Рассказ New подкасты от BlackMast

[BlackMAST]

Вступить в наш чат

Эта история началась еще летом. Эстония попала под волну кибератак из-за того, что снесла несколько советских памятников.

«В августе 2022 Эстония подверглась самым масштабным кибератакам, с которыми она сталкивалась с 2007 года», — написал в Twitter заместитель министра экономики и коммуникаций Эстонии Луукас Ильвес.

Ильвес также сказал, что ддосу подверглись не только правительственные сайты, но и частные учреждения.

Ответственность за атаки взяла на себя российская хакерская группа Killnet, заявившая в своей учетной записи Telegram, что она заблокировала доступ к более чем 200 государственным и частным эстонским учреждениям, таким как онлайн-система идентификации граждан.

Killnet, заявившая об аналогичной атаке на Литву в июне, заявила, что действовала после того, как во вторник в городе Нарва, недалеко от границы Эстонии с Россией, была изъята из публичного обозрения копия советского танка Ту-34 времен Второй мировой войны и доставлена в Эстонию.

Ранее эстонское правительство распорядилось о скорейшем сносе всех общественных мемориалов советской эпохи в преимущественно русскоязычном городе, сославшись на растущую там напряженность и обвинив Москву в попытке использовать прошлое для разделения эстонского общества.
Напряженность вокруг советских памятников

При DDoS-атаке хакеры пытаются завалить сеть необычно большими объемами трафика данных, чтобы парализовать ее, когда она больше не может справляться с объемом запрошенных данных.

Эстония, член Европейского союза и НАТО, приняла меры по усилению кибербезопасности в 2007 году после масштабных DDoS-атак на публичные и частные веб-сайты, ответственность за которые она возложила на российских субъектов, разгневанных его удалением во время еще одного памятника советской эпохи.

​

Как и ее балтийские соседи, Эстония снесла множество памятников, прославляющих Советский Союз или коммунистических лидеров, с тех пор, как страна восстановила независимость в 1991 году.

Правительство и многие эстонцы рассматривали памятник в Таллинне как болезненное напоминание о 50-летней советской оккупации, в то время как некоторые этнические русские рассматривали его снос как попытку стереть свою историю.

Эти события напомнили о том, как в 2007 году группа русских хакеров уже совершала кибератаку на Эстонию. В следующем выпуске расскажем о том, какой ущерб понесло правительство Эстонии, а также удалось ли им раскрыть и наказать нарушителей.

​

 

[BlackMAST]

Прошлым летом российская хакерская группа, известная как Cold River, атаковала три ядерные исследовательские лаборатории в Соединенных Штатах, согласно интернет-записям, просмотренным Reuters и пятью экспертами по кибербезопасности.

В период с августа по сентябрь, когда Владимир Путин указал, что Россия будет готова использовать ядерное Орудие для защиты своей территории, Cold River нацелился на национальные лаборатории в Брукхейвене (BNL), Аргонне (ANL) и Ливерморе Лоуренса (LLNL). {акеры создают поддельные страницы входа для каждого учреждения и рассылают электронные письма ученым-ядерщикам, пытаясь заставить их раскрыть свои пароли.

Кто такие Cold River

Cold River впервые попала в поле зрения специалистов разведки после нападения на министерство иностранных дел Великобритании в 2016 году. За последние годы она была замешана в десятках других громких хакерских атак. Агентство Reuters отследило учетные записи электронной почты, использованные в его хакерских операциях в период с 2015 по 2020 год, до ИТ-специалиста в российском городе Сыктывкар.

«Это одна из самых важных хакерских групп, о которых вы никогда не слышали», — сказал Адам Мейерс, старший вице-президент по разведке американской компании по кибербезопасности CrowdStrike. «Они участвуют в прямой поддержке информационных операций Кремля».

Западные чиновники заявляют, что российское правительство является мировым лидером в области хакерских атак и использует кибершпионаж, чтобы шпионить за иностранными правительствами и отраслями, чтобы получить конкурентное преимущество. Однако Москва последовательно отрицает, что проводит хакерские операции.

В мае Cold River взломал и слил электронные письма, принадлежащие бывшему главе британской разведывательной службы МИ-6. Это была лишь одна из нескольких операций «взлома и утечки», проведенных в прошлом году хакерами, связанными с Россией, в ходе которых конфиденциальные сообщения были обнародованы в Великобритании, Польше и Латвии.

