Нидерландов Онно Эйхелсейм отметил, что выдворенных россиян зовут Алексей Моренец, Евгений Серебряков, Олег Сотников и Алексей Минин. В тот же день министерство юстиции США предъявило обвинения им, а также еще троим сотрудникам ГРУ – Ивану Ермакову, Артему Малышеву и Дмитрию Бадину. 

В минюсте США сообщили, что объектами атак сотрудников ГРУ были: 

  • Всемирное антидопинговое агентство (ВАДА);
  • Антидопинговое агентство США (USADA); 
  • Канадский центр по спортивной этике;
  • Международная ассоциация легкоатлетических федераций;
  • Спортивный арбитражный суд;
  • Международная федерация футбола (ФИФА);
  • американская компания Westinghouse Electric Company, которая поставляет Украине ядерное топливо;
  • Организация по запрещению химического оружия.

Кроме этого, сотрудники ГРУ, которых выслали из Нидерландов, планировали совершить кибератаку на лабораторию швейцарского города Шпиц. Там изучали нервно-паралитический агент "Новичок", которым в Британии отравили бывшего российского разведчика Сергея Скрипаля и его дочь Юлию.

Нидерландские правоохранители сообщили также, что сотрудники ГРУ ездили в столицу Малайзии Куала-Лумпур. Там они пытались украсть документы о расследовании крушения рейса MH17 на Донбассе в июле 2014 года.

Что известно о фигурантах дела

Скриншот: justice.gov

Алексей Сергеевич Моренец. В дипломатическом паспорте, выданном на имя Моренца, указано, что он родился 31 июля 1977 года в Мурманской области России. По данным американских правоохранителей, он является офицером войсковой части 26165 ГРУ РФ. 

Редактор проекта "Муниципальный сканер" Михаил Маглов на странице в Twitter отметил со ссылкой на данные соцсетей, что Моренец в 1999 году окончил Военно-космическую академию имени Можайского. Информацию о том, что он учился в этом учебном заведении, подтвердил портал "Проект". Пятеро однокурсников Моренца рассказали журналистам, что он учился на факультете специальных информационных технологий.

Маглов также обратил внимание, что полный тезка Моренца с таким же годом рождения жил в закрытом административно-территориальном образовании Островной в Мурманской области. 

Журналисты The Insider и исследователи Bellingcat нашли Моренца в базе Госавтоинспекции (ГИБДД). Они выяснили, что на адрес войсковой части 26165 зарегистрированы автомобили 305 человек, среди которых есть и Моренец.

Евгений Михайлович Серебряков – выходец из Курска. Он родился 26 июля 1981 года, указано в дипломатическом паспорте. По данным минюста США, Серебряков также является офицером в/ч 26165. Номера паспортов Серебрякова и Моренца отличаются только одной цифрой (№0135555 и №0135556 соответственно) и были выданы МИД России в один день – 17 апреля 2017 года, то есть за год до попытки взлома ОЗХО. 

Нидерландские правоохранители указали, что во время поездки в Гаагу Моренец и Серебряков были "кибероператорами", а Сотников и Минин отвечали за агентурную разведку.

Серебряков является автором научной статьи "Восстановление полиномиально усложненной линейной рекурренты максимального периода над кольцом Галуа по старшей координатной последовательности". Она была опубликована в журнале "Прикладная дискретная математика" за июнь 2014 года. Там было указано, что Серебряков является сотрудником Центра специальных разработок минобороны РФ и приводилась его почта – ryback_casey@mail.ru.

Среди хобби Серебрякова – футбол, свидетельствуют данные с его страницы на сайте российской общественной организации "Любительская футбольная лига". В 2011–2012 годах он выступал за команду "Радикс". Действующий член команды Ян Ершов рассказал The Moscow Times, что ее называли "командой служб безопасности", так как "почти все игроки работают на спецслужбы". Он подчеркнул, что Серебряков играл хорошо.

