Как хакеры из ГРУ атаковали Олимпиаду, Украину и Макрона

Их обвиняются в создании вируса-шифровальщика NotPetya и атаках на инфраструктуру Олимпиады в Южной Кореи. В том числе обвиняемые рассылали фишинговые письма от имени журналистов и создавали фальшивые мобильные приложения для жителей Кореи.

США обвинили военнослужащих ГРУ в хакерских атаках

Власти США предъявили обвинение шести гражданам России в организации кибер-атак. Иск против них подан в суд Западного округа штата Пенсильвания. Утверждается, что обвиняемые являются военнослужащими Главного разведывательного управления (ГРУ) Генштаба и служат в воинской части №74455 в подмосковных Химках.

Обвиняемыми являются: Юрий Сергеевич Андриенко, Сергей Владимирович Детистов, Павел Валерьевич Фролов, Анатолий Сергеевич Ковалев, Артем Валерьевич Очиченко и Петр Николаевич Плискин. По мнению обвинения, лидером ИТ-команды разработчиков был Плискин, а Ковалев был главным по распространению фишинговых электронных писем. Обвинительное заключение направлено в суд Западного округа штата Пенсильвания и опубликовано на сайте Минюста США.

Обвинение касается шести эпизодов: атака против энергетической и финансовой инфраструктуры Украины в 2015-16 гг; создание вируса-шифровальщика NotPetya, который в 2017 г атаковал Украину и затем распространился на весь мир; атака против инфраструктуры Зимних Олимпийских Игр, которые в 2018 г проходили в Южной Кореи; атака против ОЗХО (Организацию по запрещению химического оружия) из-за попытки расследования отравления с помощью нервнопаралитического вещества «Новичок»; атака перед выборами президента Франции в 2017 г; и атака против грузинских организаций в 2019 г.

Основным способом взлома компьютеров жертв было использование фишинговых писем, которые обвиняемые рассылали своим потенциальным жертв. Получатели писем должны были думать, что письма отправлены их коллегами, партнерами, правительственными организациями, журналистами или публичными сервисами.

В письмах содержались вложения в форматах Microsoft Word или Excel с вредоносными скриптами. Либо письма содержали гипер-ссылки на фальшивые сайты, которые были похожи на известные публичные ресурсы (сервера электронной почты, файлообменники, облачные хранилища и т.д.) или сайты госорганизаций. На таких сайтах содержалось вредоносное ПО либо формы для ввода логина и пароля. Домены для таких сайтов создавались злоумышленниками.

Задачей злоумышленников было похищение паролей своих жертв и распространение внутри сетей интересующих их организаций. В ряде случаев злоумышленники выводили из строя компьютеры своих жертв, шифруя или удаляя их содержимое. Помимо NotPetya, обвиняемые  создали еще две вредоносные программы, впоследствии получивших название Industroyer и Olympic Destroyer.  Кроме того, они использовали вредоносные программы BlackEnergy и KillDisk.

«Россия действует в кибер-пространстве злонамеренно и безответственно»

Расследование проводилось Федеральным бюро расследований США при участии американсикх Ит- и интернет-компаний: Google (включая Threat Analyisis Group), Cisco (включая Tallos Intelligence Group), Twitter и Facebook. «Ни одна страна не использует свое кибер-оружием так злономеренно и безответственно, как Россия, принося беспрецедентный ущерб для получения небольшого тактического преимущества и удовлетворения кусочков злобы, - говорит помощник Генпрокурора США по национальной безопасности Джон Демерс. – Ни одна страна не восстановит величия, действуя подобным образом».

«ФБР повторяет свои предостережения относительно того, насколько подготовленным противником в кибер-пространстве является Россия, - добавил замдиректора ведомства Давид Довдич. – Распространенная нами информация показывает, насколько в действительности российская кибер-активность является всепроникающей и деструктивной. Но данное обвинение также показывает и возможности ФБР. Мы имеем инструменты для расследования данных злонамеренных атак с помощью вредоносного ПО, установления их виновников и затем накладывая на них риск и последствия».

В 2018 г власти США уже предъявляли два раза обвинения сотрудникам ГРУ. Первый раз обвинение касалось взлома компьютеров Демократической партии США перед выборами президента в 2016 г. Второй раз – во взломе международных спортивных организаций и ОРХО. Во втором случае обвиняемые также служили (по утверждению американских властей) в войсковой части №74455, причем один из них – Анатолий Ковалев – фигурирует и в нынешнем списке обвиняемых.

