Внутри украинского ЦИПсO: киберсыщик раскрыл тайны диверсий в российских городах
Против России ведется война не только на поле боя, но и на невидимом фронте — в киберпространстве. Информационные и психологические операции не прекращаются. Как преступники нового поколения действуют в сети, как не попасться на их удочку и какие преступления уже совершены на территории России, рассказал «МК» кибер-сыщик, популяризатор развития киберкриминалистики, учредивший несколько IT-компаний Игорь Бедеров.
фото: pexels.com
— Игорь Сергеевич, еще до начала СВО на Украине уже действовали всевозможные хакерские группы и даже был организован Центр информационно-психологических спецопераций — ЦИПсО. С чего началась эта работа?
— Вообще, хакерское сообщество СНГ было достаточно однородным. Долгое время на этом пространстве все друг друга знали, были в курсе, кто и чем промышляет. Там были действительно сильные хакеры, которые совершали различные преступления — не только крали базы данных, но и, конечно, различными путями добывали деньги.
В 2014 году, после того, как Крым стал российским, хакерское сообщество разделилось. Многие на Украине посчитали, что стране была нанесена национальная пощечина.
После этого там при помощи различных фондов, близких к разведке США, начались глобальные реформы — полностью были перестроены структура, принципы работы спецслужб и правоохранительных органов, был сделан колоссальный шаг вперед, в том числе и IT-специалистами, работали подразделения ЦИПсО, хакеры.
За эту работу там напрямую или косвенно отвечал советник министра информационной политики Дмитрий Золотухин.
— Кто это?
— Это бывший сотрудник Службы безопасности Украины, очень продвинутый айтишник. Специализировался на анализе открытых данных и Big Data – массивов больших данных. У него большая практика преподавания и проведения информационных и специальных психологических операций. Он и начал это все развивать на Украине. Был, наверное, одним из лучших спецов в 2014-2015 годах. Кроме того, ему повезло, так как его взяли в большую команду. Так он и сделал карьеру.
Справка «МК»: Золотухин Дмитрий Юрьевич, родился в Полтаве, в 1981 году. В 2003 году окончил Национальную академию СБУ по специальности «Правоведение». В 2009 году получил второе высшее образование, окончив Государственный университет финансов и международной торговли.
В 2003 году поступил на службу в органы национальной безопасности. В 2009 году его привлекли к нестандартным проектам. Первая работа была связана с информационными войнами и конкурентной разведкой. После этого ему поручили заниматься борьбой с «фейками» и связью с киберразведкой.
С 2015 по 2017 годы Золотухин был советником министра информационной политики, стал соавтором «Доктрины информационной безопасности Украины». В 2017 году Золотухина назначили замминистра информполитики. В сентябре 2019 года был уволен с должности замминистра. сейчас проживает в Великобритании. Известен как автор «Белой книги специальных информационных операций против Украины 2014-2018».
— То есть Золотухин – один из создателей ЦИПсО?
— ЦИПсО были основаны в 2004 году. Свою активность эти центры развернули после победы Евромайдана в 2014 году. Заслуга Золотухина в том, что он в 2015 году начал серьезно перестраивать их работу. нужно отдать должное, он добился своей цели всего за два года. Кроме того, он создал Украинский Киберальянс. По крайне мере в украинских публикациях члены альянса заявляют, что именно Золотухин их объединил. В Киберальянс вошли четыре самые на тот момент известные хакерские группы, которые впоследствии развивали это направление.
Справка «МК»: Украинский Киберальянс — сообщество украинских киберактивистов из разных городов Украины и зарубежных стран. Альянс возник весной 2016 года в результате объединения двух групп киберактивистов FalconsFlame и Trinity. Позже к альянсу присоединилась группа киберактивистов RUH8 и отдельные киберактивисты группы «КиберХунта».
— У Золотухина были кураторы?
— Мы обычно кураторами считаем представителей спецслужб. Но это очень расхожее заблуждение, что есть какие-то «чекисты», которые могут что-то посоветовать. В основной своей массе это сообщество, напоминающее по структуре ветвистое дерево.
Многие продвинутые IT-специалисты выдвигали подобные идеи. ничего гениального в ней нет. Просто у части украинских айтишников было желание отомстить за национальный позор.
Киберальянс и IT-армия
— Вы сталкивались в своих расследованиях с участниками Киберальянса?
— С началом СВО в сети, прежде всего в Telegram, образовались сообщества, которые занимались DDoS атаками. Это организация вредной нагрузки на определенный сайт из-за большого количества обращений. В результате сайт перестает работать.
Атакам подвергались российские госструктуры, объекты инфраструктуры, в том числе критической, информационные ресурсы банков, вузов, промышленных предприятий и, вообще, все российские цифровые сервисы.
