Члени російського угруповання KillNet здійснили кібератаку на сервіси провайдера Starlink та сайт Білого Дому. Щоб вивести їх зі складу, росіяни вдалися до масованої DDoS-атаки.
приклад того як виглядав сайт під час атаки
Члени угруповання оприлюднили скріншот, де видно, що веб-ресурс Білого дому недоступний. В хакерській групі також зазначили, що колективна тестова атака на сайті Білого дому тривала 30 хвилин. Довше утримувати сайт у непрацездатному стані у хакерів не виходило, оскільки вони не брали до уваги чутливість системи фільтрації до явних надходжень шкідливого трафіку. Від DDoS-атак веб-ресурс Білого дому захищено військовою системою виробництва Automatic Inc.
Перенаправлення рекламного домену Fangxiao
Атака Killnet на послуги Starlink призвела до того, що протягом деякого часу абоненти не мали змоги авторизуватися на сайті. Російські хакери назвали адміністраторів веб-ресурсу «рабами Ілона Маска». Вони оперативно відновили функцію авторизації, проте увійти на сайт абоненти все одно не могли через відключену, російськими хакерами базу даних.
Фінансове відомство вважає, що спрямовану проти нього DDos-атаку здійснювало російське угруповання Killnet. Голос Америки повідомив, що Міністерство фінансів США минулого місяця відбило кібератаки російського хакерського угруповання. Про це стало відомо 1 листопада. Атака не завдала значних збоїв і її вдалося вчасно відбити. Про це заявив представник міністерства фінансів Тодд Конклін.
Російське угруповання Killnet взяло на себе відповідальність за порушення роботи веб-сайтів в деяких американських штатах і аеропортах. Міністерство фінансів Сполучених Штатів Америки приписує цьому угрупуванню вчинені DDos атаки проти них.
Конклін охарактеризував атаку на Мінфін як “Досить низькорівневу DDoS-активність, спрямовану на вузли критичної інфраструктури Мінфіну”.
Після цього він зазначив наступне:“Відповідно до нових процедур, ухвалених при адміністрації Байдена, Мінфін швидко надав IP-адреси, використані в атаці”.
Інцидент стався за кілька днів до аналогічних атак Killnet на американські фірми, які надають фінансові послуги.
Нагадаємо, напередодні група російських хакерів атакувала сайт парламенту Ізраїлю перед виборами в країні. Атаку було відбито. Ще раніше російські хакери атакували сайти президента, уряду, деяких ключових міністерств та Конституційного суду Болгарії.
Минулого тижня, після злому компанії з інформаційної безпеки Entrust, хакерська група LockBit зазнала потужної DDoS-атаки. Зараз хакери кажуть, що покращили захист від DDoS і планують у майбутньому зайнятися потрійним здирством, використовуючи такі атаки як додаткові важелі впливу на жертв.
Нагадаю, Entrust було зламано ще у червні 2022 року. Тоді компанія підтвердила ЗМІ, що Entrust зазнала атаки програми-вимагача, під час якої з її систем було викрадено дані. Крім того, на сайті, який хакерська група LockBit використовує для витоку даних, є розділ, присвячений Entrust. Зловмисники заявили, що збираються опублікувати там всю вкрадену в компанії інформацію. Зазвичай такі дії означають, що компанія-жертва відмовилася вести переговори з вимагачами або виконувати їхні вимоги.
Однак невдовзі після публікації даних Tor-сайт хакерів вийшов з ладу, і група повідомила, що зазнала DDoS-атаки саме через злом Entrust. Справа в тому, що DDoS супроводжується повідомленнями: DELETE_ENTRUSTCOM_MOTHERFUCKERS.
Lockbit: "We're being DDoS'd because of the Entrust hack"
vx-underground: "How do you know it's because of the Entrust breach?"
Як зараз пишуть журналісти Bleeping Computer, представник групи, відомий як LockBitSupp, повідомив, що група знову працює з серйознішою інфраструктурою, і тепер сайт витоку даних не боїться DDoS-атак.
Більше того, хакери заявили, що сприйняли цю DDoS-атаку як можливість вивчити тактику потрійного викупу, яка може стати в нагоді їм у майбутньому. Адже за допомогою DDoS-атак можна зробити додатковий тиск на жертв з метою виплати викуп (крім шифрування даних та загроз опублікувати вкрадену інформацію у відкритому доступі).
