Мы уже знакомили вас с основами кибербезопасности и актуальной ситуацией в мире киберпреступности. Один из важных трендов последних лет – это завершение «времени одиночек». С усложнением систем защиты и консолидацией сил борцов с киберпреступностью все больший вес приобретают объединения хакеров. Мы решили познакомить вас с самыми известными из них и попробовать разобраться, какие из них самые эффективные, чтобы понять, что нас ожидает в будущем.

Одной из самых интересных тенденций последнего десятилетия стала специализация хакерских группировок по роду деятельности. Если раньше подавляющее большинство киберпреступников ставило перед собой «финансовые» цели: ограбления, кражи, торговлю личными данными, то в наши дни распространены как диверсии, совершаемые как по заказу политических сил, так и просто киберпреступления «ради шутки».

Фанаты видеоигр

Фанаты видеоигр наверняка слышали о группировке Lizard Squad. Она сформировалась в августе 2014 года. Первое упоминание в СМИ о Lizard Squad появилось после того, как они остановили работу серверов игр League of Legends и Call of Duty. Затем последовали более серьезные атаки – на игровые системы Sony Playstation Network и Microsoft Xbox Live.

Группировке не чужд эпатаж. Например, Lizard Squad заявили о своей связи с Исламским государством (запрещенной на территории РФ организацией, как мы помним). Например, после атаки на IT-ресурсы авиакомпании Malaysia Airlines хактивисты опубликовали на её сайте сообщение «Взломано Lizard Squad – официальным Киберхалифатом». А несколькими месяцами ранее они разместили флаги ISIS на серверах Sony. Впрочем, вполне вероятно, что деятельность группы не имеет политической подоплеки, и упоминание террористической организации нужно ей лишь для привлечения внимания масс-медиа.

Lizard Squad также известна любовью присваивать чужую славу. Они заявляли, что ответственны за приостановку работы соцсетей Tinder, Facebook и Instagram (подтвердить или опровергнуть это еще никто не смог). Пока в качестве предполагаемых членов Lizard Squad были арестованы двое: 16-летний британец Винни Омари и 17-летний подросток, известный как «Райан».

«Коварные шутники»

Еще более очевидные «кибертролли» – группировка LulzSec (аббревиатура Lulz Security) – организация, «ради смеха» совершавшая атаки на сервера компаний, считавшиеся наиболее надежно защищенными. Изначально она состояла из семи участников, работавших под девизом «Смеемся над вашей безопасностью с 2011 года». Дата была выбрана неслучайно: в 2011 году уже прославившиеся на тот момент Anonymous провели крупную атаку на компанию HBGary Federal. Позже этот инцидент возглавил рейтинг самых громких киберпреступлений по версии журнала Forbes. Название хакерской группы – «Lulz» – производная от LOL (Laughing Out Loud).

В числе первых атак LulzSec – кража паролей Fox.com, LinkedIn и 73 тысяч участников конкурса X Factor. В 2011-ом они скомпрометировали аккаунты пользователей ресурса Sony Pictures и вывели из строя официальный сайт ЦРУ. После успешных атак LulzSec традиционно оставляли на ресурсах колкие послания, в результате чего некоторые эксперты склонны считать их скорее интернет-шутниками, нежели серьезными кибертеррористами. Однако сами представители группировки заявляли о том, что способны на большее.

В июне 2011 года LulzSec распространила сообщение о самороспуске. Тем не менее, через месяц хакеры совершили новую атаку – на этот раз на газету компании News Corporation. Они взломали сайт The Sun и разместили на главной странице новость о кончине ее владельца Руперта Мердока. Основные участники LulzSec были арестованы в 2012 году. Информатором ФБР стал 28-летний лидер группы Гектор Ксавье Монсегюр, носивший сетевое имя Sabu. В своей речи прокурор Сандип Патель отметил, что хакеры не были движимы политическими идеями, как Anonymous, и назвал их «пиратами наших дней».