Как хакеры взломали украинские налоговые декларации и создали NotPetya

Наиболее серьезное обвинение предъявлено в связи с атакой вирусой-шифровальщика NotPetya, которая произошла летом 2017 г. Вирус изначально был направлен против Украины - атака началась 27 июня в День независимости этой страны – но затем распространился по всему миру и достиг США.

Распространение NotPetya стало возможным благодаря программы M.E.Doc, с помощью которой ну Украине сдают налоговую отчетность. Программа периодически обновляется, а при установки соединения проверяется ЕДРПОУ – уникальный номер украинских налогоплательщиков – юридических лиц. Злоумышленники получили доступ к исходным кодам M.E.Doc и в апреле 2017 г смогли установить на компьютеры пользователей программы вредоносное обновление.

Благодаря этому злоумышленникам стали известны ЕДРПОУ пользователей M.E.Doc. Затем, 21 июня, было добавлено новое вредоносное обновление, после чего пользователям M.E.Doc с подконтрольного злоумышленникам сервера во Франции был установлен вирус NotPetya.

Попадаю на компьютер жертвы, NotPetya распространялся на соседние компьютеры с помощью других вредоносных программ - Externalblue и ExternalRomance. NotPetya пытался быть похож на другой вирус-шифровальщик – Petya: он шифровал содержимое компьютера-жертвы и требовал выкуп ($300 в биткойнах). Однако, в отличие от Petya, NotPetya не разблокировал компьютеры своих жертв даже после выкупа. Заразив компьютер, NotPetya осуществлял его перезагрузку и стирал следы своего присутствия.

Главным ответственным за разработку NotPetya американские власти считают Сергея Детисова. Ущерб от распространения данного вируса превысил $1 млрд. В том числе неназванная американская фармацевтическая компания понесла ущерб в размере $500 млн, а американских экспресс-перевозчик TNT Express потерял $400 млн.

Также в американском штате Пенсильвания оказались атакованы две медицинские организации – Herritage Valley Health Systems и Beaver. Ущерб для Heritage Valley Health Systems составил $2 млн. У данной организации оказались заблокированы рабочие станции и зашифрованы их жесткие диски, в результате чего были недоступны файлы с данными пациентов, историями болезней, лабораторных тестов и медицинских осмотров. Критическая инфраструктура организации (кардиология, радиационная медицина, радиология, хирургия) не работала в течение недели, остальные административные компьютеры – в течение недели.

Хакеры против Зимних Олимпийских Игр в Южной Кореи

Другая крупная атака была направлена против инфраструктуры Зимних Олимпийских Игр, которые в 2018 г проходили в южно-корейском Пченхан. Российские атлеты были ограничены в своих возможностях выступать на данных игр: это мог делать только ограниченный круг спортсменов под нейтральным олимпийским флагом. Такое наказание Международный Олимпийский комитет (МОК) наложил на Россию после расследования Всемирной антидопинговой организации (WADA), обвинившей Россию в использовании системы допинга на государственном уровне.

По мнению американских властей, этим обстоятельством и было вызвано желание россиян помешать проведению Олимпиады. В конце 2017 г Анатолий Ковалев (по версии обвинения) стал рассылать членам МОК фишинговые письма, подписанные главой МОК и вице-президентом организации. Одним из использовавшихся адресов для отправки был [email protected], получатели, в том числе, находились в созданном МОК домене pyeongchang2018.com.

В письме был якобы список делегатов МОК, которые будут присутствовать на Олимпийских играх, и их контакты. В приложении находился зашифрованный в формате Zip вредоносный файл в формате Word. Такое же письмо было отправлено в гостиницу в Сеуле, где должны были происходить связанные с Олимпиадой мероприятия, и сотрудникам компаний-партнеров Олимпиады. 

Отмечается, что злоумышленники изучили список компаний-партнеров Олимпиады и разослали на 220 адреса, принадлежащим МОК и сотрудником компаний-партнеров, письмо с названием «Дальнейшие предложения по сотрудничеству». Партнерам Олимпиады было направлено еще одно письмо - написанное на корейском языке и отправленное с адреса [email protected]. Письмо выглядело как послание от министра публичной безопасности Республики Корея и называлось «Экстренное сообщение – Землетрясение». В письме был zip-файл с зараженным файлом в формате Word, который загружал вредоносное ПО с подконтрольного злоумышленникам сервера templates-library.ml.