Шукаю дудосерів у команду, швидше за все тепер ми будемо атакувати цілі і вимагати потрійного викупу: шифрування + витік даних + дудоси, тому що я відчув силу дудосів і як це бадьорить і робить життя цікавішим.”- LockBitSup пише на форумі хакерів.
LockBit також пообіцяв поширювати всі вкрадені в Entrust дані через торрент на 300 ГБ, щоб “весь світ дізнався про ваші секрети”. При цьому представник групи пообіцяв, що спочатку хакери ділитимуться даними Entrust у приватному порядку з усіма, хто з ними зв’яжеться. Журналісти зазначають, що у вихідні LockBit вже випустив торрент під назвою «entrust.com», що містить 343 ГБ інформації.
Що стосується захисту від DDoS-атак, то одним із методів, що вже реалізовані хакерами, є використання унікальних посилань у записках з вимогою викупу.
“Вже реалізована функція рандомізації посилань у нотатках локера, кожна збірка локера матиме унікальне посилання, яке дудосер не зможе розпізнати”, – говорить LockBitSupp.
Хакери також заявили про збільшення кількості дзеркал і резервних серверів, а також планують підвищити доступність вкрадених даних, опублікувавши їх у звичайному інтернеті та використовуючи для цього «куленепробивний» хостинг.
Як би це дивно не звучало, але повномасштабна агресія росії почалась задовго до 24 лютого. 15 січня було атаковано сайти міністерств та додаток “Дія”, а місяць по тому українські банки повідомили про потужні DDoS атаки. Однак і після вторгнення військ країни-терориста кіберпростір не перестав бути полем битви. Українські ентузіасти, хакери-одинаки та міжнародні угрупування на кшталт Anonymous почали невидиму війну з росією. До процесу приєдналися і міжнародні компанії, які мають вагомий вплив у Інтернеті. Фактично, це перша війна що проходить не лише на суші, у повітрі та на морі, але й у кіберпросторі. Давайте розглянемо ключові події, що мали місце на кіберфронті.
Як війна змінила інтернет-простір?
Окрім рядових користувачів, до інформаційної війни приєдналися такі впливові угрупування як Anonymous. Хакери Anonymous опублікували звернення до Володимира Путіна в якому оголосили кібервійну його агресивному режиму. Саме вони зламали сайт Міноборони РФ та оприлюднили базу даних особистими даними його співробітників.
The Anonymous collective is officially in cyber war against the Russian government. #Anonymous#Ukraine
Згодом до цієї війни приєднались такі IT гіганти як Apple, Google, Meta, Twitter та інші впливові компанії. Таким чином на Facebook були додані нові функції, що не дозволяє переглянути список друзів профілю, заборонили рекламу російських медіа та демонетизували їхні профілі.
Також YouTube відключили монетизацію для усіх російських користувачів, а також заблокував пропагандистські російські канали в Україні. Apple своєю чергою можливість використовувати карти “мир” у сервісі Apple Pay. Google відключили деякі функції Google Map в Україні, для забезпечення безпеки громадян та автоматично посилили захист облікових записів Google для українців.
Більшість онлайн сервісів, такі як VPN провайдери, підтримали Україну, надавши безплатний доступ до своїх послуг для українців. Це лише незначна частина усіх тих подій, які відбувалися у кіберпросторі упродовж повномасштабного вторгнення.
Однак дуже багато кібератак було спрямовано зі сторони Росії на українців. Зазвичай це були спам розсилки на пошти українців від імені державних структур. Хоча більшість атак спрямовано на те, щоб заволодіти конфіденційними даними українців, деякі робляться, щоб розповсюдити дезінформацію. Таким чином, 27 лютого, Meta повідомила, що зупинила хакерські атаки на Україну зі сторони Білорусі та Росії.
Приклад повідомлення, яке отримували українці
В березні група Anonymous зламала стрімінгові сервіси Wink і IVI в Росії, після чого замість фільмів були показані кадри російських бомбардувань в Україні. Також ця група зламала базу даних Роскомнагляду та оприлюднила понад 360 тисяч файлів, а через декілька днів їм вдалося завантажити декілька ГБ закритих даних російської компанії “Росатом”. 5 березня Anonymous припинила роботу вебсайту fsb.ru
Згодом такі компанії як Rockstar Games, Activision Blizzard, Electronic Arts, CD Projekt припиняють продаж своїх продуктів на території РФ. А Ігрова студія From Software забирає у гравців з РФ вже придбані примірники гри Elden Ring.
