Как хакеры из знаменитой преступной группировки, «нейтрализованной» ФСБ, поучаствовали в «кибервойне с Западом»
В январе этого года ФСБ заявила о разгроме хакерской группировки REvil: одной из самых одиозных банд кибервымогателей в мире. Американские эксперты подозревали российские власти в том, что REvil действует по их приказу и под их защитой. В послужном списке этой группировки числятся угроза опубликовать компромат на Дональда Трампа, похищение документов Леди Гаги, хакерская атака на Acer и шантаж корпорации Apple, а также взлом компании Kaseya, повлекший отключения компьютерных сетей по всему миру. Теперь российские спецслужбы подозревают в том, что основные участники REvil по-прежнему находятся на свободе, а вместо них на камеру были задержаны «мелкие сошки», занимавшиеся обналичиванием преступных денег.
«Группировка с репутацией»
«Лаборатория Касперского» в своем исследовании, опубликованном в мае 2021 года, назвала REvil (также известную как Sodinokibi) одной из крупнейших в мире хакерских группировок, использующих вирусы-шифровальщики. Вирус-шифровальщик – это злонамеренная программа, которая ищет на жестком диске ценные для пользователя файлы и шифрует так, чтобы их невозможно было открыть. Завершив свое «черное дело», программа-шифровальщик выводит на экран сообщение с требованием о переводе злоумышленникам выкупа за восстановление ваших данных.
Как пишут авторы доклада, REvil начала предлагать свои услуги на форумах в даркнете в 2019 году, вскоре после того как прекратила свое существование группировка кибервымогателей GandCrab (на основании чего можно считать, что он была основана ее бывшими участниками). REvil не заражал своим шифровальщиком компьютерные сети самостоятельно, а находил для этого сообщников и сдавал им свой вирус «в аренду». Такой вид сделок называют RaaS, аббревиатурой от словосочетания Ransomware-as-a-Service («программа-вымогатель как услуга»). По данным «ЛК», REvil предельно щепетильно подходила к выбору партнеров и сотрудничала лишь с русскоязычными специалистами, у которых уже был опыт получения доступа к сетям.
За каждую сделку REvil получал 25-40% выкупа, определявшегося в зависимости от годового дохода жертвы. Расчеты велись в криптовалюте Monero. Если верить оператору REvil , то в 2020 году группа хакеров заработала 100 миллионов долларов.
От разработанного REvil шифровальщика, как пишет «ЛК», пострадали компании из 20 отраслей: «больше всего жертв (30%) пришлось на инженерно-производственный сектор. Далее следуют финансовые организации (14%), поставщики услуг (9%), юридические фирмы (7%) и компании, работающие в сфере IT и телекоммуникаций (7%)».
Чтобы заставить компанию-жертву платить, REvil организовывал на нее DDoS-атаки и публиковал ее конфиденциальную информацию на onion-сайте Happy Blog.
Любопытно, что вопреки стереотипам о киберпреступности, REvil была заинтересована в публичности и даже запустила в 2021 году бесплатный сервис для связи партнеров со СМИ и оказания дополнительного давления на жертву.
«Преступники обнаружили, что жертвы охотнее платят группировкам с репутацией. Чтобы никто не усомнился в их возможности восстановить зашифрованные файлы, они активно расширяют свое онлайн-присутствие, публикуют пресс-релизы, добиваясь, чтобы их имя стало известно всем потенциальным жертвам», —
утверждают эксперты «ЛК».
Путь к успеху
Летом 2019 группировка привлекла к себе внимание, взломав несколько американских IT-провайдеров и установив хакерское ПО части их клиентов, а уже в мае 2020 доказала, что умеет ставить перед собой по-настоящему амбициозные цели. Тогда хакеры похитили почти терабайт информации у Grubman Shire Meiselas & Sacks – одной из ведущих в мире юридических компаний, занятых защитой звезд шоу-бизнеса – и начали требовать выкуп за то, чтобы ее не публиковать.
После того, как Grubman Shire Meiselas & Sacks платить отказалась, хакеры заявили, что поднимают сумму выкупа до $42 миллионов и начинают выкладывать в даркнет всю переписку компании, в которой упоминается Дональд Трамп.
16 мая REvil, чтобы доказать серьезность своих намерений, выложила в сеть 2,4 гигабайта юридических документов, связанных с певицей Леди Гагой. На следующий день в даркнет были слиты 169 писем и документов с упоминанием Трампа. Ничего по-настоящему компрометирующего в тех файлах не было, однако REvil заверяла, что это лишь первая, «безобидная» часть архива.
В конечном счете хакеры так и не увидели своих денег, поскольку ФБР запретило Grubman Shire Meiselas & Sacks идти у шантажистов на поводу. Заявления о компромате на Трампа, по всей видимости, являлись чистой воды блефом, поскольку американский президент никогда даже не был клиентом атакованной компании.
В дальнейшем REvil пыталась выставить на аукцион юридические документы музыканта Брюса Спрингстина, однако приобрести их так и не нашлось желающих.
