"Незграбні аматори". Як російські розвідники здійснювали кібератаки по всьому світу і що про них відомо G

"Незграбні аматори". Як російські розвідники здійснювали кібератаки по всьому світу і що про них відомо Співробітників ГРУ тепер розшукує ФБР
Фото: EPA

4 жовтня міністерство юстиції США висунуло обвинувачення сімом працівникам Головного управління Генерального штабу РФ. Згідно з даними американських правоохоронців, серед об'єктів їхніх атак були Всесвітнє антидопінгове агентство, Організація із заборони хімічної зброї, Міжнародна асоціація легкоатлетичних федерацій, Спортивний арбітражний суд, Міжнародна федерація футболу, а також інші організації. Зловмисники дістали доступ до гігабайтів даних і десятків тисяч електронних листів. Частину з них вони опублікували. "ГОРДОН" розповідає, що відомо про діяльність сімох росіян, яких обвинувачують в організації численних хакерських атак по всьому світу.

4 жовтня міністерство оборони Нідерландів повідомило, що у квітні із країни вислали чотирьох співробітників Головного управління Генерального штабу РФ (більше відоме під назвою Головне розвідувальне управління (ГРУ), яку використовували до 2010 року). Їх підозрюють у спробі кібератаки на Організацію із заборони хімічної зброї (ОЗХЗ). Голова Служби військової розвідки і безпеки Нідерландів Онно Ейхелсейм зазначив, що висланих росіян звати Олексій Моренець, Євген Серебряков, Олег Сотников та Олексій Мінін. Того самого дня міністерство юстиції США висунуло обвинувачення їм, а також ще трьом співробітникам ГРУ – Іванові Єрмакову, Артему Малишеву і Дмитрові Бадіну.

У мін'юсті США повідомили, що об'єктами атак співробітників ГРУ були:

  • Всесвітнє антидопінгове агентство (ВАДА);
  • Антидопінгове агентство США (USADA);
  • Канадський центр спортивної етики;
  • Міжнародна асоціація легкоатлетичних федерацій;
  • Спортивний арбітражний суд;
  • Міжнародна федерація футболу (ФІФА);
  • американська компанія Westinghouse Electric Company, яка постачає Україні ядерне паливо;
  • Організація із заборони хімічної зброї.

Окрім цього, співробітники ГРУ, яких вислали з Нідерландів, планували здійснити кібератаку на лабораторію швейцарського міста Шпіц. Там вивчали нервово-паралітичний агент "Новачок", яким у Британії отруїли колишнього російського розвідника Сергія Скрипаля та його доньку Юлію.

Нідерландські правоохоронці також повідомили, що співробітники ГРУ їздили в столицю Малайзії Куала-Лумпур. Там вони намагалися вкрасти документи про розслідування катастрофи рейсу MH17 на Донбасі в липні 2014 року.

Що відомо про фігурантів справи

Скриншот: justice.gov Скріншот: justice.gov

Олексій Сергійович Моренець. У дипломатичному паспорті, виданому на ім'я Моренця, зазначено, що він народився 31 липня 1977 року у Мурманській області Росії. За даними американських правоохоронців, він є офіцером військової частини 26165 ГРУ РФ.

Редактор проекту "Муниципальный сканер" Михайло Маглов на сторінці у Twitter зазначив із посиланням на дані соцмереж, що Моренець у 1999 році закінчив Військово-космічну академію імені Можайського. Інформацію про те, що він навчався в цьому навчальному закладі, підтвердив портал "Проект". П'ятеро однокурсників Моренця розповіли журналістам, що він навчався на факультеті спеціальних інформаційних технологій.

Маглов також звернув увагу, що повний тезка Моренця із таким самим роком народження жив у закритому адміністративно-територіальному утворенні Острівний у Мурманській області.

Журналісти The Insider і дослідники Bellingcat знайшли Моренця в базі Державтоінспекції (ДАІ). Вони з'ясували, що на адресу військової частини 26165 зареєстровано автомобілі 305 осіб, серед яких є і Моренець.

Євген Михайлович Серебряков – виходець із Курська. Він народився 26 липня 1981 року, зазначено в дипломатичному паспорті. За даними мін'юсту США, Серебряков також є офіцером в/ч 26165. Номери паспортів Серебрякова і Моренця відрізняються лише однією цифрою (№0135555 і №0135556 відповідно), їх видало МЗС Росії одного дня – 17 квітня 2017 року, тобто за рік до спроби зламу ОЗХЗ.

Нідерландські правоохоронці зазначили, що під час поїздки до Гааги Моренець і Серебряков були "кібероператорами", а Сотников і Мінін відповідали за агентурну розвідку.