20 березня о 21:00 було зламано офіційну групу ВКонтакте. Від її імені користувачам ВК було надіслано лист з текстом «Російська армія перетворила на руїни багато мирних міст, знищила понад 3500 об’єктів цивільної інфраструктури».
Одне з повідомлень, надіслане від імені офіційної групи BK
Через кілька днів хакери Anonymous знов нагадують про себе зламавши сайт компанії Nestle, яка відмовилась покидати ринок РФ, а згодом все ті ж хакери ламають центральний банк Росії та обіцяють впродовж 48 годин опублікувати 35 тисяч файлів, зокрема секретні угоди.
23 березня українські хакери зламали понад 30 державних сайтів РБ, серед яких Беглісс, Держстандарт та видалили більш ніж 80 ТБ документів, а українські хакери «Кібер-Козаки» поклали сайт МЗС та податкової РБ. Наступного дня Anonymous опублікували 28 ГБ інформації після зламу центробанку РФ.
28 березня Anonymous здійснили кібератаку на сервери управління цивільної авіації та знищили усі дані, а також дані резервних копій. Згодом до списку приєднались РПЦ, в яких було викрито 15 ГБ даних та приблизно 57 500 електронних листів.
4 квітня Anonymous оприлюднили персональні дані 120 000 російських солдатів, які воюють в Україні, а 8 квітня Microsoft зірвала спроби російських хакерів Strontium, пов’язаних з ГРУ РФ, зламати комп’ютери в Україні, країнах ЄС та США
19 квітня Anonymous повідомили про злам російського банку ПСКБ та намір “злити” 800 ГБ конфіденційних даних, а 23 квітня вони зламали 645 000 електронних листів від «Энерпред-гидравлик».
11 травня Anonymous зламали RuTube, знищив до 75% баз даних інфраструктури основної версії, та до 90% резервних копій кластера до відновлення цих баз даних.
30 травня по 5 червня українська ІТ-армія атакувала близько 600 російських ресурсів за тиждень, серед яких ЗМІ, інтернет-провайдери та інформаційні системи. Через ці атаки деякі регіональні ЗМІ стабільно лежали тижнями, а росіяни мали складнощі з доступом до таких державних сервісів як Міністерства праці та соц. захисту РФ, житлового будівництва куди забудовники вносять відомості по об’єкту, ресурси з нерухомості та інші.
Цього року, Google зіштовхнувся з наймасштабнішою кібератакою за весь період свого існування, типу “відмова в обслуговуванні” (DDoS) за протоколом HTTPS.
Ця атака була проведена ще в червні, але прес-служба корпорації розповіла про все тільки зараз. Початок кібератаки припав на 1 червня о 09:45 по місцевому часу і припинена вона була близько о 10:54. Найбільш шокуючим явищем цієї атаки була кількість запитів за секунду, яка встановила 46 млн, хоча і починалося лише з 10 млн запитів. Хакери застосовували HTTPS-запити, які являються найдорожчими, так як для їх застосування потрібно більше ресурсів. І що найцікавіше, приходили вони з 5256 вихідних IP-адресів із 132 країн.
Це все одно, що отримувати всі щоденні запити у Вікіпедії (один із 10 найбільш доступних веб-сайтів у світі) всього за 10 секунд” — прокоментували співробітники Google Сатья Контуру і Еміль Кінер.
Але слід зауважити, що в 2020 році вже була проведена кібератака проти Google, яка вважалась самою масштабною кампанією і зачепила на той момент близько 32 млн користувачів. Атака проходила під виглядом шпигунських програм, які розповсюджувались безкоштовно під видом онлайн -перекладачів, конвертерів файлів та під розширенням безпеки. Ціль була в тому, щоб зібрати всю історію відвідувань сайтів користувачами та їхню приватну інформацію.
Шахраї використовували прості та дієві методи маскування. З їхньою мережею були пов’язані близько 15 тисяч доменних імен, які в свою чергу були зареєстровані у невеликого комапанії Ізраїля CommuniGal Communication Ltd.
Наразі Google обіцяє вдосконалити якість свого сервісу, аби не допустити подібного.
