Хакери під нікнеймом Free Civilian зливають дані українських держсайтів з 23 лютого. Торік вони продавали нібито дані користувачів «Дії» у даркнеті. Forbes дізнався, що за ніком Free Civilian імовірно стоять інші хакери, ніж роком раніше.
Форум «Вільна» повертається 20 лютого, щоб стати вашим джерелом ідей, знайомств і можливостей. Долучайтеся до заходу за посиланням! 🎟
Хакери Free Civilian, які 23 лютого заявили, що зламали «Дію», сайти КМДА та «Мотор Січ», продовжують зливати дані. На каналі з’явилися файли з нібито даними сайтів Міністерства аграрної політики, Міністерства захисту довкілля та природних ресурсів, Держказначейства. З них трьох працює лише сайт Мінагро станом на 15:00.
У CERT-UA припускають, що за ніком Free Civilian можуть ховатися члени хакерського угрупування UAC-0056. Воно з’явилося на початку 2021-го й підтримує інтереси російського уряду, писав американський виробник антивірусів Symantec. У зловмисників був доступ до систем ще з 2022 року, свідчить технічний звіт CERT-UA. Вони встановили інструменти, які їм давали змогу отримувати доступ прихованими методами.
Хакери публікують дані на телеграм-каналі Free Civilian. Канал створили лише 21 лютого, але рік тому користувач з аналогічним нікнеймом продавав нібито дані користувачів «Дії» у даркнеті. Ймовірно за атаками в 2022 році стояли інші хакери, вважає засновник американської кібербезпекової компанії Hold Security Алекс Холден.
В інтервʼю Forbes він пояснив, як змінилася поведінка хакерів, чому сайт КМДА міг бути легкою жертвою для них і чи ховаються за нікнеймом ті ж самі хакери, що роком раніше.
Інтерв’ю скорочено й відредаговано для зрозумілості.
Ви давно стежите за угрупованням Free Civilian. Якою була їхня поведінка рік тому?
Організація навряд чи діє від імені однієї людини. Вона активно почала діяти в кінці 2021-го й на початку 2022-го. Тоді під таким нікнеймом постійно виставляли дописи на форумі RaidForums, якого нині вже не існує.
Група писала на досить хорошій англійській мові, ніколи не переходила на інші мови й показувала себе незалежною від Росії. Проте чітко було видно, що вона спрямована проти України. Вони були одними з перших у свій час, хто почав виставляти велику кількість інформації саме про українців, українські служби й компанії.
Однак нам була не зрозуміла їхня мотивація. Інформація по «Дії» була виставлена за ціною $15 000. Коли інші хакери спілкувалися з Free Civilian щодо ціни, то вона різко зросла. Людина не мала бажання їх продавати, бо замість $15 000 одразу попросила $75 000, потім $80 000, а в кінці – $150 000. Людина не була фінансово зацікавленою, збільшивши ціну в 10 разів одразу ж.
Інформація по «Дії» була виставлена за ціною $15 000. Потім ціна зросла вдесятеро
Українські служби кажуть, що за нікнеймом Free Civilian можуть ховатися члени хакерського угрупування UAC-0056. Роком раніше за цим нікнеймом стояло те ж саме угруповання?
Це серйозне питання сьогодні. Переглядаючи телеграм-канал і дивлячись на їхній підхід, я не думаю, що це та сама організація.
По-перше, змінилася мова. Рік тому на форумі Free Civilian спілкувалися лише англійською, навіть коли з ними намагалися говорити російською.
По-друге, у нас є інформація, що оригінальний Free Civilian тримав і тримає досі кілька вебсайтів у даркнеті. Зараз же вони використовують телеграм-канал.
Навіть якщо подивитися на логотип Free Civilian 2022 року, то він був професійно зроблений векторною графікою. Логотип цьогорічного Free Civilian менш якісний. До того ж у чорно-білих зображень людей з’явилися краватки. FreeCivilian 2022 року писався разом. Цьогорічний – через нижнє підкреслення.
Логотип цьогорічного Free Civilian менш якісний.
Ми майже впевнені, що за FreeCivilian 2022 року стояли професіонали, частина з яких, імовірно, була російськими державними хакерами. Сьогодні нова група не має ніяких заслуг, окрім погроз.
У нас поки що немає причин думати, що це одне й те ж саме угруповання. Можливо, це дійсно проєкт російських спецслужб. І цього року його просто передали іншим хакерам.
Про що свідчить поведінка хакерів і логіка, за якою вони обирають об’єкти атак цього разу?
У телеграм-каналі було знову виставлено ті самі понад 700 ГБ «Дії». Навіщо їм повторюватися? Це опортунізм. Організація розуміє, що потрібно щось викласти й довести свою силу.
Те, що вони викладають, має цінність із воєнної точки зору?
Для військових я насправді не бачу великої користі з цієї інформації. Хакери ж не зупинили підприємство, яке працює на оборону.
Щодо сайту kyivcity.gov.ua, то він нам дуже знайомий. Його зроблено не на найвищому рівні якості з точки зору безпеки. Самі розробники публікували на російському сайті скріни своїх екранів, де було видно паролі з чотирьох символів. Це «дитячий садок». Тому це був би легкий об’єкт для нападу.
Якщо в цих файлах є справжня особиста інформація про військових і їхні сім’ї, то це могло б вплинути на моральний дух людей на передовій. Російські спецслужби могли вивчити цю інформацію пів року тому, обробити її й вийняти все, що їм потрібно.
Імовірно, в переддень роковин повномасштабного вторгнення вони хотіли щось викласти для «показухи». Але ця інформація точно не була б їхнім головним козирем.
Ви знайшли помилку чи неточність?
Залиште відгук для редакції. Ми врахуємо ваші зауваження якнайшвидше.
