Powiązani z GRU działają pod przykrywką haktywizmu. To oni pomagają Rosji na Telegramie

Haktywiści od początku wojny angażowali się m.in. w oddolnie organizowane ataki DDoS (ang. rozproszona odmowa usługi), które skutkowały np. awarią strony rządowej jednej ze stron czy zakłóceniem dostępu do infrastruktury niezbędnej do komunikacji w czasie wojny.

By wytłumaczyć ideę haktywizmu, można spojrzeć na przykład działaczy Anonymous - to „organizacja” rozproszona – bez lidera, nie działająca na zlecenie państwa, a je popierająca i angażująca się oddolnie na rzecz działania w cyberprzestrzeni w danej sprawie. To oni samodzielnie „skrzyknęli” się w sieci, by wspierać Ukrainę i oświadczyli, że nie spoczną, dopóki nie wygrają z Putinem. Teraz jednak angażują się w hakowanie irańskich systemów rządowych.

Po stronie Rosji także działają albo zorganizowane grupy cyberprzestępcze, jak np. Conti, albo haktywiści. Tyle, że – jak teraz stwierdza w najnowszym raporcie firma Mandiant (ta sama, która wyjaśniła źrodła afery Dworczyka w Polsce i powiązała wyciek maili z białoruskim reżimem i operacją Ghostwriter oraz grupą UNC1151 ) – ci, którzy do tej pory wydawali się być rosyjskimi haktywistami, wcale mogą nimi nie być. Dlaczego? Ponieważ z dużym prawdopodobieństwem są powiązani z rosyjskim wywiadem wojskowym GRU. Widać to na przykładzie danych, publikowanych przez nich na Telegramie.

Haktywiści, GRU i Telegram

Firma Mandiant wskazuje , że niektórzy aktorzy owszem, działają niezależnie od państwa rosyjskiego, ale wiele jest grup na Telegramie, których moderatorzy są albo przykrywką dla państwa rosyjskiego, albo działają w koordynacji z nim.

Tym samym firma – z dużą pewnością ocenia, że moderatorzy rzekomo haktywistycznych kanałów na Telegramie takich jak: „XakNet Team”, „Infoccentr” i „CyberArmyofRussia_Reborn” koordynują swoje operacje ze sponsorowanymi i powiązanymi z GRU cyberprzestępcami.

Ich ocena opiera się częściowo na przykładzie narzędzi używanych przez APT28 (to grupa znana także jako STRONTIUM, Sofacy lub Fancy Bear i powiązana z rosyjskimi służbami), dzięki analizie czasowej włamań i przecieków z organizacji ukraińskich, a także innych nieautentycznych działań moderatorów tych grup na Telegramie, które są podobne do poprzednio przeprowadzanych operacji informacyjnych przez GRU.

„Wojna na Ukrainie stworzyła również nowe możliwości zrozumienia całości, koordynacji i skuteczności rosyjskich działań cyber, w tym wykorzystania platform mediów społecznościowych przez cyberprzestępców. Ponadto platformy, takie jak Telegram były wykorzystywane przed inwazją, aby wpływać na postrzeganie zbliżających się rosyjskich ruchów wojskowych i były intensywnie wykorzystywane zarówno przez Ukrainę, jak i Rosję, aby wpływać na publiczność zarówno międzynarodową, jak i krajową” – wskazuje Mandiant.

Pewne powiązania między kontem „haktywistów” XakNet Team mają występować także z prorosyjską grupą Killnet (to m.in. oni stali za cyberatakiem na strony polskiej Policji, co opisywaliśmy jako pierwsi na łamach CyberDefence24.pl w tym materiale ). Prowadzą oni jednak zbieżne, ale osobne działania, by wesprzeć rosyjską propagandę.

Dowody na powiązania „haktywistów” z GRU

Dalej Mandiant wskazuje, że cyberprzestępcy obsługujący kanały na Telegramie: XakNet Team, Infoccentr i CyberArmyofRussia_Reborn koordynują swoje działania ze sponsorowaną przez GRU grupą APT28. Swojej oceny dokonują m.in. na podstawie analizy 16 wycieków danych publikowanych przez wskazane konto z ukraińskich organizacji, z których cztery z nich zbiegają się czasowo z takim samym atakiem, jakiego dokonali cyberprzestępcy z APT28.