Помимо этих атак очень низкого уровня, были взломы, многочисленные утечки данных. Занимаясь утечками данных, мы обратили внимание на то, что в большинстве случаев они организуются одними и теми же людьми. И они оказались из хакерских групп Киберальянса.
Недавно взломали сайт одной из наших IT-компаний – T.Hunter. Занимаясь вопросами взлома, дальнейшей безопасности, мы столкнулись с хакерской группой C.A.S (Cyber.Anarchy.Squad), которая также входит в Киберальянс.
C.A.S, которая ломала наш сайт, ломала практически все сервисы, которые у нас есть: Госуслуги, ГИБДД, Минфин, большинства вузов, Минюста и.т.д. Практически все утечки информации, которые происходили, более, чем на 80% — дело рук C.A.S.
— Установили, кто работает в хакерской группе C.A.S?
— часть участников этой группы уже идентифицированы. Это молодые люди от 16 до 19 лет, украинцы, проживающие в Киеве, Мариуполе, IT-спецы. Руководитель C.A.S. 18-летний Геннадий сейчас учится в Киеве, сдает сессию. Другая часть — это старый костяк, взрослые люди, как раз имеющие прямое отношение к Киберальянсу.
— Как на Украине удалось собрать IT-армию?
— Она начала работать практически сразу после начала СВО. В марте в нее сразу влилось огромное количество людей. сейчас это порядка 650 тысяч человек, причем многие из них не имеют никакого отношения к IT-сфере. Их работа считается малокомпетентной, в отличие от работы того же Киберальянса, который занимается взломами, кражей данных, а также атаками на кредитно-финансовые учреждения с целью хищения денежных средств.
— Неспециалистов как задействуют в работе?
— Оказалось, что на Украине есть желающие участвовать в совершении различных кибер-атак, но у них нет квалификации. Поэтому более продвинутые стали распространять инструкции. Они очень простые и звучат примерно так: скачайте программный комплекс, запустите, сделайте то-то и то-то, вбейте данные сайта, который мы сегодня атакуем…
А дальше вся эта орава в 650 тысяч голов создает вредную нагрузку на сайт, из-за чего он «ложится». Вот такая нехитрая ежедневная работа. Это киберактивизм невысокого уровня. Но они берут массовостью.
— Участники получают за это деньги?
— думаю, лидеры осваивают бюджеты. До обычных юзеров вряд ли что-то доходит. По крайне мере, еще за два года до СВО мы во время исследования различных политических каналов и хакерских групп выявляли единые ветки в даркнете («черный Интернет» — скрытый сегмент Интернета. – Авт.), через которые осуществлялась координация их работы и финансирование. думаю, руководство, безусловно, получает. Ведь не просто так подобные IT-армии так быстро появляются, объединяются и имеют какие-то планы действия.
Школьные расстрелы и поджоги военкоматов
— Какие информационные и психологические атаки ЦИПсО вы расследовали?
— К примеру, массовые «минирования» в 2019-2020 годах. Помните, были такие? Тогда очень активно «минировали» аэропорты, больницы, в том числе «Коммунарку» во время пандемии. Эти «минирования» проводил как раз ЦИПсО.
А началось все 29 ноября 2019 года — в московские и петербургские суды поступили одинаковые электронные письма с сообщениями о минировании. Неизвестный написал, что такие угрозы будут поступать и дальше, пока известный бизнесмен, владелец медиа-группы, не вернет якобы бы похищенные им с биржи Wex 120 биткоинов.
Достаточно быстро, в течение полутора месяцев, мы провели расследование. Мы нашли Сергея, уроженца Украины, который живет в Нижнем Новгороде и который действительно потерял 120 биткоинов на криптобирже Wex. Но вот только к минированию он никакого отношения не имел. Сергей — реальный человек, который стал частью легенды прикрытия ЦИПсО. Легенда была очень хорошей, потому что была проверяемой. Обычно любой правоохранительный орган на этом бы успокоился и не «копал» бы дальше.
— Как на ЦИПсО вышли?
— Случайно. Организаторов выдала жадность. Когда мы отслеживали транзакции с того кошелька, который предлагался для получения средств, удалось установить, как были выведены криптовалюты, через какую биржу и кто был получателем. Удалось узнать, что абсолютно в ту же самую цепочку по выводу средств почему-то втесались деньги, полученные от деятель хакерской группы, которая распространяла вирусы-шифровальщики по России, Китаю, и что самое пикантное — по территории Евросоюза.
То есть ЦИПсО проводил хакерские атаки в Евросоюзе, у которого они сейчас клянчат деньги. После расследования на место этих хакеров, уже в 2022 году, пришла другая группа «минеров». Их деятельность также закончилась быстро, когда наши войска разбомбили 7-й Центр ИПсО. Как только к ним прилетела ракета, все минирования моментально прекратились.
