Псевдохакеры-пропагандисты. Чем известна группировка "Солнцепек", атаковавшая Киевстар
Через несколько часов после официальной информации о сбое Киевстар руководство мобильного оператора сообщило, что причина сбоя – мощная кибератака. На следующий день, 13 декабря, ответственность за кибератаку взяли на себя российские хакеры из группировки "Солнцепек". О чем они сообщили в своем Telegram-канале.
"Мы уничтожили 10 тысяч компьютеров, более 4 тысяч серверов, все системы облачного хранения данных и резервного копирования. Мы атаковали Киевстар, потому что компания обеспечивает связью ВСУ, а также государственные органы и силовые структуры Украины. Остальным, которые помогают ВСУ, приготовиться!" – говорится в сообщении. Хакеры также поблагодарили "неравнодушных сотрудников Киевстара", намекая на причастность "инсайдеров", и опубликовали ряд скриншотов якобы сломанных сетей.
В СБУ подтвердили, что к атаке причастна российская "псевдохакерская группировка": "Она является хакерским подразделением Главного управления генштаба вооруженных сил РФ (более известного как ГРУ), которое таким образом публично легализует результаты своей преступной деятельности".
В Киевстаре опровергли, что персональные данные абонентов Киевстара скомпрометированы. Данные в безопасности, и системы, в которых они хранятся, не пострадали от хакерской атаки, отметили в компании. В ночь 13 декабря гендиректор оператора Александр Комаров подтвердил, что хакеры поразили Киевстар через скомпрометированную учетную запись одного из сотрудников.
Liga.Tech разобралась, кто стоит за атакой.
След ГРУ
В начале ноября вышел отчет американской компании по кибербезопасности Mandiant, дочерней компании Google, где упоминалась группировка Sandworm, причастная к атакам на Украину. Как и "Солнцепек", Sandworm осуществляли атаки и шпионили при поддержке Главного разведывательного управления России (ГРУ) по крайней мере с 2009 года. Центром нападений была Украина, которую хакеры атаковали за последнее десятилетие с использованием вредоносного программного обеспечения Wiper. Группировка действует и за пределами Украины.
Sandworm фактически является частью ГРУ и принадлежит к воинской части 74 455 российской разведки. По данным Mandiant, минувшей осенью они атаковали инфраструктуру украинской энергетики одновременно с ракетными обстрелами. Они ответственны и за вирус NotPetya 2017 года. Госспецсвязи связывает деятельность Sandworm и "Солнцепека" "с высоким уровнем уверенности".
По данным Госспецсвязи, к ГРУ причастны еще несколько группировок. Это UAC-0056 (ГРУ), UAC-0028 (APT28/ГРУ), UAC-0144/UAC-0024/UAC-0003 (Турла/ГРУ).
Хакеры-пропагандисты
"Солнцепек" имеет канал в Telegram с апреля 2022 года, первая публикация – июнь того же года. Канал регулярно публикует частные данные якобы украинских военнослужащих с фотографиями и обвинениями, которые невозможно подтвердить. Пример: В интервью на телеканале Украина-24 заявил: "Я своим врачам дал указание всех мужчин (российских военных) кастрировать, потому что это тараканы, а не люди".
У канала есть список атак, причастность к которым признают его авторы. Это атака на Суспільне за "тиражирование лживых тезисов украинских властей", атака на ЗАО "Оболонь", которое "занималось поставками продукции ВСУ и органам власти Украины", взлом Госстата за "учет мужчин призывного возраста", речь идет о "уничтожении системы стратегической радиоэлектронной разведки" ГУР МО", атака на поставщика электроэнергии "последней надежды", украинские банки, интернет-провайдеров.
Риторика "Солнцепека" не отличается от российских пропагандистов (далее – языком оригинала): "25 мая нами взломаны все районные, городские и областные администрации Украины. В результате атаки удалось достать все внутренние документы и всю переписку, в которых мы нашли многочисленные подтверждения тотальной коррупции на всех уровнях власти Украины. На сайтах администраций размещено фото Зеленского в привычном ему амплуа КЛОУНА!!!". Это характерные утверждения о президенте Владимире Зеленском и "тотальной коррупции" в Украине.