5 godzin temu
Ukrainka działająca na rzec Rosjan, hackerka, która włamała się do amerykańskich systemów uzdatniania wody pitnej i zakładu przetwórstwa mięsnego w 2024 roku stanie przed sądem USA po ekstradycji. Według nieoficjalnych informacji została aresztowana w wyniku operacji Służby Bezpieczeństwa Ukrainy.
33-letnia Wiktoria Edwardowna Dubranowa pochodziła ze wschodniej Ukrainy i była jedną z najbardziej znanych rosyjskich hackerek mimo ukraińskiego obywatelstwa. Działała w dwóch rosyjskich kolektywach hackerskich: CyberArmyofRussia_Reborn (CARR) i NoName057(16). Nie przyznaje się do winy. Pierwszy jej proces w sprawie NoName ma się rozpocząć 3 lutego, zaś w sprawie CARR 7 kwietnia. jeżeli sędzia weźmie pod uwagę zarzuty z działalności w obu grupach, grozi jej do 40 lat więzienia.
Jak powiedział dziennikarzom zastępca dyrektora wydziału cyberbezpieczeństwa FBI Brett Leatherman, Dubranova jest „prorosyjską hakerką-aktywistką i administratorką powiązaną ze złośliwymi cyberatakami kierowanymi przez rosyjskie GRU i rosyjską administrację prezydencką”.
Ataki CARR objęły m.in. publiczne systemy uzdatniania wody pitnej w kilku stanach USA oraz zakład przetwórstwa mięsa w Los Angeles. Kolektyw ten znany jest z włamywania się do przemysłowych systemów sterowania i przeprowadzania ataków typu „odmowa usługi” (DDoS) na serwery internetowe zakładów infrastruktury krytycznej.
W efekcie ataku zakład przetwórstwa mięsa w Los Angeles w listopadzie 2024 r., zepsuło się kilka ton mięsa i nastąpił wyciek amoniaku w hali fabrycznej. Dzięki szybkiej reakcji personelu straty ograniczyły się do wysokości 5000 dolarów. W przypadku ataków na „publiczny system uzdatniania wody zostały uszkodzone pompy, które wylały na ziemie setki tysięcy litrów wody pitnej”.
Ekipa CARR była na tyle bezczelna, iż chwaliła się atakami DDoS na całym świecie, twierdząc, iż to co robi jest „małą przygrywką”, zaś „jeśli będzie to konieczne potrafią sparaliżować całe USA”. Rząd USA oskarżył też CARR o atakowanie serwerów infrastruktury wyborczej i stron internetowych amerykańskich organów nadzoru jądrowego. Stany Zjednoczone wcześniej nałożyły sankcje na dwóch innych członków CARR i jak wynika z nieoficjalnych informacji, „trwa na nich polowanie”. Są oni etnicznymi Rosjanami z obywatelstwem rosyjskim.
O afiliacjach tej grupy mówi akt oskarżenia, w którym wymieniono osobę posługującą się pseudonimami „Cyber_1ce_Killer” i „Commander”, która jest powiązana z co najmniej jednym oficerem Głównego Zarządu Sztabu Generalnego Sił Zbrojnych Federacji Rosyjskiej (GRU) lub choćby jest oficerem GRU.
„Oskarżeni i współspiskowcy uważali, iż oskarżony CYBER_ICE był przez cały czas agentem rządu rosyjskiego, a inny oskarżony pracował dla Federalnej Służby Bezpieczeństwa Federacji Rosyjskiej (FSB)” – stwierdzono w dokumentach sądowych. Według federalnych, GRU finansowało dostęp CARR do różnych usług cyberprzestępczych, w tym subskrypcje usług DDoS na zlecenie i praktycznie utrzymywało całą grupę.
Dubranowa ma też zarzut spisku mającego na celu uszkodzenie chronionych komputerów i manipulację publicznymi systemami wodociągowymi, uszkodzenia chronionych komputerów, oszustwa przy użyciu urządzeń dostępowych oraz jeden zarzut kradzieży tożsamości. W przypadku skazania za te zarzuty grozi jej kara do 27 lat więzienia.
Działalność Dubranowej w NoName powiązana jest z atakami DDoS, głównie na agencje rządowe, instytucje finansowe i infrastrukturę krytyczną, w tym publiczne koleje i porty.
W śledztwie ujawniono, iż grupa rekrutowała wolontariuszy z całego świata do pobierania DDoSia, zastrzeżonego narzędzia do ataków polegających na zalewaniu sieci, i wykorzystywała ich komputery do ataków DDoS. NoName publikowało również codzienne rankingi na swoim kanale Telegram, klasyfikując wolontariuszy według liczby ataków, i płaciło najlepszym atakującym w kryptowalutach. Latem br. międzynarodowa policja wyłączyła ponad 100 serwerów używanych przez NoName057(16) w ramach operacji Eastwood prowadzonej przez Europol.
Oprócz ataków DDoS Dubranowa za działanie w tej grupie ma zarzut spisku mającego na celu uszkodzenie chronionych komputerów. Tu grozi kara do 5 lat więzienia, pozostałe 8 lat może dostać za nadzorowanie ataków DDoS.