— К подобным операциям кто привлекается?
— Все это работает на аутсорсинге, подряжают украинских «хлопчиков», которые сейчас обитают в Польше или Турции — в странах, которым наплевать на «минирования» или «Колумбайны» (движение признано террористической и экстремистской организацией, запрещено в РФ) у нас.
— деятельность этих экстремистских организаций у нас — тоже их работа?
— Да. один из массовых расстрелов, не буду называть какой, был организован из Польши. Организатор даже опубликовал признание. Как было организовано то преступление — пока рассказать не могу, хотя отдельные вещи нам известны.
— Какие еще примеры диверсионной работы можете привести?
— например, в апреле-мае этого года в Сети активно агитировали россиян совершать диверсии на железнодорожном транспорте. Как мы потом выяснили, пиарщица из Киева организовала сайт и группы в Telegram, в которых распространялись соответствующие схемы и советы, как блокировать и спускать с рельсов поезда. одна из целей — показать, что в России много оппозиционных, крайне радикально настроенных движений. Хотя это не так.
— Поджоги военкоматов — тоже их схема?
— Похоже, что оттуда.
— А крупные пожары, которые случаются все чаще в последнее время?
— Это главная загадка нынешнего времени. И правда, что-то часто стали «курить» на складах, хранилищах топлива. Кстати, ЦИПсО записывают все себе в актив, убеждая всех, что в России есть некое подполье.
— Думаете, работают «спящие ячейки»?
— Они здесь не особо-то и нужны. Хватит гиперчувствительного юноши с неустойчивой психикой и неправильной мотивацией, которому по Интернету пришлют схему сбора взрывчатки.
— Какие еще акции похожи на работу украинских ЦИПсО?
— например, публикация объявлений, в которых за деньги, за 2-3 тысяч долларов предлагается администраторам или программистам какого-то сервиса разместить код внутри своей системы, чтобы получить к ней доступ. Кому-то объясняли, что это безвредно, мол, мы только опубликуем объявление типа «Украина должна быть свободной». На самом деле это серьезное нарушение уязвимости, это кража всех данных, дешифрование всех серверов. Это ущерб национальной безопасности, в конце концов.
— Такие факты зафиксированы?
— Да, были случаи. один произошел в очень известной компании. Об этом пока тоже нельзя говорить, идет расследование.
— Какой еще ущерб от работы этих групп?
— Наши с вами данные несанкционированно становятся публичными — все наши телефоны, паспортные реквизиты, адреса становятся достоянием общественности и могут быть использованы как мошенниками, так и для распространения вредоносных программных продуктов, для шантажа. Помните, когда начиналась СВО, по ночам стали активно звонить и кричать в трубку «заберите свои трупы, которые у нас на улицах разлагаются». Все это действовало на женщин и на мужчин со слабой психикой.
И такая подрывная деятельность продолжается. Единственное, масштаб уменьшился, потому что начали обрезать Интернет-трафик из Украины и блокировать украинские сайты и телефонные соединения с IP-адресов.
Кстати, по мере того, как начали блокировать украинские ресурсы, очень сильно сократилось телефонное мошенничество. Да и россияне перестали остро реагировать на эти звонки. На Украине, к слову, сильно переживают по этому поводу.
— А почему рекомендуют не отвечать грубо и не троллить того, кто звонит?
— Просто в таком случае они будут номер вашего телефона использовать дальше. например, с вашего номера отправят сообщение, что заминировано какое-то здание в России. Подменить номер не составит труда. Поэтому проще повесить трубку.
— Вы говорите, что число звонков сократилось, но все равно поступают? Каким образом, если трафик обрезали?
— Поскольку трафик был отрублен, им пришлось создавать на территории России SIM-банки, через которые происходят звонки и подмены номеров. В Санкт-Петербурге, например, имеется порядка 200-300 SIM-банков. Как правило, для этих целей арендуется комната, квартира, в редких случаях — офис. Там ставится SIM-<span class="wp-tooltip" title="кредитно-финансовая организация которая сосредоточивает временно свободные денежные средства (вклады) предоставляет их во временное пользование в виде кредитов (займов ссуд) посредничает во взаимных платежах и расчетах межд, и раз в месяц туда приходит человек проводить профилактические работы.
Справка «МК»: SIM-<span class="wp-tooltip" title="кредитно-финансовая организация которая сосредоточивает временно свободные денежные средства (вклады) предоставляет их во временное пользование в виде кредитов (займов ссуд) посредничает во взаимных платежах и расчетах межд — это устройство агрегации SIM-карт в одном месте. Проще говоря, это устройство, позволяющее осуществлять массовую рассылку сообщений.