Целью злоумышленником был поиск уязвимостей в ИТ-системах корейского аэропорта, Олимпийского комитета Кореи и Корейской энергетической компании. Также злоумышленники зарегистрировали домен jeojang.ga, после чего стали рассылать письма с поддомена marfa.go.kr.jeojang.ga. Получатели должны были думать, что отправителем писем является MARFA – Министерство Южной Кореи по делам продовольствия, сельского хозяйства и сельской жизни.

В некоторых фишинговые письмам в качестве адрес отправителя был указан адрес [email protected], который принадлежит Южно-корейскому национальному антитеррористическому центру. В данных письмах, как и в письмах от MARFA, содержалась картинка, которая с помощью публично-доступного компонента – Invoke_PSImage – устанавливала зашифрованное соединения с сервером злоумышленников.

Некоторые письма, по утверждению стороны обвинения, Ковалев отправлял с адресов [email protected], [email protected] и [email protected]. В письмах содержалась информация якобы об условиях заселения в отелях, на деле же там содержались вредоносные вложения. Кроме того, Ковалев (по утверждению обвинения) отправил порядка 20 писем в Корейский национальный антитеррористический комитет с адреса [email protected], причем выглядели они как письма, отправленные с адреса [email protected], принадлежащего корейской телекоммуникационной компании.

Другой обвиняемый – Артем Очиченко – по версии властей США – направил в компанию, поставлявшую устройства для Олимпиады устройства хронометража, письма с оформленном на французском языке резюме человека, претендовавшего на пост разработчика в ней. Но текст резюме было плохочитаемым, при этом на экране появлялось окно с предложением установить дополнительный plug-in для чтения документа. Plug-in являлся вредоносным компонентом PowerShell, который отправлял жертву на подконтрольный злоумышленникам сайт msrole.com/office_conf ( выглядел как сайт Microsoft).

Аналогичным образом Очиченко направил письмо, подписанное гендиректором упомянутой компании, сотрудникам этой компании с вложенной таблицей в формате Excell, в которой якобы содержалась информация о выплате бонусов.

Фальшивые мобильные приложения для Южной Кореи

В конце 2017 г и начале 2018 г злоумышленники применили новый прием – создание фальшивых мобильных приложений. В магазины приложений были загружены разработанные ими программы Seol bus Tracker, HanMail и Hmail-App Naver Mail.hanmail.Daum. Два последних выглядели как приложения популярного в Южной Кореи сервиса электронной почты Hanmail. Но достаточно быстро указанные приложения были заблокированы.

Взлом ИТ-подрядчика Олимпиады-2018

В конце 2017г г злоумышленники смогли проникнуть в сети двух неназванных ИТ-подрядчиков Олимпиады. Проникновение было осуществлено через компьютер сотрудников одной из этой организации. Получив доступ к этому компьютеру, злоумышленники переслали туда файл с логинами и паролями других сотрудников компании, включая администратора базы данных, для ускорения проникновения в сеть организации.

Затем с помощью скрипта PowerShell, который трудно обнаружить антивирусом, злоумышленник стали собирать данные пользователях, IP-адресах и серверах, связанных с соединениями по протоколу удаленного управления Remote Desktop Protocol (RDP). Также злоумышленники перехватили авторизационные данные администратора одного из сетевых доменов данной организации.

Распространяясь по сети организации, вредоносное ПО собирало данные о паролях и логинах ее сотрудников, серверах и структуре сети. Также с помощью взломанных компьютеров злоумышленники осуществляли заходы на официальные ресурсы Олимпиады. В распоряжении злоумышленников находилось 400 учетных записей и 16 тыс компьютеров данного ИТ-подрядчика.

Были похищены конфиденциальные файлы об Олимпиаде и ее ИТ-инфраструктуре, включая “PyeongChang2018-RnR-ServerManagement.docx”, «PyeongChang LAN Network Diagram.vsd», “PyeongChang2018 Disaster Recovery Master Plan.docx”, “PyeongChang 2018 – Network architecture.docx”, “OCOG Domain Account Creation Form.xlsx” и «Tokyo 2020 environments overview.xlsx». Также были похищены файлы «Pyeongchang.rdg», «Venues.rdg» и «Winter Olympics.rdg».

9 февраля 2018 г началась атака. На компьютеры взломанного ИТ-подрядчика была отправлено вредоносное ПО, позднее названное Olympic Destroyer. ПО занималось уничтожением данных и, после перезагрузки, блокировало доступ к компьютеру с помощью утилиты BitLocker.  У данного ИТ-подрядчика пострадали тысячи компьютеров.

