Огонь по своим отменяется? Рассказываем о хакерской группе Killnet, которая обещала «п**ду Беларуси», но вдруг сдала назад
18 апреля 2023 в 1681804500
«Зеркало»
Хакерская группировка Killnet 15 апреля объявила об аресте в Беларуси своего члена и лидера Anonymous Russia под ником Mr. Raty. «Не отпустят Рати - Беларуси п**да», - написал в своем телеграм-канале глава Killnet некто KillMilk. Позже никакой информации об освобождении хакера не появилось, но вот угрозы против Беларуси группировка удалила. Может быть, потому, что не решилась нападать на своих? Ведь официальная Беларусь - главный союзник Кремля, на поддержку которого направлена вся активность Killnet. Рассказываем, что это за организация.
Killnet - это киберпреступная группировка, которая известна проведением атак типа DDoS против сайтов государственных органов и частных компаний в странах ЕС и в США. На взломанных сайтах хакеры размещали пророссийские сообщения. Killnet открыто декларирует поддержку Кремля в войне, а кибератаки использует как способ борьбы с «врагами России».
Откуда взялась Killnet
До полномасштабной российско-украинской войны о Killnet, похоже, известно не было. Возникновение группировки изложено в докладах Insikt Group - исследовательского отделения Recorded Future, крупной американской частной разведывательной компании, специализирующейся на кибербезопасности.
Как рассказал изданию The Register аналитик Insikt Group Recorded Future Александр Лесли, до 2022 года постсоветское русскоязычное хакерское комьюнити более-менее представляло собой одно большое «братство», где хакеры сотрудничали и обменивались данными, добытыми преступным путем (реквизиты карт и прочее), ради общей наживы.
Но с началом войны это братство распалось: одни группы заняли сторону Украины, другие - России. Спустя год раскол, по словам Лесли, виден на всех уровнях русскоязычного кибер-андеграунда - на форумах и черных рынках дарквеба, в среде цифровых мошенников и вымогателей и, конечно, так называемых хактивистов.
В результате этого распада, похоже, и возникла группировка Killnet.
Пророссийская хакерская активность была замечена киберэкспертами с первого дня войны, но сначала на виду были, например, существовавшая ранее группа Stormous и новосозданная XakNet Team (это она атаковала в феврале 2022-го сайты украинских учреждений). Вскоре возник альянс Cyber Army of Russia («Киберармия России»), во главе которого встали XakNet и Killnet, в него вошли ZSecNet, Digital Cobra Gang и прочие. Хакерские группы занимались распространением пророссийской дезинформации, совершали DDoS-атаки на структуры в Украине и других странах, заявляли о похищении данных.
В итоге в марте вся эта волна вынесла в лидеры именно Killnet, которая стала доминировать и объединять под своей эгидой прочие хакерские группы.
При этом интересно, что большинство сайтов и аккаунтов в соцсетях, относящихся к Killnet, были созданы за месяц до войны - в конце января 2022 года, указывает в своем докладе Recorded Future. На ранних версиях сайта killnet.io рекламировалась «новая технология убийства сети - первый в мире децентрализованный ботнет» с применением блокчейна. Такая же реклама была на YouTube-канале хакеров.
Но вскоре группировка сменила профиль. Это буквально на днях подтвердил и сам ее основатель KillMilk.
«Мы появились за месяц до конфликта в Украине. Я занимался DDoS-атаками на заказ. Но когда я услышал новости о начале специальной военной операции, я закрыл свой сервис и отдал все свои ресурсы для противостояния», - рассказал KillMilk во фрагменте интервью Би-би-си, который сам же и опубликовал.
This browser does not support the video element.
Взлет группировки
Деятельность Killnet стала заметной в начале марта 2022 года еще в составе ботофермы Cyber Army of Russia, отмечают эксперты. Работа российских хакеров активизировалась в ответ на заявление мировой группировки Anonymous о том, что она объявляет кибервойну Российской Федерации. Вслед за этим Anonymous совершили атаку на сайт канала RT, обрушив его на сутки.
