Бывшие сотрудники СБУ в Автономной Республике Крым входят в наиболее активную хакерскую группировку, которая работает против Украины. К такому выводу пришли в Государственной службе специальной связи и защиты информации Украины.
Как отмечается в аналитическом отчете Госспецсвязи Russia's Cyber Tactics H1'2023, больше всего кибератак на Украину (только в 2022 году — более 100), осуществила группа Armageddon / Gamaredon.
К Gamaredon принадлежат хакеры ялтинского подразделения ФСБ — бывшие сотрудники СБУ в АРК, которые перешли на сторону врага. Основной целью Gamaredon является шпионаж.
Отличительной чертой фишинговых рассылок группировки является высокий уровень их подготовки: знание украинского контекста и понимание специфики работы тех или иных организаций.
Эта группировка атакует государственный сектор, государственные предприятия, сектор безопасности и обороны и правоохранительные органы. Например, хакеры Gamaredon пытаются получить доступ ко всем возможным базам данных и добыть максимум информации об автомобилях, их передвижениях, камерах наблюдения, ситуации на дорогах, арестах и тому подобное.
При этом, Gamaredon удалось значительно увеличить общее количество операций. Если за весь 2022 год CERT-UA зарегистрировала 128 случаев, то только за первое полугодие 2023 года — уже 103. Однако не все из них были настолько успешными, как раньше.
Еще одна активная хакерская группа — Sandworm / UAC-0002 (UAC-0082 / UAC-0165), деятельность которой ассоциируется с Главным управлением Генштаба ВС РФ (ранее — ГРУ). В январе 2023 года эта группировка осуществила кибератаку на Украинское национальное информационное агентство УКРИНФОРМ. В апреле 2022 года — на один из энергетических объектов Украины с использованием вредоносных программ Industroyer2 и CaddyWiper.
В прошлом году также много кибератак пыталась осуществить группа UAC-0056 (Pandora hVNC, RemoteUtilities, GrimPlant, GraphSteel): хактивисты-кибершпионы из РФ. Например, в течение 2022 года было несколько случаев рассылки опасных писем с ВПО (вредоносное программное обеспечение). Рассылку, в частности, осуществляли со скомпрометированных электронных адресов государственных органов Украины.
Группа UAC-0098 (TrickBot - группа ассоциированная с РФ): финансово мотивированная в прошлом хакерская группа, которая в настоящее время действует в интересах правительства РФ. Например, в апреле 2022 года осуществляла кибератаку на государственные организации Украины путем рассылки опасных электронных писем с использованием темы “Азовстали” и вредоносной программы Cobalt Strike Beacon.
Группировка UAC-0035 (InvisiMole). Этих хакеров связывают со Службой внешней разведки РФ. Группа осуществляет медленные и “тихие” атаки, направленные на шпионаж. Их основной мишенью являются высокопоставленные чиновники, дипломаты и другие специалисты, которые имеют доступ к наиболее чувствительной информации. Поскольку такие “тихие” атаки сложнее обнаружить, они могут иметь более критические последствия.
Часто направляют свои усилия против Украины хакеры группировки UAC-0028 (АРТ28) (также известной как Pawn Storm, Fancy Bear, BlueDelta). Ряд исследователей связывают их со спецслужбами РФ.
Группа UAC-0100: мошенническая группа, действует с целью похищения средств граждан Украины. Мошенническая активность, осуществляемая неустановленной группой лиц путем создания фейковых веб-страниц и страниц в социальных сетях с использованием тематики “денежных пособий”, “компенсаций”, “опросов”.
В первой половине 2023 года команда реагирования на компьютерные чрезвычайные происшествия CERT-UA зафиксировала постоянную деятельность не менее 23 российских кибертеррористических хакерских групп. Все они преследуют различные цели, в том числе и военные, и атакуют государственный и частный секторы.
В целом, в 2023 году наиболее активными группировками были:
Практически все крупнейшие зарегистрированные кибератаки были ассоциированы с этими APT-группировками.