А через сеть другого ИТ-подрядчика было осуществлено проникновение в сеть Оргокомитета Олимпиады, где от Olympic Destroyer пострадало еще 30 компьютеров. Осуществив атаку, злоумышленники со своего рабочего места в Москве стали отслеживать новости по данной теме. При этом злоумышленники пытались скрыть свои следы и представляли атаку как дело рук северокорейской группировки хакеров lazanrus.

Атака против энергетической и финансовой системы Украины

Еще до упомянутой атаки с помощью NotPetya, злоумышленники дважды атаковали инфраструктур Украины, говорится в обвинительном заключении. Первый раз, в 2015 г, их целью стали энергетические компании страны. Системным администраторам и ИТ-специалистам данных компаний стали рассылаться фишинговые письма, с помощью которых на компьютеры жертв устанавливалось вредоносное ПО BlackEnergy для кражи паролей.

Таким образом, злоумышленники получили доступ к объекту SCADA (Главный контроль и получение данных) украинских энергокомпаний. Также ими использовалось вредоносное ПО KillDisk, которое стирает журналы действий на компьютерах и после перезагрузки делает их неработоспособными.

Атака против украинской энергосистемы состоялась в декабре 2015 г, в результате чего 225 тыс потребителей испытывали проблемы с энергопитанием. В декабре 2016 г была произведена новая атака – против неназванной энергетической компании. Имея доступ к ее сети с весны того же года, злоумышленники загрузили туда вредоносное ПО, которое впоследствии получило название Industroyer. Данное ПО атакует пункты управления энергетических систем.

Industroyer содержит plug-in для очистки диска, который удаляет файлы с определенными расширениями (например, .exe , .zip и файлы с расширением, созвучным бренду атакованной компании). В результате компьютерная сеть данной компании перестала работать, а в Киеве на один час пропало электричество.

Тогда же началась атака на Министерство финансов и Казначейство Украины. Атака по времени совпала с финальной за год выплатой пенсии и подготовкой бюджета на будущий год. В результате региональные филиалы Казначейства оказались отключены от автоматической системы платежей ведомства, в результате чего оказалось невозможно проведение 150 тыс транзакций. Также временно была повреждена инфраструктура Министерства ИТ и телекоммуникаций.

Атака была осуществлена с помощью фишинговой рассылки. Системный администратор Казначейства получил письмо с вложением файла «Microsoft Excell MoF critical it need_eng.xls», в котором был вредоносный макрос. Данный марок запустил файл «explorer.exe», обеспечивающий зашифрованное соединение компьютера жертвы с компьютером третьей стороны. А уже через Казначейство злоумышленники получили доступ к ИТ-системе Министерства финансов.

В декабре 2016 г злоумышленники развернули на зараженных компьютерах обновленную версию ПО KillDisk, которая удаляет журналы действий ОС Windows, удаляет файлы с определенными расширениями и перезаписывает определенные порции жестких дисков, после чего перезагружает компьютер. Указанные действия могли осуществляться в определенные дату и время либо через заранее заданный промежуток времени после установки ПО на компьютер жертвы.

Перед удалением информацию с жестких дисков, KillDisk выделял в оперативной памяти три области, одну из которых он затирал нулями, две других – фразами «mrR0b07» и «fs0cie7y». Американские власти считают, что за обновление KillDisk отвечал Павел Фролов, который указанными фразами делал отсылки к телешоу Mr Robot. Также на компьютере жертвы показывалось изображение “fsociety” (сначала текстом, потом – виде картинки)из данного телешоу.

Автор Telegram-канала «Лаборатория Артимовича» Дмитрий Артимович полагает, что речь идет о записях, которых KillDisk оставлял в оперативной памяти зараженного компьютера. «Практического смысла в этом не было, если только авторы вируса не хотели сделать уникальный отпечаток о себе», - полагает Артимович.

Взлом партии будущего президента Франции

Весной 2017 г злоумышленники, по утверждению стороны обвинения, попытались атаковать Францию перед проходившими в этой стране президентскими выборами. Фишинговой письма были разосланы членам партии La Republique En Marche (En Marche) будущего президента страны Эмманюэля Макрона и другим политикам и сотрудникам правительственных организаций Франции – всего более 100 лицам.