Серебряков є автором наукової статті "Відновлення поліноміально ускладненої лінійної рекуренти максимального періоду над кільцем Галуа за старшою координатною послідовністю". Вона опублікована в журналі "Прикладная дискретная математика" за червень 2014 року. Там було зазначено, що Серебряков є співробітником Центру спеціальних розробок міноборони РФ і наведено його пошту – [email protected].

Серед хобі Серебрякова – футбол, свідчать дані з його сторінки на сайті російської громадської організації "Аматорская футбольная лига". У 2011–2012 роках він виступав за команду "Радікс". Член команди Ян Єршов розповів The Moscow Times, що її називали "командою служб безпеки", оскільки "майже всі гравці працюють на спецслужби". Він підкреслив, що Серебряков грав добре.

Фото: justice.gov Серебряков на Олімпійських іграх у Ріо-де-Жанейро в серпні 2016 року. Фото: justice.gov

Олег Михайлович Сотников народився 24 серпня 1972 року в Ульяновську. За даними "МБХ Медиа", він навчався в Московському автомобільно-дорожньому державному університеті. "Медуза" пише, що Сотников жив у Пскові, в районі Військове містечко, а потім переїхав у Москву. Адреса його московської прописки збігається з адресою штаб-квартири ГРУ – Хорошевське шосе, 76Б.

Олексій Валерійович Мінін є вихідцем із Пермської області. Він народився 27 травня 1972 року. У 1997 році Мінін закінчив Пермське військово-технічне училище, а потім навчався на першому факультеті Військово-дипломатичної академії Генштабу ЗС РФ (зараз – Військова академія міноборони РФ), пише "МБХ Медиа". За інформацією The Insider, він указував своєю адресою вулицю Народного Ополчення, 50 у Москві. Саме там розташована ця академія.

Іван Сергійович Єрмаков народився 10 квітня 1986 року в Челябінській області. За даними американських правоохоронців, Єрмаков є офіцером в/ч 26165. В обвинувальному акті йдеться, що він здійснював кібератаки з Москви, зокрема на ВАДА, USADA і Westinghouse Electric Company, а також дистанційно допомагав Моренцю і Серебрякову під час їхніх поїздок за кордон. Єрмаков використовував псевдоніми Kate S. Milton, James McMorgans, Karen W. Millen.

Артем Андрійович Малишев народився 2 лютого 1988 року в закритому військовому містечку Бологоє-4 у Тверській області (зараз – закрите адміністративно-територіальне утворення Озерний). Малишев відомий під псевдонімами djangomagicdev і realblatr. Він є старшим лейтенантом, служить у в/ч 26165. Цей співробітник ГРУ, зокрема, здійснював кібератаки за допомогою шкідливої програми X-Agent (також відома як Chopstick).

Дмитро Сергійович Бадін народився 15 листопада 1990 року. Як і Серебряков, є вихідцем із Курська. У в/ч 26165 Бадін був помічником начальника відділу. Він курував проведення кібератак. У мін'юсті США вважають, що Бадін написав шкідливий файл vsc.exe, який використовували для вилучення хешованих паролів.

Єрмакова, Малишева і Бадіна мін'юст США обвинувачує також у втручанні у вибори президента США у 2016 році. У відомстві заявили в липні, що вони та інші співробітники ГРУ робили постійні спроби зламати комп'ютерні мережі комітету Демократичної партії США і сервіси президентської кампанії кандидата Гілларі Клінтон.

Як здійснювали кібератаки

В обвинувальному акті зазначено, що співробітники ГРУ проводили кібератаки як мінімум до 2014 року, найчастіше – дистанційно. Наприклад, хакери ГРУ купували доменні імена, схожі на доменні імена офіційних сайтів організацій. Потім співробітникам цих організацій розсилали фішингові листи з лінками на створені хакерами сайти, де просили авторизуватися. Так зловмисники отримували дані входу на сайт. Зокрема, цю тактику вони задіяли, коли намагалися зламати ВАДА, Спортивний арбітражний суд і Westinghouse Electric Company. За даними мін'юсту США, співробітники ГРУ зареєстрували доменні імена wada.arna.org, wada.awa.org, (домен сайту ВАДА відрізняється мало – wada-ama.org), tas-cass.org (у Спортивного арбітражного суду домен tas-cas.org) і westinqhousenuclear.com (домен компанії – westinghousenuclear.com), після чого розіслали фішингові листи співробітникам. Деякі з них ввели свої дані.

Зокрема, у вересні 2016 року хакери дістали доступ до акаунта члена ради директорів USADA на сайті цієї організації, а також до його електронної пошти. Там було приблизно 90 тис. повідомлень і щонайменше 10 гігабайтів даних, зокрема медична інформація про спортсменів.

Хакери ГРУ також поширювали шкідливі програми Gamefish, X-Agent, X-Tunnel, Remcomsvc та Responder.exe. Зокрема їм удалося встановити X-Agent на комп'ютери як мінімум чотирьох співробітників Міжнародної асоціації легкоатлетичних федерацій і співробітника ФІФА.

