Хакери під нікнеймом Free Civilian зливають дані українських держсайтів з 23 лютого. Торік вони продавали нібито дані користувачів «Дії» у даркнеті. Forbes дізнався, що за ніком Free Civilian імовірно стоять інші хакери, ніж роком раніше.
Хакери Free Civilian, які 23 лютого заявили, що зламали «Дію», сайти КМДА та «Мотор Січ», продовжують зливати дані. На каналі з’явилися файли з нібито даними сайтів Міністерства аграрної політики, Міністерства захисту довкілля та природних ресурсів, Держказначейства. З них трьох працює лише сайт Мінагро станом на 15:00.
У CERT-UA припускають, що за ніком Free Civilian можуть ховатися члени хакерського угрупування UAC-0056. Воно з’явилося на початку 2021-го й підтримує інтереси російського уряду, писав американський виробник антивірусів Symantec. У зловмисників був доступ до систем ще з 2022 року, свідчить технічний звіт CERT-UA. Вони встановили інструменти, які їм давали змогу отримувати доступ прихованими методами.
Хакери публікують дані на телеграм-каналі Free Civilian. Канал створили лише 21 лютого, але рік тому користувач з аналогічним нікнеймом продавав нібито дані користувачів «Дії» у даркнеті. Ймовірно за атаками в 2022 році стояли інші хакери, вважає засновник американської кібербезпекової компанії Hold Security Алекс Холден.
В інтервʼю Forbes він пояснив, як змінилася поведінка хакерів, чому сайт КМДА міг бути легкою жертвою для них і чи ховаються за нікнеймом ті ж самі хакери, що роком раніше.
Інтерв’ю скорочено й відредаговано для зрозумілості.
Ви давно стежите за угрупованням Free Civilian. Якою була їхня поведінка рік тому?
Організація навряд чи діє від імені однієї людини. Вона активно почала діяти в кінці 2021-го й на початку 2022-го. Тоді під таким нікнеймом постійно виставляли дописи на форумі RaidForums, якого нині вже не існує.
Група писала на досить хорошій англійській мові, ніколи не переходила на інші мови й показувала себе незалежною від Росії. Проте чітко було видно, що вона спрямована проти України. Вони були одними з перших у свій час, хто почав виставляти велику кількість інформації саме про українців, українські служби й компанії.
Однак нам була не зрозуміла їхня мотивація. Інформація по «Дії» була виставлена за ціною $15 000. Коли інші хакери спілкувалися з Free Civilian щодо ціни, то вона різко зросла. Людина не мала бажання їх продавати, бо замість $15 000 одразу попросила $75 000, потім $80 000, а в кінці – $150 000. Людина не була фінансово зацікавленою, збільшивши ціну в 10 разів одразу ж.
Українські служби кажуть, що за нікнеймом Free Civilian можуть ховатися члени хакерського угрупування UAC-0056. Роком раніше за цим нікнеймом стояло те ж саме угруповання?
Це серйозне питання сьогодні. Переглядаючи телеграм-канал і дивлячись на їхній підхід, я не думаю, що це та сама організація.
По-перше, змінилася мова. Рік тому на форумі Free Civilian спілкувалися лише англійською, навіть коли з ними намагалися говорити російською.
По-друге, у нас є інформація, що оригінальний Free Civilian тримав і тримає досі кілька вебсайтів у даркнеті. Зараз же вони використовують телеграм-канал.
Навіть якщо подивитися на логотип Free Civilian 2022 року, то він був професійно зроблений векторною графікою. Логотип цьогорічного Free Civilian менш якісний. До того ж у чорно-білих зображень людей з’явилися краватки. FreeCivilian 2022 року писався разом. Цьогорічний – через нижнє підкреслення.
Ми майже впевнені, що за FreeCivilian 2022 року стояли професіонали, частина з яких, імовірно, була російськими державними хакерами. Сьогодні нова група не має ніяких заслуг, окрім погроз.
У нас поки що немає причин думати, що це одне й те ж саме угруповання. Можливо, це дійсно проєкт російських спецслужб. І цього року його просто передали іншим хакерам.
Про що свідчить поведінка хакерів і логіка, за якою вони обирають об’єкти атак цього разу?
У телеграм-каналі було знову виставлено ті самі понад 700 ГБ «Дії». Навіщо їм повторюватися? Це опортунізм. Організація розуміє, що потрібно щось викласти й довести свою силу.
Те, що вони викладають, має цінність із воєнної точки зору?
Для військових я насправді не бачу великої користі з цієї інформації. Хакери ж не зупинили підприємство, яке працює на оборону.
Щодо сайту kyivcity.gov.ua, то він нам дуже знайомий. Його зроблено не на найвищому рівні якості з точки зору безпеки. Самі розробники публікували на російському сайті скріни своїх екранів, де було видно паролі з чотирьох символів. Це «дитячий садок». Тому це був би легкий об’єкт для нападу.
Якщо в цих файлах є справжня особиста інформація про військових і їхні сім’ї, то це могло б вплинути на моральний дух людей на передовій. Російські спецслужби могли вивчити цю інформацію пів року тому, обробити її й вийняти все, що їм потрібно.
Імовірно, в переддень роковин повномасштабного вторгнення вони хотіли щось викласти для «показухи». Але ця інформація точно не була б їхнім головним козирем.
Ви знайшли помилку чи неточність?
Залиште відгук для редакції. Ми врахуємо ваші зауваження якнайшвидше.