Grupa użyła m.in. wirusa Caddywiper (to on niszczył dane z ukraińskich systemów) i Arguepatch. Na przykładzie dwóch incydentów było widać, że po 24 godzinach od ataku wyciekły za pośrednictwem wskazanego konta dane użytkowników na tym kanale. To według firmy dowód na to, że te ataki i wycieki – były skoordynowane. Dodatkowo w jednym z wycieków zobserwowano techniczny dowód na działalność APT28 i dostęp do tych samych zasobów sieci z których pochodził wyciek.

„Trzy kanały, które zidentyfikowaliśmy w tym raporcie, charakteryzowały się aktywnością, wykorzystującą tradycyjne taktyki haktywistyczne, takie jak wykorzystywanie rozproszonych ataków typu „odmowa usługi” (DDoS), niszczenie witryn internetowych oraz działania polegające na hakowaniu i wyciekaniu danych, by atakować ofiary. Co więcej, aktywne zabieganie przez XakNet o relacje w mediach, w połączeniu z samopromowaną narracją >>o byciu grupą, która składa się z rosyjskich patriotycznych wolontariuszy<<, sugeruje dwa możliwe cele oddziaływania: grupy promują rosyjskie interesy za granicą poprzez swoją działalność, a w kraju propagują ideę zwykłych Rosjan wspierających rząd, twierdząc, że są patriotycznymi wolontariuszami, wzmacnianymi przez rosyjskie media i inne miejsca w internecie” – uważa firma Mandiant.

Rosyjski wywiad działa na Telegramie

Jak czytamy, rosyjskie służby wywiadowcze mogą pochwalić się długą historią tworzenia fałszywych grup haktywistycznych, które mają je wspierać w operacjach informacyjnych i w destrukcyjnej cyberdzialalności. Warto przypomnieć, że APT28 było zaangażowane – wedle aktu oskarżenia Departamentu Sprawiedliwości USA – we wpływanie na wybory prezydenckie w USA w 2016 roku, podobnie jak wiele jednostek GRU.

Podsumowując, Mandiant ocenia „z umiarkowaną pewnością”, że moderatorzy kanałów na Telegramie: XakNet Team, Infoccentr i CyberArmyofRussia_Reborn są powiązani z GRU, ale nie podaje składu tych grup i dokładnego stopnia powiązania z rosyjskim wywiadem.

Specjaliści cyberbezpieczeństwa pozostawiają otwartą furtkę w swej analizie: albo funkcjonariusze GRU mogą bezpośrednio kontrolować działalność „haktywistów”, a ich działanie może stanowić dla nich przykrywkę; albo moderatorzy mogą bezpośrednio koordynować te kanały z GRU, ale są obywatelami Rosji, którzy nie są oficerami wywiadu.

Konta angażują setki użytkowników na platformie Telegram i - ich zdaniem - mało prawdopodobne, że setki udzielających się tam kont jest nieautentycznych. Według firmy Mandiant raczej większość lub wszyscy to rosyjskojęzyczni obywatele.

Bezprecedensowa wojna

Gigant cyberbezpieczeństwa zwraca uwagę, że rosyjska inwazja na Ukrainę stworzyła „bezprecedensowe okoliczności dla cyberzagrożeń”.

„To prawdopodobnie pierwszy przypadek, w którym duże cybermocarstwo potencjalnie przeprowadziło destrukcyjne ataki, operacje szpiegowskie i informacyjne jednocześnie z szeroko zakrojonymi, kinetycznymi operacjami wojskowymi w wojnie konwencjonalnej. Nigdy wcześniej nie zaobserwowaliśmy takiej liczby cyberataków, różnorodności cyberprzestępców i koordynacji wysiłków w ciągu kilku miesięcy. Oceniamy z dużą pewnością, że rosyjskie operacje cyberszpiegowskie i ataki, choć już są poważnym zagrożeniem dla organizacji ukraińskich, stanowią podwyższone ryzyko dla Ukrainy, dopóki Rosja kontynuuje swoją inwazję” – czytamy w raporcie.

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].