Якщо дистанційно дістати необхідні дані не виходило, співробітники ГРУ виїжджали туди, де були потрібні їм організації або люди. Під час атак співробітники ГРУ використовували складне хакерське обладнання. Часто вони діставали доступ до комп'ютерів організацій або їхніх співробітників, коли ті під'єднувалися до публічного Wi-Fi, наприклад у готелях.

У 2016 році хакери двічі їздили в Ріо-де-Жанейро – до і під час літніх Олімпійських ігор. 10–19 липня там перебував Моренець, а 1319 серпня – Моренець і Серебряков. Під час другої поїздки їм удалося дістати доступ до бази даних ВАДА. 29 серпня та 6 вересня 2016 року хакери експортували великі обсяги даних із комп'ютерної мережі організації.

Їм також удалося вкрасти дані USADA, Канадського центру спортивної етики, Спортивного арбітражного суду, Міжнародної асоціації легкоатлетичних федерацій, ФІФА і ще 35 організацій. Частину отриманих під час кібератак даних публікували на сайтах хакерського угруповання Fancy Bear – fancybear.net і fancybear.org (зараз вони недоступні). Це угруповання американські правоохоронці пов'язують із в/ч 26165. До того ж, на сайтах fancybear.net і fancybear.org було опубліковано дані приблизно 250 спортсменів із 30 країн.

Частково діяльність хакерів ГРУ була профінансована завдяки майнінгу біткоінів. Ними вони, зокрема, платили за домени і сервери.

Поїздка до Гааги

Россияне прилетели из Москвы в Амстердам 10 апреля 2018 года. Нидерландские власти утверждают, что в аэропорту их встречал представитель российского посольства (на фото справа). Фото: defensie.nl Росіяни прилетіли з Москви в Амстердам 10 квітня 2018 року. В аеропорту їх зустрів представник російського посольства (на фото праворуч). Фото: defensie.nl

Найбільше відомо про поїздку співробітників ГРУ у Гаагу, де розташована штаб-квартира ОЗХЗ. Голова Служби військової розвідки і безпеки Нідерландів розповів, що 10 квітня четверо росіян прилетіли в амстердамський аеропорт Схіпгол за дипломатичними паспортами. Там їх зустрів представник російського посольства. У Гаазі співробітники ГРУ оселилися в готелі, розташованому поблизу штаб-квартири ОЗХЗ, й орендували автомобіль Citroen C3. Пізніше вони переселилися в готель Marriott, також розташований неподалік від ОЗХЗ. 13 квітня співробітники ГРУ спробували вчинити кібератаку, але їм завадили нідерландські правоохоронці. Співробітники ГРУ кинули своє обладнання в машини і повернулися у Marriott. У багажнику був також пакет зі сміттям, який вони спеціально забрали з готелю, щоб викинути в іншому місці. Нідерландські правоохоронці зазначили, що у розвідників було кілька телефонів. Один із них Моренець спробував розбити, коли стало зрозуміло, що операція провалилася.

Менеджер Marriott розповів AFP, що нідерландські правоохоронці не застосовували до росіян сили, а лише запропонували йти за ними, коли ті вийшли з ліфта готелю. У Моренця знайшли квитанцію на таксі від Несвіжського провулку у Москві до аеропорту Шереметьєво. Цей провулок сусідить із Комсомольським проспектом, де розміщена в/ч 26165. У співробітників ГРУ виявили також $20 тис. і €20 тис.

Обладнання і гроші у росіян вилучили, а їх самих вислали з країни. The Economist пише, що нідерландські правоохоронці не стали затримувати зловмисників, оскільки вважали, що ціна такого кроку буде занадто високою, адже вони приїхали за дипломатичними паспортами.

Газета The Guardian зазначила, що співробітники ГРУ схожі на "незграбних аматорів". У The Telegraph підкреслили, що "невезуче" ГРУ має смішний вигляд.

Реакція інших країн

До обвинувачень на адресу Росії 4 жовтня приєдналися й інші країни. Національний центр кібербезпеки Великобританії заявив, що групи хакерів ГРУ під назвами Fancy Bear, Pawnstorm і Tsar Team "майже напевно" здійснили низку великих кібератак на США, Великобританію і саму Росію. Прем'єр-міністри Великобританії і Нідерландів Тереза Мей та Марк Рютте виступили зі спільною заявою, у якій обвинуватили ГРУ в "ігноруванні глобальних цінностей і правил безпечного співіснування". Дії Росії також розкритикувала влада Канади, Австралії і Нової Зеландії.

У МЗС РФ обвинувачення назвали "черговою зрежисованою пропагандистською акцією" щодо країни.

Як читати "ГОРДОН" на тимчасово окупованих територіях Читати