По данным французской фирмы по кибербезопасности Sekoia.io, во время другой недавней шпионской операции, направленной против критиков Москвы, компания Cold River зарегистрировала доменные имена, имитирующие как минимум три европейские неправительственные организации, расследующие военные преступления.

Попытки взлома, связанные с неправительственными организациями, имели место непосредственно перед и после опубликования 18 октября доклада независимой следственной комиссии ООН, в котором было установлено, что российские силы несут ответственность за «подавляющее большинство» нарушений прав человека в первые недели войны на Украине.

​

 

[BlackMAST]

Вступить в наш чат

Пророссийская хакерская группа взяла на себя ответственность за временное закрытие нескольких веб-сайтов аэропортов США.

Кибератаки, о которых заявила Killnet, затронули, в частности, веб-сайты Los Angeles International, Chicago O'Hare и Hartsfield-Jackson International в Атланте.

Хакеры разместили список аэропортов в Telegram, призывая хакеров участвовать в так называемой DDoS-атаке — распределенном отказе в обслуживании, когда компьютерная сеть переполняется одновременными передачами данных.
Кто пострадал

Призыв хакеров к действию включал аэропорты по всей стране, включая Алабаму, Аризону, Арканзас, Калифорнию, Колорадо, Коннектикут, Делавэр, Флориду, Джорджию, Гавайи, Айдахо, Иллинойс, Индиану, Айову, Канзас, Кентукки, Луизиану, Мэриленд, Массачусетс, Мичиган, Миннесота, Миссисипи и Миссури.

Не сразу стало ясно, сколько аэропортов действительно пострадало и все ли сайты пострадавших пострадали.

В Атланте власти заявили, что ATL.com «заработал после инцидента рано утром, который сделал его недоступным для публики». Но люди в Твиттере продолжали жаловаться на то, что части сайта были недоступны в течение нескольких часов после того, как было сделано объявление.
Какие ещё атаки сделали Killnet

В более раннем сообщении Killnet отметил другие уязвимые сайты США, которые могут подвергнуться аналогичным DDoS-атакам, включая морские терминалы и логистические объекты, центры мониторинга погоды, системы здравоохранения, системы метро, а также биржи и системы онлайн-торговли.

Хакеры поздравили несколько команд, которые помогли вывести сайты из строя, написав: «Кто участвовал в ликвидации Соединенных Штатов Америки, не останавливайтесь !!»

Вследствие расширения и сплочения этой группы последовала очередная волна кибератак на государственные сайты штатов.

​

 

[BlackMAST]

Вступить в наш чат

Группировка NoName057(16) утверждает, что они атаковали центральный банк Дании, министерство финансов и 7 частных кредиторов. Хакеры объяснили взломы тем, что «Дания поддерживает украинских неонацистов».

Что произошло

В январе русские хакеры заявили, что они ответственны за кибератаки на сайты Дании. В этот раз взлом осуществляли не Killnet, которые еще в декабре взломали сайт ФБР США, а хакеры из группировки NoName057(16).

Взлому подверглись интернет-странички ЦБ Дании и семи частных банков. Также хакеры атаковали сайт Минфин Дании.

В чем причина

Для разъяснения своих действий группировка представила анонимного представителя, который рассказал, что поддержка Украины Данией стала причиной многочисленных атак на важные сайты государства.

«Дания поддерживает украинских неонацистов, — заявила группировка местным СМИ. — Этого достаточно, чтобы мы начали атаку на важнейшую инфраструктуру вашей страны. Банковский сектор был выбран потому, что он является одним из важнейших компонентов этой критически важной инфраструктуры».
Что было взломано

Из-за кибератак пострадали многие банки:

Danske Bank
Jyske Bank
Sydbank
Sparekassen Sjælland-Fyn
Bankinvest
Arbejdernes Landsbank
Handelsbanken

Атаки происходили с 9 по 11 января. Целых три дня большинство банков Дании были полностью или частично недоступны как для администрации, так и для клиентов.

Группа также взяла на себя ответственность за еще одну атаку на Национальный банк Дании, однако заявила, что это заявление не было опубликовано по ее официальным каналам, поскольку атака не нарушила глобальную работу веб-сайта.

Датские эксперты по кибербезопасности ранее выразили подозрения в отношении хакерской группы Killnet за ее роль в атаках.


Заключение
Друзья, благодарим, что вы с нами и активно следите за новостями в мире киберпреступлений. Мы продолжаем следить за развитием событий и будем держать вас в курсе. Как вы думаете, какой следующий ход стоит ожидать от Killnet и NoName057(16)?