Как развивались самые серьезные эпидемии 2017 года. Мы собрали самую полную хронику


«Анонимные свободоборцы»

Кстати, об Anonymous – это, пожалуй, самая известная на сегодня хакерская группировка, информация о которой встречается в публикациях прессы во всем мире чаще всего. Это децентрализованное онлайн-сообщество, состоящее из десятков тысяч хактивистов, для которых компьютерные атаки – способ выражения протеста против социальных и политических явлений.

До 2008 года действия группировки носили характер шутки и троллинга, но ровно до тех пор, пока ее члены не нанесли скоординированную атаку по сайту Церкви сайентологии, известную как «Проект «Чанология». Она организовала атаку на Twitter членов американского Ку-клукс-клана, в ходе которой были раскрыты данные участников, а их аккаунты были изменены или заблокированы.

В 2010 году Anonymous организовали масштабную акцию «Возмездие» (Operation Payback), обрушив атаки на системы Visa, MasterCard и PayPal. Причина – их отказ проводить платежи сайта WikiLeaks, основанного Джулианом Ассанжем. В 2011 году хактивисты публично поддержали движение против социального и экономического неравенства «Захвати Уолл-стрит» (Occupy Wall Street), атаковав сайт Нью-йоркской фондовой биржи.

С 2009 года за причастность к деятельности Anonymous были арестованы десятки человек в США, Великобритании, Австралии, Нидерландах, Испании и Турции. Представители группировки осуждают подобные преследования и называют своих пойманных единомышленников мучениками. Девиз хактивистов: «Мы – Anonymous. Мы – легион. Мы не прощаем. Ждите нас».

«Таинственные грабители»

Название хакерской группы Lazarus знакомо каждому, кто следит за новостями в сфере IT. Именно этой группировке эксперты приписывают ответственность за разрушительную атаку на кинокомпанию Sony Pictures Entertainment в 2014 году. Lazarus подозревают в атаках на банки Сеула, СМИ и вооруженные силы Южной Кореи. Также в 2016 году хакеры едва не совершили «киберограбление века»: злоумышленники успешно похитили 81 млн долларов у Центробанка Бангладеш и только чудом не сумели украсть почти миллиард.

По информации специалистов, после атаки на Центральный банк Бангладеш злоумышленники затаились на несколько месяцев, но готовились к новому нападению. Они сумели проникнуть в корпоративную сеть одного из банков Юго-Восточной Азии, где были обнаружены защитным решением «Лаборатории Касперского».

Как мы уже писали, специалисты российской компании по кибербезопасности Group-IB считают, что Lazarus имеют отношение к Северной Корее и работают под патронажем руководства этой страны. Впрочем, другие специалисты не подтверждают эту информацию. «В большинстве случаев атакующие из Lazarus осторожны и тщательно уничтожают все следы проникновения в систему. Однако исследователи обнаружили один запрос с редкого IP-адреса в Северной Корее». Эксперты полагают, что атакующие действительно могли подключаться к серверу с этого адреса, но скорее это был «ложный флаг» или случайность.

«Союзники Асада»

А вот другие группировки не скрывают, а наоборот – подчеркивают свою политическую принадлежность. «Сирийская электронная армия» (SEA) – уникальная группировка. Впервые о «Сирийской электронной армии» мир услышал в 2011-м году. На своем сайте SEA описывает себя как «группу молодых сирийских энтузиастов, которые не могут оставаться равнодушными к повсеместному искажению фактов о восстании в Сирии». Как отмечают СМИ, группа главным образом состоит из студентов сирийских университетов.

Жертвами их атак стали крупные информационные агентства, такие, как New York Times, различные аккаунты в Twitter, и даже Onion. Также группа в 2013-м году провела успешные атаки на CNN, Washington Post и Time. А однажды группе удалось убедить общественность в том, что в Белом доме произошёл взрыв, и президент Обама ранен. Эта новость на короткое время нарушила работу фондового рынка, а индекс Dow Jones сильно понизился. Мотивами своих поступков «бойцы» SEA называют защиту интересов Сирии в онлайн-пространстве. Объектами атак становятся сайты, где приводится негативная информация о действующей власти Сирии.