Серебряков на Олимпийских играх в Рио-де-Жанейро в августе 2016 года. Фото: justice.gov

Олег Михайлович Сотников родился 24 августа 1972 года в Ульяновске. По данным "МБХ Медиа", он учился в Московском автомобильно-дорожном государственном университете. "Медуза" пишет, что Сотников жил в Пскове, в районе Военный городок, а потом переехал в Москву. Адрес его московской прописки совпадает с адресом штаб-квартиры ГРУ – Хорошевское шоссе, 76Б. 

Алексей Валерьевич Минин является выходцем из Пермской области. Он родился 27 мая 1972 года. В 1997 году Минин окончил Пермское военно-техническое училище, а затем учился на первом факультете Военно-дипломатической академии Генштаба ВС РФ (сейчас – Военная академия минобороны РФ), пишет "МБХ Медиа". По информации The Insider, он указывал в качестве своего адреса улицу Народного Ополчения, 50 в Москве. Именно там расположена эта академия.

Иван Сергеевич Ермаков родился 10 апреля 1986 года в Челябинской области. По данным американских правоохранителей, Ермаков является офицером в/ч 26165. В обвинительном акте говорится, что он осуществлял кибератаки из Москвы, в частности на ВАДА, USADA и Westinghouse Electric Company, а также дистанционно помогал Моренцу и Серебрякову во время их поездок за границу. Ермаков использовал псевдонимы Kate S. Milton, James McMorgans, Karen W. Millen.

Артем Андреевич Малышев родился 2 февраля 1988 года в закрытом военном городке Бологое-4 в Тверской области (сейчас – закрытое административно-территориальное образование Озерный). Малышев известен под псевдонимами djangomagicdev и realblatr. Он является старшим лейтенантом, служит в в/ч 26165. Этот сотрудник ГРУ, в частности, осуществлял кибератаки с помощью вредоносной программы X-Agent (также известна как Chopstick).

Дмитрий Сергеевич Бадин родился 15 ноября 1990 года. Как и Серебряков, является выходцем из Курска. В в/ч 26165 Бадин был помощником начальника отдела. Он курировал проведение кибератак. В минюсте США считают, что Бадин написал вредоносный файл vsc.exe, который использовался для извлечения хэшированных паролей.

Ермакова, Малышева и Бадина минюст США обвиняет также во вмешательстве в выборы президента США в 2016 году. В ведомстве заявили в июле, что они и другие сотрудники ГРУ предпринимали постоянные попытки взломать компьютерные сети комитета Демократической партии США и сервисы президентской кампании кандидата Хиллари Клинтон.

Как осуществлялись кибератаки

В обвинительном акте указано, что сотрудники ГРУ проводили кибератаки минимум с 2014 года, зачастую – удаленно. Например, хакеры ГРУ покупали доменные имена, похожие на доменные имена официальных сайтов организаций. Затем сотрудникам этих организаций рассылали фишинговые письма с линками на созданные хакерами сайты, где просили авторизоваться. Так злоумышленники получали данные входа на сайт. В частности, эту тактику они задействовали, когда пытались взломать ВАДА, Спортивный арбитражный суд и Westinghouse Electric Company. По данным минюста США, сотрудники ГРУ зарегистрировали доменные имена wada.arna.org, wada.awa.org, (домен сайта ВАДА отличается незначительно – wada-ama.org), tas-cass.org (у Спортивного арбитражного суда домен tas-cas.org) и westinqhousenuclear.com (домен компании – westinghousenuclear.com), после чего разослали фишинговые письма сотрудникам. Некоторые из них ввели свои данные.

В частности, в сентябре 2016 года хакеры получили доступ к аккаунту члена совета директоров USADA на сайте этой организации, а также к его электронной почте. Там было около 90 тыс. сообщений и примерно 10 гигабайт данных, включая медицинскую информацию о спортсменах.

Хакеры ГРУ также распространяли вредоносные программы Gamefish, X-Agent, X-Tunnel, Remcomsvc, and Responder.exe. В частности, им удалось установить X-Agent на компьютеры как минимум четырех сотрудников Международной ассоциации легкоатлетических федераций и сотрудника ФИФА.