В марте 2021 года REvil атаковала британскую образовательную организацию Harris Federation и выложила в своем блоге ее многочисленные финансовые документы. IT-системы федерации были отключены на несколько недель, что затронуло до 37 000 студентов.
Вскоре последовали самые громкие акции российских хакеров. Шифровальщиком REvil оказался заражен шестой по величине производитель компьютеров в мире, тайваньская компания Acer. Хакеры опубликовали на своем сайте скриншоты похищенных файлов и потребовали у Acer рекордный в истории киберпреступности выкуп в размере 50 миллионов долларов США (или 100 миллионов, если будет уплачен позже указанной даты).
Уже в следующем месяце REvil попробовала вымогать деньги у компании Apple. Они взломали расположенную в Тайване компанию Quanta Computer, которая занимается сборкой компьютеров по предоставленным Apple дизайнам и схемам, и, по собственным заявлениям, получили доступ к «яблочным» чертежам. Выкуп, который REvil затребовала у Quanta Computer, составил те же 50 миллионов долларов, однако, отчаявшись их получить, хакеры принялись шантажировать Apple и публиковать захваченные чертежи на своем сайте.
Их следующей жертвой стала компания JBS Foods: крупнейший в мире поставщик говядины и птицы, сотрудничающий с клиентами из 190 стран мира. В результате хакерской атаки JBS Foods вынуждена была временно остановить все заводы по производству говядины в США. В Белом доме заявили, что предложили JBS Foods свою помощь и ведут с правительством РФ переговоры о сотрудничестве в поимке вымогателей.
Если Apple и Grubman Shire Meiselas & Sacks, по всей видимости, удалось не пойти на поводу у шантажистов, то генеральный директор JBS Foods Андре Ногейра, скрепя сердцем, признал, что корпорация выплатила REvil 11 миллионов долларов.
Первоначально хакеры потребовали у производителей мяса 22,5 миллиона долларов в обмен на программу-дешифровщик и возвращение украденных данных, однако в ходе переговоров цену удалось сбить чуть более чем вдвое. Платеж в биткоинах был произведен на счета хакеров в тот же день.
В июле 2021 года, пока американский бизнес готовился к длинным выходным в честь Дня независимости, вирусом REvil была заражена компания Kaseya. Это расположенное во Флориде предприятие управляет компьютерными сетями сотен тысяч мелких фирм по всему миру, не имеющих собственных IT-департаментов. Перейдя по компьютерным сетям Kaseya, вирус заразил ее многочисленных клиентов. Представители REvil предлагали им вылечить свои системы за сумму от 50 000 до 5 000 000 долларов либо купить у них за 70 миллионов долларов уникальный дешифратор, который якобы сможет разблокировать все компьютеры, пострадавшие после взлома Kaseya.
Первоначально генеральный директор компании Фред Воккола уверял, что от атаки пострадали всего 40 из 36 000 клиентов Kaseya. В скором времени он, однако, был вынужден признать, что хакерам удалось зашифровать от 800 до 1500 корпоративных сетей.
Изо всего содеянного группировкой REvil эта атака имела наиболее масштабные последствия, сказавшиеся в разных концах земного шара. Так, шведская сеть супермаркетов Coop вынуждена была закрыть около 800 магазинов из-за того, что кассовые аппараты не могли обрабатывать платежи, а в Новой Зеландии от инцидента пострадала компьютерная сеть более 100 детских садов.
Уже через несколько дней группировка REvil взломала подрядчика Минобороны США, компанию HX5, и опубликовала украденные у него документы в своем блоге (по мнению New York Times, те, впрочем, не представляли собой «жизненно важной ценности»). Пострадала от действий российских хакеров и связанная с производством ядерного оружия компания Sol Oriens.
Летом прошлого года Джо Байден поднял тему русских хакеров на саммите в Женеве с Владимиром Путиным. Незадолго до того была проведена атака с помощью вируса-вымогателя на американскую трубопроводную систему компании Сolonial Pipeline. ФБР связало ее с группировкой DarkSide, в которую входят русские хакеры. Байден заявил Путину, что российские власти знают, кто ответственен за хакерские атаки и где они находятся. Американский президент «ясно дал понять» русскому, что от него ждут, когда он привлечет киберпреступников к ответственности. О том, что REvil – русскоязычная группа хакеров, американцам к тому времени также было давно известно.
Спустя несколько дней после этих переговоров произошло неожиданное: все сайты группировки REvil, включая те, на которых они получали выкуп от своих жертв, резко перестали работать.
Следует из этого, что преступная группа кибершантажистов работала «под крышей» властей и ушла в тень, чтобы не портить отношения России с США? Таково одно из возможных объяснений. В то же время, как писал Reuters, американские спецслужбы могли взломать и взять под контроль часть серверов группы. Когда же REvil восстановили свою инфраструктуру, они ошибочно подумали, что их внутренние системы не скомпрометированы, хотя в действительности они уже находились под контролем силовиков.
Согласно третьей версии, REvil могли оставить след во время атаки на Kaseya, потому и ушли на некоторое время в тень.