В начале марта хакерский аккаунт под названием Zatoichi заявил, что Killnet в ответ якобы обрушил сайт самих Anonymous (позже утверждалось, что он «лежал» целых десять дней), а также сайты президента Украины и «Правого сектора». После этого сама Killnet опубликовала видео, в котором человек со скрытым лицом и измененным голосом заявил об атаке на Anonymous и объявил этой группировке войну, а также призвал россиян не сомневаться в своей стране.
Если верить лидеру группировки, то первую атаку она совершила на украинские сайты еще в ночь начала войны - о причастности к ней KillMilk заявил намного позже, в апреле, в интервью Lenta.ru:
«Свой первый удар мы нанесли по домену gov.ua, что привело к падению всех поддоменов, на которых размещены сайты правительственных структур Украины, перестали работать примерно 67 ресурсов. Промежуточная мощность этой атаки составила 2,4 Тб/c. Это произошло за десять часов до начала специальной операции, и мы не афишировали эту акцию. Можно сказать, что тест оказался успешным», - заявил KillMilk.
17 марта Cyber Army of Russia заявила о похищении личных данных семи российских селебрити, которые якобы «предали Россию», а также о деаноне известного украинского блогера. А 22 марта уже собственно Killnet совершила атаку на МВД Латвии в ответ на арест в этой стране русскоязычного блогера Кирилла Федорова. Вслед за этим 24 марта группировка взяла на себя ответственность за атаки на правительственные ресурсы Польши в отместку за поставку помощи Украине.
В конце марта Killnet вышла на новый уровень и объявила об успешной кибератаке на международный аэропорт Брэдли в штате Коннектикут, США. Это был первый случай удара пророссийских хакеров по американской критической инфраструктуре с начала войны.
«Временно невозможно приобрести билет на перелет, мы приносим свои извинения Джо Байдену… Эта акция - не террор, а намек на то, что правительство Соединенных Штатов не является хозяевами миллионов жизней в Европе. Когда прекратится поставка оружия Украине, сразу же прекратятся и атаки на информационные сети вашей страны. Америка, тебя никто не боится», - такой пост появился в телеграм-канале группировки 29 марта.
Как раз после этого Killnet дистанцировалась от XakNet Team, начав развивать собственный «бренд», и к маю стала гегемоном в среде пророссийских хактивистов.
9 мая органы кибербезопасности США, Великобритании, Канады, Австралии и Новой Зеландии совместно признали Killnet угрозой критической инфраструктуре всего мира.
15 мая Killnet опубликовала видео, в котором объявила кибервойну правительствам десяти стран: Украины и поддерживающих ее США, Великобритании, Литвы, Латвии, Эстонии, Румынии, Германии, Польши, Италии.
«Правительство этих стран будет ликвидировано. Все хакерские группировки, которые идут против нас, российский спецназ-легион совместно с Killnet придет за вами на рассвете», - заявил представитель группировки.
Кто входит в Killnet
По информации экспертов из Recorded Future, Killnet основала целый ряд новых структур, таких как «Zаря», Mirai, Legion. Например, «Легион - Кибер Разведка» (он же «Киберспецназ») позиционирует себя как группа «патриотичных» хакеров, проводящих для Killnet операции по атаке целей по установленному списку. «Легион» в июне создал, по его заявлению, «элитный киберспецназ» Sparta, который занимается атаками в странах НАТО, разрушением интернет-ресурсов, киберразведкой, воровством персональных данных.
Интересно, что никнейм «Легиона» в Telegram - @Legion_Russia - соответствует твиттер-аккаунту, который называется Anonymous Russia, а это уже, как декларируется, другая группа, входящая в Killnet, - именно ее основателя якобы задержали белорусские силовики. Эксперты точно не знают, имеет ли место совпадение или это одна и та же группа.
В свою очередь, группа «Zаря», которая занималась в Killnet взломом целей, впоследствии вышла из группировки и сотрудничала с XakNet и якобы украинской женской хакер-группой «Берегини» для взлома украинских ресурсов, в том числе СБУ. Об этом всем рассказывал сам лидер «Zари». По его словам, среди пророссийских хакерских группировок очень много как белорусов, так и украинцев.