​

 

[BlackMAST]

Вступить в наш чат

Суд освободил под залог гражданина России Михаила Шаргена, который был арестован CBI за предполагаемый взлом экзаменационного программного обеспечения JEE. Хакерской атакой воспользовались более 800 абитуриентов.

Освобожден под залог

25-летний Шарген, арестованный 3 октября, якобы вмешался в программное обеспечение iLeon, платформу, на которой проводился экзамен JEE (Main)-2021, чем помог абитуриентам успешно пройти вступительные испытания. Шарген был одним из участников большой схемы, специализировавшийся на взломе онлайн-экзаменов.

По словам чиновников, суд CBI принял к сведению тот факт, что все остальные сообвиняемые по делу были освобождены под залог, в том числе те, кто напрямую контактировал с кандидатами и их родителями для получения денег и документов. Аргументы CBI о том, что роль Шаргена не соответствовала роли других обвиняемых, поскольку он сыграл важную роль во взломе программного обеспечения, были отклонены судом.

«Только потому, что заявитель является иностранным гражданином, ему не может быть отказано в освобождении под залог, особенно когда его паспорт уже изъят следственным органом», — заявил суд, разрешая ходатайство об освобождении под залог.

Суд разрешил освободить Шаргена под личное поручительство в размере одного миллиона рупий (891 тысяча рублей) и под залог.
В чем обвиняется

Шарген был арестован 3 октября по прибытии в международный аэропорт имени Индиры Ганди из Алматы, Казахстан. В сентябре прошлого года агентство арестовало Affinity Education Pvt Ltd и трех ее директоров Сиддхарта Кришну, Вишвамбхара Мани Трипати и Говинда Варшни, а также других рекламщиков и сообщников за предполагаемое манипулирование экзаменом.

Утверждалось, что три директора в сговоре с другими партнерами и рекламщиками манипулировали онлайн-экзаменом JEE (Mains) и содействовали поступающим студентам в лучшие национальные технологические институты в обмен на огромные суммы денег. Раньше они решали вопросы через удаленный доступ из выбранного экзаменационного центра в Сонепате (Харьяна).

«Утверждалось также, что обвиняемые в целях безопасности получали листы с отметками для 10-го и 11-го классов, идентификаторы пользователей, пароли и чеки абитуриентов в разных частях страны. Cумма варьируется от 12-15 лакхов (более 1 миллиона рублей) на кандидата», — говорится в сообщении CBI.

Что с хакером сейчас

Расследование до сих пор ведется, суд устанавливает виновность Михаила Шаргена. В данный момент он отпущен под залог за неимением достаточного количества доказательств. Команда BlackMast следит за развитием событий.
​

 

[BlackMAST]

Вступить в наш чат


Что произошло

Несколько немецких аэропортов заявили 16 февраля, что их веб-сайты не работают из-за предполагаемых кибератак. Аэропорты в Дюссельдорфе, Нюрнберге и Дортмунде были взломаны.

Сайты стали мишенью так называемых атак «распределенного отказа в обслуживании» (DDoS- атака), предназначенных для того, чтобы перегрузить цель потоком интернет-трафика, препятствуя нормальному функционированию системы.

«Сайт перегружен огромным спросом», — сказал представитель аэропорта Нюрнберга, добавив, что «неясно», когда он вернется к нормальной жизни.
Кто за этим стоит

Немецкое новостное издание Der Spiegel сообщило, что ответственность за атаку взяла на себя группа российских хакеров, хотя власти не прокомментировали, кто именно взломал сайты аэропортов.

Германия находится в состоянии повышенной готовности к российским кибератакам с тех пор, как Россия начала спецоперацию на Украине.

Были ли еще атаки

В прошлом месяце веб-сайты аэропортов, органов государственного управления и организаций финансового сектора подверглись кибератакам, которые, по словам властей, были спровоцированы российской хакерской группой.

Федеральное управление информационной безопасности заявило в октябре, что уровень угрозы хакерских атак и других киберпреступлений был выше, чем когда-либо.

Заключение

Русские хакеры активно взламывают структуры Германии. На прошлой неделе немецкий авиационный гигант Lufthansa был вынужден отменить или задержать рейсы из-за серьезного сбоя в работе ИТ, вызванного строительными работами во Франкфурте, где находится его главный офис. Не исключено, что это тоже кибер-атака от хакеров из России.

Команда BlackMast внимательно следит за развитием событий и оперативно рассказывает о новых взломах.