«Предполагалось также, что отключение может быть связано с перегруппировкой киберпреступников в целях строительства более мощной и обширной площадки для проведения атак», — рассказал РБК руководитель Центра мониторинга и реагирования на инциденты ИБ Jet CSIRT компании «Инфосистемы Джет» Алексей Мальнев.
Так или иначе, выдержав несколько месяцев молчания, в сентябре группировка REvil вернулась «из отпуска». На сайте испанской антивирусной компании VirusTotal появился новый образец их зловредного ПО, а вскоре кибервымогатели опубликовали в даркнете скриншоты похищенных у очередной жертвы данных.
«Разгром»
В октябре 2021 года по подозрению в причастности к атаке на Kaseya задержали 22-летнего украинца Ярослава Васинского. На основании ордена, выданного властями США, его задержали при пересечении границы Украины с Польшей. Еще одному подозреваемому, 28-летнему россиянину Евгению Полянину, Минюст США предъявил обвинения заочно и объявил его в розыск. По версии следствия, Полянин работал с REvil в качестве партнера, взламывая компьютерные сети от имени группировки. Так, он в 2019 году взломал сеть TSM Consulting, провайдера управляемых услуг из Техаса, и развернул вредоносное ПО REvil во внутренних сетях не менее 20 местных правительственных агентств. Минюст США заявил, что сумел захватить принадлежащую Полянину криптовалюту на сумму в 6,1 миллиона долларов.
Американское правительство предложило награду в 10 миллионов долларов за информацию, которая поможет установить и арестовать участников группировки REvil.
Наконец воспоследовали и действия российских властей. 14 января текущего года ФСБ сообщила, что в результате совместной операции с МВД была «нейтрализована» и «прекратила свое существование». Следственные действия прошли по 25 адресам в Москве, Санкт-Петербурге, Московской, Ленинградской и Липецкой областях. Во время обысков было изъято 426 млн руб., в том числе в криптовалюте, $600 тыс., €500 тыс., 20 автомобилей премиум-класса, а также компьютерная техника и криптокошельки, которые использовались в преступных целях.
Суд отправил под арест восьмерых участников REvil (ФСБ при этом отчиталась, что группировка состояла из 14 человек). Знакомые и однокурсники одного из задержанных, 33-летнего Романа Муромского, в разговоре с РБК выразили сомнения в том, что он был связан с хакерами. По их словам, Муромский занимался версткой сайтов и программированием.
Вместе с официальным сообщением появилось и видео, на котором оперативники ФСБ и МВД берут штурмом квартиры злокозненных хакеров. У многих пользователей сети это видео, правда, вызвало вопросы, почему элита киберпреступного мира, получавшая выкуп в криптовалюте, живет в хрущевках с «бабушкиным ремонтом» и хранит свои сбережения в рублях, под матрасом и наличными?
Вопросы вызвало и то, почему задержанным предъявили обвинения по 187 статье УК РФ, часть 2 (неправомерный оборот средств платежей в составе организованной группы), максимальная санкция по которой не превышает 7 лет лишения свободы. Хакерам из REvil можно было предъявить организацию преступного сообщества, взломы компьютерных систем, вымогательство и отмывание денег, а по этой, сравнительно мягкой, статье обычно судят «дропов»: так в хакерской среде называют людей, которые обналичивают деньги и переводят их с карты на карту, заведомо зная, что те получены от преступной деятельности.
Из такой формулировки следует, что все задержанные могут оказаться номиналами для проведения платежей, низшим звеном преступного сообщества, сказал РБК основатель компании ChronoPay Павел Врублевский. О том, что спецоперация ФСБ может оказаться «всего лишь сдачей пешек, живших в «панельных хрущевках с бабушкиным ремонтом», но разъезжавших на автомобилях премиум-класса», — пишет и колумнист «Новой газеты» Ирек Муртазин.
Подтверждением этой версии может служить тот факт, что британская газета Daily Mail еще в конце ноября публиковала расследование, согласно которому Евгений Полянин, будучи одним из самых разыскиваемых хакеров мира, живет, не особенно скрываясь, вместе с женой в своем родном алтайском городе Барнаул. Супружеская пара, как утверждает Daily Mail, обитает в роскошном (по барнаульским меркам) особняке, ездит на дорогом внедорожнике и совершает вертолетные прогулки к алтайским горам.
«Что сейчас с Евгением Поляниным?» — вот едва ли не самый интересный вопрос, возникающий в связи с «разгромом» REvil. Фамилия мужчины не фигурирует в публичной информации о задержаниях, ФСБ не заявляла об обысках в Барнауле, а на сайте ФБР мужчина по-прежнему числится объявленным в розыск.
Все меньше людей в мире сейчас сомневается в том, что правительство России причастно к организации хакерских атак против американских федеральных ведомств и ключевых объектов инфраструктуры. Совершенно неудивительно будет, если вскоре после «разгрома» группировки REvil выяснится, что ее ключевые участники продолжат свою деятельность под патронажем спецслужб. Меньше всего в таком отношении повезло тем людям, которых задержали на камеру, а затем отправили в СИЗО. Побывав пешками в «кибервойне» России против США, эти люди теперь расплатятся за свое участие в ней реальными сроками.
Евгений Ветров
Комменты