- Есть ли среди партнеров русских хакеров белорусы?
- Конечно. Очень много. Белорусы - наши братья. На них всегда можно положиться.
- Бывают ли перебежчики с украинской стороны?
- На удивление, их очень много. Мы с ними часто работаем - очень продуктивные ребята, оказывают неоценимую помощь.
Сейчас в Killnet, по оценкам специалистов, входят Anonymous Russia, Anonymous Sudan, Infinity Hackers BY и другие хакерские группы.
Anonymous Russia, основателя которой, со слов лидера Killnet, задержали в Беларуси, - группа с неясной историей. В прошлом десятилетии так называли себя хакеры, которые позиционировали себя как часть глобального движения Anonymous. В 2012-2015 годах они совершали атаки на сайты Кремля, Центробанка РФ, судов и так далее.
В августе 2014-го, как писала «Медуза», сообщалось, что двух новосибирских хакеров из Anonymous Russia задержали сотрудники ФСБ, но они раскаялись в содеянном и «оказали ФСБ помощь в предотвращении дальнейших компьютерных атак».
Нынешняя же Anonymous Russia то ли вообще не имеет к той отношения, то ли является следствием раскола или перехвата. Ведь глобальная Anonymous 24 февраля объявила России войну, а Anonymous Russia, наоборот, поддерживает Кремль и заявила о себе именно в сотрудничестве с Killnet, проводила с ней много атак.
К слову, изначально телеграм-канал этой группы имел адрес t.me/anon_by - в этом можно увидеть смысл, если ее основателем был действительно белорус из Гомеля, как говорят в Killnet. Но после предполагаемого задержания лидера 15 апреля весь контент из канала удалили, а вместо него завели новый - уже с адресом t.me/anon_russ, контроль над которым получил новый глава группы Radis, назначенный KillMilk'ом.
Белорусской группой также называют Infinity Hackers BY. Она дебютировала именно в сотрудничестве с Killnet. В одном из материалов сайта Газета.ру, который не раз публиковал интервью с KillMilk'ом, говорится, что коллектив, «по легенде», создан выходцами с малоизвестного хакерского форума Infinity. Руководитель департамента информационно-аналитических исследований компании по кибербезопасности T. Hunter Игорь Бедеров сказал изданию, что раньше не слышал об Infinity Hackers BY и, по его мнению, под этим именем могут скрываться белорусские IT-специалисты, действующие в интересах правительства страны. KillMilk же сообщил, что вместе с Infinity атаковал Налоговую службу США и намерен продолжать с ними «партнерство» до конца войны.
Всего эксперты Recorded Future обнаружили около 100 пророссийских хакерских групп, которые проявили себя с начала войны, но теперь практически все они не действуют (по крайней мере, от своего имени), активными к февралю 2023 года остались только пять крупнейших. Большинство оказались под «зонтиком» Killnet.
В интервью Lenta.ru лидер группировки KillMilk утверждал, что в ней состоят более 4500 человек.
Атаки почти по всему миру, но главные цели - Европа, США и НАТО
Большинство операций Killnet представляют собой DDoS-атаки на веб-сайты. При DDoS-атаке организатор генерирует достаточно большое количество запросов, чтобы перегрузить целевую страницу и лишить ее возможности отвечать на запросы. В итоге сайт перестает работать.
Также хакеры этой группировки занимаются внедрением программ, с помощью которых лишают жертву доступа к данным (обычно с помощью шифрования), что может привести к значительному нарушению работы систем и организаций.
Третье из основных направлений работы - взлом сайтов и систем для внедрения в них и (или) похищения данных.
Killnet и ее союзники заявляли о своей ответственности в более чем 50% случаев всех пророссийских хакерских атак, которые отследили аналитики Recorded Future с начала войны, в том числе атак на структуры США, Германии, Литвы и других государств, поддерживающих Украину.