Темами писем были террористические атаки, блокировка аккаунтов электронной почты, обновление ПО в машинах для голосования, взаимоотношения En Marche со СМИ, освещение журналистами политических скандалов и внутренние рекомендацииEn Marche по кибербезопасности.

Обвинение считает, что рассылками занимался Анатолий Ковалев. Он якобы рассылал письма через сервис Google Docs, в котором создавался документ «Qui_peut_aprler_aux_journalists.docx» (в переводе означает «Кто может общаться с журналистами»). В файле содержался список десяти сотрудников En Marche, которые якобы могли давать комментарий о произошедшем накануне теракте в Champs-Elysees.

Данная рассылка была осуществлена с адреса, похожего на электронный адрес пресс-секретаря Макрона. Затем документы El Marche, ставшие доступными злоумышленникам, стали рассылаться различным французским политическим деятелям. Известно, что в 2017 г переписка Эмманюэля Макрона была опубликована проектом Wikileaks. При этом в одном из опубликованных файлов были обнаружены мета-данные сотрудника российской компании «Эврика» Георгия Петровича Рошка. «Эврика» работает в сфере информационной безопасности и сотрудничает с российскими правительственными структурами.

Атаки против организаций, расследовавших отравление Скрипаля

Весной 2018 г атаке подверглась Организация по запрещению химического оружия (ОЗХО) и британское Агентство по оборонной науки и технологий (DSTL). По мнению обвинения, это было связано с проводимым данными организациями расследованием произошедшего накануне в британском Солсбери Сергея Скрипаля и его дочери Юлии.

Скрипаль служил в ГРУ, затем был осужден за шпионаж в пользу Великобритании и в 2010 г обменян на российских шпионов. По утверждению британских властей, отравление было организовано сотрудниками ГРУ с использованием боевого отравляющего вещества «Новичок».

По утверждению обвинения, Анатолий Ковалев создал аккаунт электронной почты с именем неназванного репортера немецкого еженедельника. С этого адреса было направлено более 60 писем сотрудникам DSTL под заголовком «Инцидент Солсбери». Затем Ковалев стал рассылать письма от имени DSTL.

Также 20 мошеннических писем от лица некого британского журналиста были отправлены в сотрудникам ОЗХО под заголовком «Расследование отравления шпиона в Солсбери» . В ответ на одно из них были получены три электронных адреса британских официальных лиц, куда затем также были направлены мошеннические письма. Еще 19 мошеннических посланий было отправлено сотрудникам ОЗХО от лица другого британского журналиста.

Атака против Грузии

Еще один эпизод обвинения связан с атакой против Грузии. Согласно обвинительному заключению, весной 2018 г Анатолий Ковалев создал электронный адрес от лица неназванного грузинского СМИ. С этого адреса было направлено 8 фальшивых писем на 68 адресов в домене данного СМИ. Параллельно Артем Очиченко провел исследование уязвимостей ИТ-системы грузинского парламента.

Сама атака началась в октябре 2019 г. ей подверглись 15 тыс сайтов правительственных структур, неправительственных и частных организаций. На части взломанных сайтов появилось изображение бывшего президента Грузии Михаила Саакашвили, известного своим конфликтом с Россией, с надписью «I’ll be back» («Я вернусь»).

Позиция российских властей

Пресс-секретарь Президента России Дмитрий Песков отверг причастность российских властей и спецслужб к хакерским атакам, в особенности против олимпийских объектов. «Мы с сожалением наблюдаем тенденцию, когда Россия и российские представители, российские спецслужбы обвиняют уже во всем и вся, - заявил Песков. - Это уже напоминает с постоянностью встречающиеся рецидивы оголтелой просто русофобии, которая, конечно же, не имеет ничего общего с реальностью».

Официальный представитель МИД России Мария Захарова высказала предположение, что за обвинения против российских спецслужб связаны с происходящей в США предвыборной кампанией. «Очевидно, что за этим стоят соображения конъектурного политического характера, стремление русофобских сил в США «поддерживать на плаву» тему «российской угрозы» в смый разгар предвыборной президентской кампании, - говорит Захарова.

Представитель МИД также напомнила, что ранее Президент России Владимир Путин предлагал США одобрить меры по перезагрузке отношений двух стран в сфере использования информационно-коммуникационных технологий (ИКТ), в частности, в области международной информационной безопасности. «Остается только сожалеть, что, судя по риторике высокопоставленных чиновников Администрации, там наши походы не разделяются и не готовы к сотрудничеству на равноправной и взаимоуважительной основе», - добавила Захарова.