​

 

[BlackMAST]

Вступить в наш чат

Что произошло

Нэнси Файзер, министр внутренних дел Германии, сообщила, что Германия сейчас подвержена «огромной опасности» со стороны русских хакеров. Риск диверсий, дезинформации и шпионских атак высок как никогда.

В своем сообщении Файзер заявила, что Владимир Путин вкладывает огромные ресурсы в кибератаки, что является ключевой частью его тактики. «Война усугубила проблемы кибербезопасности. Участились атаки пророссийских хакеров», — сказала она в интервью новостной сети Funke Mediengruppe, опубликованном в воскресенье.

Нэнси Файзер, министр внутренних дел Германии


По словам Файзер, опасность спонсируемой и управляемой государством шпионской и диверсионной деятельности со стороны России остается очень высокой. Министр внутренних дел призвала федеральное и региональное правительства к совместной работе по отражению кибератак. «Мы конкурируем с постоянно новыми способами атаки и технологиями», — сказала она.
В чем причина

С тех пор, как Германия начала поддерживать Украину поставками Орудия и введением санкций против России, кибератаки участились, в частности, против поставщиков энергии и военных организаций. Эксперты по безопасности предупреждают о значительной опасности, которую они представляют для внутренней безопасности Германии, в частности, о способности кибератак атаковать критически важную инфраструктуру, а также политические операции, такие как Бундестаг. Также недавно российские хакеры взломали сайты аэропортов Германии, об этом мы писали в предыдущем выпуске.

Немецкий парламент стал целью одной из крупнейших кибератак, с которыми когда-либо сталкивалась Германия, в мае 2015 года, когда была атакована внутренняя компьютерная система, украдены данные и отключены офисы депутатов. Предполагается, что за атакой стоит ГРУ, российская военная разведка.

Были ли еще атаки

В 2020 году был взломан личный кабинет бывшего канцлера Ангелы Меркель. Тот взлом она назвала «возмутительным».

Хакерская группировка Ghostwriter, которая якобы находится под контролем российских спецслужб, вскоре после начала спецоперации провела несколько взломов в Германии. В последние недели кибератаки были совершены на все инфраструктуры: от аэропортов до администрации мэрии. Российская группа Killnet недавно объявила, что планирует обратить более пристальное внимание на разрушение жизни в Германии.

Эксперты в области цифровых технологий заявили, что Германия находится в состоянии «постоянного огня» со стороны хакеров. Финансовые институты, заводы по производству вооружений, поставщики энергии, гуманитарные организации и налоговые органы стали объектами атак. Эксперты говорят, что атаки часто хорошо замаскированы и определить их местоположение не так просто.

Вольфганг Вин, вице-президент берлинской службы внешней разведки BND, предупредил на конференции по безопасности в Потсдаме прошлым летом, что в цифровой мир Германии проникли хакеры из России и Китая. «Россия в наших сетях, Китай в наших сетях», — сказал он.
Как меняется ситуация

Марк Кортхаус из берлинской компании по информационной безопасности Sys11 сообщил газете Frankfurter Allgemeine, что атаки становятся все более политизированными. По словам Кортхауса, когда в этом месяце Германия приняла решение поставить Украине танки Leopard 2, количество атак на немецкие цели резко возросло.

«Атаки — предупредительный сигнал, и мы должны отнестись к этому серьезно». По его словам, за более простыми атаками часто следовали более технически сложные, причем первоначальные атаки часто рассматривались хакерами как «прощупывание почвы».

Александр Вуккевич, директор лабораторий защиты компании по информационной безопасности Avira: «Каждый раз, когда Европа усиливает свои санкции против России или ускоряет помощь Украине, хакеры усиливают свои атаки».

Когда Бундестаг проголосовал за поставки танков, была аналогичная активность, хотя парламент смог отразить атаки на свою собственную сеть. Во время Мюнхенской конференции по безопасности, на которой главной темой обсуждения было российское вторжение в Украину, хакеры атаковали ИТ-системы НАТО. Когда Болгария заявила, что поддерживает Украину, Killnet атаковала правительственные компьютеры в Софии, сказал Вуккевич.
Заключение

Похоже, что российские хакеры перешли в режим полной боевой готовности. Атаки на Германию становятся все более точными и болезненными для инфраструктуры страны.

В своих сообщениях хакерские группировки уточняют, что действуют лишь по политическим причинам. Разрушение привычной жизни жителей Германии является следствием действий их правительства. Команда BlackMast внимательно следит за развитием ситуации и каждую неделю рассказывает о новых кибератаках русских хакеров.​