Вот основные атаки:
- Польша - атака на Нацбанк 24−25 марта 2022-го и на налоговое ведомство в июле, впоследствии и на сайты других органов;
- Чехия - атаки на сайты госучреждений и телевидения в апреле 2022-го;
- Румыния - атаки на правительственные сайты в апреле - мае 2022-го;
- Молдова - атаки на сайты госорганов в конце мая 2022-го, а также в августе;
- Италия - неудачная попытка «положить» сайт «Евровидения» перед конкурсом в мае. После того как власти отбили эту атаку, группировка атаковала итальянские госсайты;
- Литва - хакеры 27 июня «положили» сайты разных ведомств и компаний в отместку за ужесточение Литвой санкций против России;
- Латвия - серия ударов в начале июля по госсайтам и сайту национального телевидения, которую источник The Times в НАТО назвал крупнейшей кибератакой в истории Латвии. Она была произведена после новостей о сносе советских памятников. Еще одна атака произошла в начале августа, после того как Латвия признала Россию государством - спонсором терроризма, под удар попал сайт парламента;
- Норвегия - атаки на сайты госучреждений и банков в конце июня;
- Эстония - безуспешные атаки в августе, системы защиты эстонских сайтов смогли их отразить;
- Япония - 6 сентября группировка заявила об атаке на более чем два десятка правительственных сайтов, а назавтра объявила Японии войну и заявила, что атаковала метро Токио и Осаки. Однако власти Японии заявили, что никаких утечек в результате не произошло;
- Болгария - атака на госсайты в октябре;
- Австрия - атака на сайты энергетических компаний в ноябре;
- Евросоюз - атака на сайт Европарламента 23 ноября, сайт был отключен семь часов. Эту операцию совершила группа Anonymous Russia;
- атака на больницы Нидерландов и еще нескольких стран Европы, а также США в конце января - начале февраля 2023 года.
Но особое внимание хакеры уделили США: кроме уже упомянутого аэропорта Брэдли 29 марта 2022-го, по их словам, они провели атаку на сайт Конгресса 7 июля, на военную компанию Lockheed Martin (производитель HIMARS) 3 августа, на правительственные сайты в нескольких штатах США и сайты аэропортов 5−10 октября.
16 декабря Killnet заявила о взломе сайта ФБР и якобы похищении всех паролей 10 тыс. сотрудников. А 16 января 2023-го Killnet вместе с якобы белорусской Infinity Hackers BY сообщили о взломе системы Налоговой службы США с помощью поддельного сайта PornHub. Сообщалось, что атака была ответом на агрессивную политику США против Минска.
Еще одна важная для хакеров цель - Германия. Атаки на нее начались в ответ на решение правительства Олафа Шольца поставить Украине танки Leopard 2. Killnet заранее призывала другие группировки присоединиться к этим операциям.
Были совершены атаки на сайты госорганов, аэропортов, компаний финансового сектора 26 января 2023-го, а также атака на авиакомпанию Lufthansa 15 февраля. Из-за нее произошли сбои в системе регистрации и задержки рейсов по всему миру (но в компании говорили, что дело в повреждении кабеля во Франкфурте).
«Мы убили корпоративную сеть сотрудников Lufthansa с помощью 3 млн запросов жирненьких пакетов данных в секунду. Это был опыт над крысами, который прошел успешно. Теперь мы знаем, как остановить работу любого аэропорта мира», - заявил об этом KillMilk.
В то же время, 16 февраля, была совершена атака на ряд аэропортов в Европе, ответственность за которую взяла на себя группа Anonymous Russia. По заявлению хакеров, была нарушена работа информационных систем аэропортов Эрфурт Биндерслебен, Ганновер, Дортмунд, Нюрнберг, Карлсруэ/Баден-Баден и Дюссельдорф (другие крупные аэропорты устояли). Кроме того, в эти же дни была атакована компания Scandinavian Airlines (SAS), ее сайт был отключен. Ответственность на себя взяла группировка Anonymous Sudan, которая также входит в Killnet.
В середине апреля также было атаковано бизнес-подразделение немецкого оружейного концерна Rheinmetall, который участвует в военной помощи Украине. Killnet о своей ответственности за это не заявляла, но в марте объявляла Rheinmetall целью для атак.