Если удаленно получить необходимые данные не получалось, сотрудники ГРУ выезжали туда, где находились нужные им организации или люди. В ходе атак сотрудники ГРУ использовали сложное хакерское оборудование. Зачастую они получали доступ к компьютерам организаций или их сотрудников, когда те подключались к публичному Wi-Fi, например в отелях.

В 2016 году хакеры дважды ездили в Рио-де-Жанейро – до и во время летних Олимпийских игр. 10–19 июля там находился Моренец, а 13–19 августа – Моренец и Серебряков. Во время второй поездки им удалось получить доступ к базе данных ВАДА. 29 августа и 6 сентября 2016 года хакеры экспортировали большие объемы данных из компьютерной сети организации.

Им также удалось украсть данные USADA, Канадского центра по спортивной этике, Спортивного арбитражного суда, Международной ассоциации легкоатлетических федераций, ФИФА и еще 35 организаций. Часть полученных в ходе кибератак данных публиковали на сайтах хакерской группировки Fancy Bear – fancybear.net и fancybear.org (сейчас они недоступны). Эту группировку американские правоохранители связывают с в/ч 26165. Кроме прочего, на сайтах fancybear.net и fancybear.org были обнародованы данные примерно 250 спортсменов из 30 стран.

Частично деятельность хакеров ГРУ финансировалась за счет майнинга биткоинов. Ими они, в частности, платили за домены и сервера.

Поездка в Гаагу

Россияне прилетели из Москвы в Амстердам 10 апреля 2018 года. В аэропорту их встретил представитель российского посольства (на фото справа). Фото: defensie.nl

Больше всего известно о поездке сотрудников ГРУ в Гаагу, где расположена штаб-квартира ОЗХО. Глава Службы военной разведки и безопасности Нидерландов рассказал, что 10 апреля четверо россиян прилетели в амстердамский аэропорт Схипхол по дипломатическим паспортам. Там их встретил представитель российского посольства. В Гааге сотрудники ГРУ поселились в отеле, расположенном вблизи штаб-квартиры ОЗХО, и арендовали автомобиль Citroen C3. Позже они переселились в отель Marriott, также расположенный недалеко от ОЗХО. 13 апреля сотрудники ГРУ попытались совершить кибератаку, но им помешали нидерландские правоохранители. Сотрудники ГРУ бросили свое оборудование в машине и вернулись в Marriott. В багажнике был также пакет с мусором, который они специально забрали из отеля, чтобы выбросить в другом месте. Нидерландские правоохранители отметили,  что у разведчиков было несколько телефонов. Один из них Моренец попытался разбить, когда стало понятно, что операция провалилась.

Менеджер Marriott рассказал AFP, что нидерландские правоохранители не применяли к россиянам силу, а лишь предложили следовать за ними, когда те вышли из лифта отеля. У Моренца нашли квитанцию на такси от Несвижского переулка в Москве до аэропорта Шереметьево. Этот переулок соседствует с Комсомольским проспектом, где размещена в/ч 26165. У сотрудников ГРУ обнаружили также $20 тыс. и €20 тыс.

Оборудование и деньги у россиян изъяли, а их самих выслали из страны. The Economist пишет, что нидерландские правоохранители не стали задерживать злоумышленников, так как посчитали, что цена такого шага будет слишком высокой, ведь они приехали по дипломатическим паспортам.

Газета The Guardian отметила, что сотрудники ГРУ похожи на "неуклюжих любителей". В The Telegraph подчеркнули, что "невезучее" ГРУ выглядит смешно.

Реакция других стран

К обвинениям в адрес России 4 октября присоединились и другие страны. Национальный центр кибербезопасности Великобритании заявил, что  группы хакеров ГРУ под названиями Fancy Bear, Pawnstorm и Tsar Team "почти наверняка" совершили ряд крупных кибератак на США, Великобританию и саму Россию. Премьер-министры Великобритании и Нидерландов Тереза Мэй и Марк Рютте выступили с совместным заявлением, в котором обвинили ГРУ в "игнорировании глобальных ценностей и правил безопасного сосуществования". Действия России раскритиковали также власти Канады, Австралии и Новой Зеландии

В МИД РФ обвинения назвали "очередной срежиссированной пропагандистской акцией" в отношении страны.