— Правоохранительные органы контролируют ситуацию?
— Чтобы контролировать, нужно иметь соответствующие навыки, программные продукты, данные, которые эти программные продукты будут анализировать. Как вы понимаете, ничего этого нет. О тех немногих делах в Санкт-Петербурге, которые удалось раскрыть с нашим участием, радостно отчитались. Но никакого влияния это на систему не оказало. Ведь это два из 200, как минимум, SIM-банков…
Бьют по нервам
— Как придумываются операции ЦИПсО?
— За основу берется то, что бьет по нервам. человек всегда боится неизвестности, того, что он не может проконтролировать. Он готов придумать себе что угодно, только чтобы развеять эту неизвестность. На этом центры психологических операций и играют. например, дают «объяснения», естественно, в нужном ключе. У человека создается иллюзия, что он сам дошел до «истины». В этом случае такая информация будет казаться самой достоверной.
— Можете привести пример?
— Помните громкое дело одной из компаний, когда в детском питании и кофе, якобы, нашли частицы стекла? информация распространялась через блоги и форумы от лица каких-то абстрактных жертв, которых потом никто не нашел. В итоге были запрещены к продаже самые ходовые продукты этой компании — баночки кофе. Компания потеряла 20 миллиардов рублей. Все это провернули конкуренты компании, вернее, специалисты, которые занимаются информационными диверсиями.
А вот сейчас все эти схемы перекинулись на военные рельсы. И начали реализовываться там.
— А что сработало по этой методике уже после начала СВО?
— много очков ЦИПсО заработал на нашей частичной мобилизации. Наши люди и так склонны не доверять власти, а к этому еще было вброшено огромное количество «фейков». Это подорвало моральный дух — люди побежали из страны.
— Можно распознать почерк ЦИПсО?
— Есть боты, которые работают по шаблону— в Telegram, в соцсетях. Они разговаривают «нечеловеческим» языком, странно построены фразы. Видно, что это не человек говорит сам, а читается заранее написанный текст.
Есть более тонкий психологический подход, когда с людьми говорят понятным, простым языком, приводят аргументы, убеждают. «Психологи» работают в чатах, выводят на диалоги людей, занимаются вербовкой. задача ботов — зародить каплю сомнения. А вот уже специальные люди должны ее развить.
— Где больше всего таких провокаций? В каких социальных сетях?
— В основном в Telegram. Эта площадка стала синонимом свободной информации. Такие серьезные вещи, как диверсии, обсуждаются в закрытых пабликах, куда приглашают «избранных» людей. В «ВКонтакте» и «Одноклассниках» подобный контент быстро блокируют.
— А у нас есть структуры наподобие ЦИПсО?
— Пока нет. Если брать преступления, совершаемые при помощи современных технологий, то с 2013 года их число неуклонно растет. Выросло примерно в 45 раз и на этом не останавливается. Поэтому этим вопросом заниматься нужно. Когда-нибудь и система поймет, что без этого цивилизацию не построить.
— Вроде, у нас есть киберполиция?
— Сомневаюсь, что создание киберполиции решит эту проблему. Потому что комплектование остается прежним.
— Но у нас же есть и пророссийские хакерские команды.
— Есть, но, чтобы совершить хакерскую операцию среднего уровня, вам потребуется состав хороших специалистов, это как минимум 20 человек. На той же стороне — армия, как я уже говорил, в 650 тысяч человек. Их много, и они даже без ботов, способны наворотить больших дел.
— В целом ситуация в IT-индустрии после начала СВО сильно изменилась?
— С началом СВО мы столкнулись с тем, что нас покинули не просто производители полосатых штанишек для спорта, французского вермута и других «ништяков» для тела и брюха, нас покинул самый главный принцип априорного доверия. То есть сейчас мы констатируем, что компания, являющаяся крупнейшим производителем софта и железа для информационных систем критической инфраструктуры по щелчку пальцев какого-то деда, сидящего на вашингтонском престоле, может сказать: «А нет, мы уходим из этой страны, мы ее просто бросаем. Мы ничего не будем обновлять. Мы убьем сертификаты, шифрования».
Ребята, вы международная транснациональная <span class="wp-tooltip" title="(лат corporatio — объединение сообщество) — широко распространенная в развитых странах форма организации предпринимательской деятельности предусматривающая долевую собственность и сосредоточение функций управления в руках в, если сегодня вам не может доверять Российская Федерация, значит, вам завтра не смогут доверять другие страны.
Западными санкциями был нарушен принцип априорного доверия. На этом принципе вообще строилась вся сеть, без этого принципа сеть будет идти на разделение на блоки, кластеры — будут рунет, китай-Интернет и т.д.