В основном хакеры используют спам, вирусы, фишинг и DDoS-атаки. За первые два года существования группировка совершила лишь пару атак, но в 2013−2014 ее члены взламывали по 12 сайтов в год. В частности, в ноябре 2014 года года группа взломала множество сайтов, использующих специальные сети доставки контента. На сайтах появлялось всплывающее окно, надпись в котором гласила: «Вы были взломаны Сирийской электронной армией».

«Союзники аятоллы»

В 2009-м году компьютерная инфраструктура Ирана оказалась серьёзно дискредитирована после атаки вируса-«червя» под названием Stuxnet. Ему удалось вывести из строя центрифуги для обогащения урана и серьезно нарушить иранскую ядерную программу. Иран ответил на это, используя своих хакерские возможности как для простого выведения сайтов из строя, так и для полномасштабной кибервойны. Так появилась финансируемая государством хакерская группа Tarh Andishan (на фарси означает «Мыслители» или «Новаторы»).

Как пишет автор статьи «10 самых известных группировок, работающих на правительства» Лэнс Дэвид Леклер, известность группе Tarh Andishan принесла «Операция «Топор мясника», которая проводилась в 2012-м году против по крайней мере 50 различных организаций по всему миру, которые работали в военной, коммерческой, образовательной, экологической, энергетической и аэрокосмической сферах. Также группой были атакованы крупные авиакомпании, а в некоторых случаях им даже удалось получить полный доступ к инфраструктурам аэропорта и контрольным системам.

Tarh Andishan использует передовые технологии, такие, как «SQL-инъекции», новейшие эксплойты, бэкдоры и многое другое. Считается, что в этой группе около 20 участников, основная часть которых находится в Тегеране, а отдельные участники – в Канаде, Нидерландах и Великобритании. Жертвы группы находились в США, Центральной Америке, в различных частях Европы, в Южной Корее, Пакистане, Израиле и в ряде других регионов Ближнего Востока.


Бизнес обычно молчит о пропущенных кибератаках, но если приоткрыть завесу, становится не по себе от масштаба проблемы


«Чёрные энергетики»

 Хакерская группа Sandworm (известная также как Electrum, Energy Bear, Voodoo Bear, Telebots) получила широкую прессу в 2015-2016 годах после атаки на энергетические сети Украины. Например, 23 декабря 2015 года на значительной территории Ивано-Франковской области Украины отключилось электричество. Без света остались более 230 тысяч человек. Компания «Прикарпатьеоблэнерго» заявила, что «систему фактически хакнули».

В декабре 2016 года группу назвали причастной к атаке на энергосистему компании «Укрэнерго». По крайней мере, так утверждается в отчете специалистов по информационной безопасности Dragos. Как говорится в отчете, хакеры создали вредоносное ПО, получившее название Crash Override, главной задачей которого является атака на энергосистемы. Crash Override при небольшой доработке способна атаковать энергосистемы не только Украины, но и европейских стран, а также теоретически для нее уязвима инфраструктура в США. Предположительно, хакеры в декабре 2016 года не ставили целью нанести серьезный ущерб, а тестировали систему.

Итак, как мы видим, спектр инструментария, используемого киберпреступниками растет и самое неприятное заключается в том, что все больший вес приобретают группировки, подконтрольные правительственным, или окологосударственным структурам, получающие полную поддержку руководства стран. Использование этих резервов позволяет добиваться практически неограниченных возможностей. А это, в свою очередь, ставит под удар государства, не обладающие достаточными ресурсами, чтобы формировать защиту против таких операций. Кроме того, ущерб наносится частным лицам, не имеющим возможности противодействовать масштабным операциям группировок против финансовых организаций, где хранятся сбережения многих людей.


Как снизить вероятность стать жертвой хакеров – нашем материале, подготовленном на основе аналитического отчета компании Group-IB