Killnet попыталась нанести удар и по НАТО. Первая атака на различные сайты Альянса, в том числе на сайт базы Рамштайн, произошла 13 февраля. Следующая - уже в апреле. Сперва ее громко анонсировали за 48 часов: Killnet пообещала «уничтожить НАТО в Сети». В дату атаки, 13 апреля, группировка заявила, что парализовала «40% электронной инфраструктуры НАТО», и разместила табличку с якобы имейлами и паролями сотрудников НАТО.
В тот же день Killnet декларировала, что получила доступ к закрытой системе управления обучением войск НАТО и список всех, кто проходил и должен пройти обучение на базах Альянса, включая бойцов ВСУ, а также учебники, карты и другие материалы. Группировка предложила НАТО заплатить 3 биткоина, чтобы архив не был опубликован: 1,5 пообещала отдать на поддержку бойцов «СВО», а вторую половину - на благотворительность детям. Чуть позже некие архивы действительно были опубликованы - судя по комментариям, в основном там были списки закупок для баз.
Killnet подконтрольна властям России?
На данный момент доказательств этого, похоже, нет. Эксперты по кибербезопасности в основном воздерживаются от прямых заявлений о связи Killnet с властями.
«В преддверии войны и сразу после ее начала мы выявили киберпреступную активность, которая, по нашему мнению, является делом рук российского государства. Русскоязычные группы, называющие себя "хактивистами", такие как Killnet и XakNet, почти наверняка активно участвуют в информационных операциях российских госСМИ против организаций и предприятий на Западе, вероятная цель которых - нагнетание страха и уменьшение поддержки Украины», - пишут о своих первоначальных выводах аналитики Recorded Future в своем январском докладе.
Но в дальнейшем они проводят разграничение между Killnet и XakNet со связанными с ней группами (Cyber Army of Russia Reborn и другими). Recorded Future ссылается на сентябрьский доклад другой авторитетной компании по кибербезопасности - Mandiant. Та пришла к выводу, что сеть XakNet координирует свои операции с ГРУ России. В частности, в некоторых атаках на украинские сайты было выявлено использование инструментов, которые ранее использовали хакеры, работающие с российской разведкой.
В сентябрьском материале Politico также говорится, что, хотя Killnet декларировала желание сотрудничать с властями России, на тот момент, по мнению издания, не было никаких знаков того, что группировка находится под прямым контролем госорганов.
При этом Politico отмечало, что даже если эти хакеры не подчиняются властям, их четкая прокремлевская позиция может в какой-то момент создать проблемы Москве.
«Это делает Россию потенциально ответственной за ущерб, причиненный такими атаками, если власти в Москве не дистанцируются от таких злонамеренных операций», - сказал изданию Патрик Павлак, исполнительный директор Института исследований безопасности ЕС.
А вот что говорит о себе и своих «коллегах» сам KillMilk:
«Я русский и я принял решение быть полезным своей стране настолько, насколько я могу. Это справедливо и для моих товарищей по Killnet»;
«Нас финансируют энтузиасты и патриоты своей страны. Эти люди не имеют никакого отношения к органам власти»;
«Говорил об этом раньше и скажу еще раз: этих связей [с российскими силовыми структурами] нет, как и в наших рядах нет людей в погонах».
Шум и паника
Как можно заметить, Killnet нередко прибегает к громким угрозам и пафосным заявлениям - они появляются как в каналах группировки, так и в интервью ее основателя, которых он раздал российским ресурсам необычно много для анонимного киберпреступника.
Например, лидера группировки в интервью спросили, дойдет ли в кибервойне до человеческих жертв.
«Да. И я буду первопроходцем, - ответил KillMilk. - В России я стану героем, а за рубежом - преступником. Скоро я и Killnet начнут мощные атаки на европейские и американские предприятия, которые косвенно приведут к жертвам. Я приложу все силы, чтобы эти регионы и страны ответили за каждого нашего солдата».
Еще примеры угроз от Killnet:
- собирались ликвидировать правительства 10 стран;
- обещали уничтожить НАТО в Сети;
- анонсируя атаку на Lockheed Martin, обещали «разрушительные последствия»;
- собирались «положить» трансляцию обращения Джо Байдена из Варшавы 21 февраля;
- наконец, требуя освободить якобы арестованного в Беларуси главу Anonymous Russia, KillMilk заявил, что Беларусь «в черном списке», у властей есть время до утра, иначе «Беларуси п**да». В Anonymous Russia пообещали направить на госорганы Беларуси все мощности, если их основателя не выпустят.