„Chociaż te ataki mogą być stosunkowo nieskomplikowane, stanowią realne zagrożenie dla naszych systemów wodnych, zaopatrzenia w żywność i sektora energetycznego. Obie grupy hakerów mają bezpośrednie powiązania z rosyjskim rządem i rekrutują członków na całym świecie, aby ułatwiać ataki, które wspierają rosyjskie cele geopolityczne” – powiedział Leatherman.
Analitycy twierdzą, iż powiązania CARR i NoName z rosyjskim wywiadem znane były od pewnego czasu.
Dzisiejszy akt oskarżenia, według Google, potwierdza wcześniejszą ocenę powiązań CARR z GRU dokonaną przez jego specjalistów od wykrywania zagrożeń.
„CARR przeprowadzał cyberataki na krytyczną infrastrukturę USA i Europy, ale ukrywał się za personą z GRU i coraz częściej korzysta z pomocy chętnych wspólników, aby osłonić własne działania w destabilizujących atakach fizycznych i cybernetycznych w Europie i USA. Ważne jest, abyśmy nigdy nie wierzyli przeciwnikom na słowo, gdy mówią nam, kim są. Często kłamią” – powiedział John Hultquist, główny analityk Google Threat Intelligence Group, w wywiadzie dla The Register.
„Różnica między Rosjanami, a Chińczykami jest taka, iż Chińczycy, tak jak Północna Korea, otwarcie utrzymują, takie jak CARR, struktury hackerskie przy wywiadzie wojskowym i cywilnym, Rosjanie chowają się za rzekomymi kolektywami aktywistów rosyjskich i prorosyjskich rzeczywistości utrzymywanych przez FSB i GRU. Z naszego punktu widzenia Rosjanie są groźniejsi, bo łatwiej im werbować ludzi z całego świata, nienawidzących Zachodu. To czyni ich ataki jako rozproszone bardziej niszczącymi. I w każdej chwili takie ataki, jak te, które spotkały Amerykanów mogą spotkać polskie firmy i instytucje rządowe. Co prawda ludzie generała Molendy (Wojska Obrony Cyberprzestrzeni – red.) są świetni i już niejeden taki atak odparli. Bo w cyberprzestrzeni mamy już wojnę i to od dawna. I niestety – w tej wojnie za przeciwników możemy mieć ludzi z ukraińskimi paszportami, ale działających na rzecz Rosjan” – powiedział ISBiznes.pl analityk wojskowy pracujący dla Sił Zbrojnych RP.
Departament Stanu poza Dubranową zatrzymaną w wyniku operacji Służby Bezpieczeństwa Ukrainy uzgodnionej z Amerykanami i deportowaną do USA, zaoferował potencjalne nagrody w wysokości do 2 mln dolarów za informacje o osobach powiązanych z CARR i do 10 mln dolarów za informacje o osobach powiązanych z NoName, jako iż skład i struktura tej grupy „wciąż pozostają zagadkowe”.
FBI, Agencja Bezpieczeństwa Narodowego, Departament Energii, Agencja Ochrony Środowiska i Agencja ds. Cyberbezpieczeństwa i Infrastruktury Stanów Zjednoczonych (CISA) – wraz z ponad 20 partnerami międzynarodowymi wydało wytyczne dla właścicieli i operatorów technologii operacyjnych (OT) na całym świecie dotyczące sposobów zabezpieczenia ich krytycznych sieci przed atakami prorosyjskich i rosyjskich grup hakerskich.
„Najważniejszą rzeczą, jaką ludzie mogą zrobić, aby się chronić, jest zmniejszenie liczby urządzeń OT narażonych na dostęp do publicznego Internetu. To szerokie, bezkrytyczne podejście było stosowane w wielu sektorach, od zakładów uzdatniania wody po systemy odwiertów naftowych, często z wykorzystaniem łatwych do powtórzenia i nieskomplikowanych metod. Skumulowany wpływ tej złośliwej cyberaktywności stanowi trwałe i destrukcyjne zagrożenie dla podstawowych usług” – powiedział dziennikarzom Chris Butera z CISA. Jak dodał, te ataki mają zwykle charakter oportunistyczny, a grupy hakerów skanują sieci VPN i narzędzia zdalnego dostępu podłączone do urządzeń OT, co oznacza, iż zagrożone są choćby małe przedsiębiorstwa użyteczności publicznej i ich dostawcy.
Według Leathermana, w związku z tym małe firmy i instytucje mają „fałszywe poczucie bezpieczeństwa”.
„Widzimy małe organizacje – niezależnie od tego, czy są to przedsiębiorstwa komunalne, infrastruktura krytyczna, czy po prostu małe sklepiki – które działają z myślą o bezpieczeństwie, kierując się zasadą „jesteśmy zbyt mali, aby stać się celem ataków ze strony podmiotów zagranicznych”. Jednak w dzisiejszym środowisku automatyczne skanowanie zapewnia bardzo skuteczny sposób identyfikacji podatnej na ataki infrastruktury” – zauważył Leatherman.