Однако НАТО в Сети не уничтожено, правительства десяти стран на месте, как и их сайты, Lockheed Martin продолжила нормальную работу, трансляция речи Байдена состоялась, а вот «п**да Беларуси» - нет: группировка вскоре удалила все угрозы в адрес белорусских властей, оставив лишь личные выпады в адрес некоего силовика, связанного с задержанием хакера.
Правда, полчаса не работал сайт Мининформа Беларуси, но он довольно часто ломается, а ответственность за это группировка на себя не взяла. Так что это вряд ли работа хакеров.
По мнению большинства экспертов, киберудары Killnet на практике вовсе не такие опасные и эффективные, как на словах. Например, ФБР после столкновения с группировкой назвало ее DDoS-атаки лишь «ограниченно успешными». Насколько можно судить по сообщениям о многочисленных вышеперечисленных атаках, они могли приводить к сбоям в работе сайтов и систем, но их довольно быстро восстанавливали. О каких-либо значимых утечках данных из-за хакеров не сообщалось.
Словом, специалисты по кибербезопасности описывают группировку скорее как неприятность, чем как угрозу. Подавляющее большинство атак, о которых заявляют пророссийские хактивисты, представляют собой относительно несложные распределенные атаки типа «отказ в обслуживании» (DDoS). Большинство стран, подвергшихся этим атакам, смогли отразить их или легко от них оправиться.
По мнению аналитиков, дело в том, что первоочередная цель хакеров - не столько взлом, повреждение, отключение сайтов и систем, сколько дезинформация и запугивание Запада, пропаганда, создание паники. Именно для этого группировка громко заявляет о своих «победах» и грамотным пиаром добивается того, чтобы это распространялось в соцсетях и СМИ. Только в основном телеграм-канале Killnet более 90 тыс. подписчиков.
«По нашим оценкам, большинство заявлений, сделанных пророссийскими хактивистами с 24 февраля 2022 года, являются ложными, вводящими в заблуждение или преувеличенными. Мы считаем, что угроза национальной безопасности со стороны пророссийских хактивистов заключается не в их атаках, а в их способности сеять панику и способствовать распространению российской пропаганды и дезинформации», - говорится в докладе Recorded Future.
Как пишут эксперты, влияние пророссийских хактивистов на войну России против Украины и на иностранную поддержку Украины даже при самой щедрой оценке можно назвать лишь незначительным.
Будущая киберармия России?
Тем не менее Killnet продолжает позиционировать себя как лидер пророссийской киберпреступной сферы и намерена расширяться. В середине марта ее лидер KillMilk объявил, что создает собственную «ЧВК» - частную военную хакерскую организацию Black Skills:
«Я запускаю новую структуру хактивизма по RU комьюнити. Это будет не просто движение со своими идеями. Это будет организационная машина со своими законами и целями, с дисциплиной и порядком. 24 подразделения со 100%-ной синхронизацией между собой. Единый блок с горячей линией 24/7 для приема обращений и заказов».
Со своей стороны, власти России также все более открыто говорят о возможном использовании помощи хакеров в войне. В феврале 2023-го депутат Госдумы РФ Александр Хинштейн сообщил, что Кремль рассматривает возможность предоставления юридического иммунитета «хакерам, действующим в интересах России», - то есть их могут официально освободить от уголовной ответственности за выгодные властям атаки.
«Мы считаем, что нынешний статус-кво, когда российские спецслужбы сотрудничают с киберпреступниками или маскируются под хакеров для правдоподобного отрицания [своей связи с атаками], не дал того разрушительного эффекта, на который рассчитывало российское государство», - отмечает аналитик Recorded Future Александр Лесли.
По мнению эксперта, из-за этого власти России уже в ближайшие месяцы могут отказаться от попыток отрицать работу с хакерами, освободить их от ответственности и признать кибератаки частью своей внешней политики.