Хакеры под никнеймом Free Civilian сливают данные украинских госсайтов с 23 февраля. В прошлом году они продавали данные пользователей «Дія» в даркнете. Forbes узнал, что за ником Free Civilian предположительно стоят другие хакеры, чем годом ранее
Amazon інвестує мільярди доларів у ШІ, роботів та машинне навчання. Якими принципами й правилами керується компанія?
Дізнайтеся вже 22 листопада на Forbes Tech 2024. Купуйте квиток за посиланням!
Хакеры Free Civilian, которые 23 февраля заявили, что взломали «Дію», сайты КГГА и «Мотор Січ», продолжают сливать данные. На канале появились файлы с якобы данными сайтов Министерства аграрной политики, Министерства защиты окружающей среды и природных ресурсов, Госказначейства. Из них троих работает только сайт Минагро по состоянию на 15:00.
В CERT-UA предполагают, что под ником Free Civilian могут скрываться члены хакерской группировки UAC-0056. Оно появилось в начале 2021 года и поддерживает интересы российского правительства, писал американский производитель антивирусов Symantec. У злоумышленников был доступ к системам с 2022 года, свидетельствует технический отчет CERT-UA. Они установили инструменты, позволяющие им получать доступ скрытыми методами.
Хакеры публикуют данные на телеграмм-канале Free Civilian. Канал был создан только 21 февраля, но год назад пользователь с аналогичным никнеймом продавал якобы данные пользователей «Дія» в даркнете. Вероятно, за атаками в 2022 году стояли другие хакеры, считает основатель американской кибербезопасности компании Hold Security Алекс Холден.
В интервью Forbes он объяснил, как изменилось поведение хакеров, почему сайт КГГА мог быть легкой жертвой для них и прячутся ли под никнеймом те же хакеры, что и годом ранее.
Интервью сокращено и отредактировано для ясности.
Вы давно следите за группировкой Free Civilian. Каким было их поведение год назад?
Организация вряд ли действует от имени одного человека. Она активно начала действовать в конце 2021-го и начале 2022-го. Тогда под таким никнеймом постоянно выставляли сообщения на форуме RaidForums, которого уже нет.
Группа писала на достаточно хорошем английском языке, никогда не переходила на другие языки и показывала себя независимой от России. Однако ясно было видно, что она направлена против Украины. Они были одними из первых в свое время, кто начал выставлять большое количество информации именно об украинцах, украинских службах и компаниях.
Однако нам была непонятна их мотивация. Информация по «Дії» была выставлена по цене $15 000. Когда другие хакеры общались с Free Civilian по поводу цені, то она резко возросла. У человека не было желания их продавать, потому что вместо $15 000 сразу попросил $75 000, затем $80 000, а в итоге – $150 000. Человек не был финансово заинтересован, увеличив цену в 10 раз сразу же.
Украинские службы говорят, что под никнеймом Free Civilian могут скрываться члены хакерской группировки UAC-0056. Годом раньше за этим никнеймом стояла та же группировка?
Это серьезный вопрос сегодня. Просматривая телеграмм-канал и глядя на их подход, я не думаю, что это та же организация.
Во-первых, изменился язык. Год назад на форуме Free Civilian общались только на английском, даже когда с ними пытались говорить по-русски.
Во-вторых, у нас есть информация, что оригинальный Free Civilian держал и держит до сих пор несколько веб-сайтов в даркнете. Сейчас они используют телеграмм-канал.
Даже если посмотреть на логотип Free Civilian 2022, то он был профессионально сделан векторной графикой. Логотип Free Civilian в этом году менее качественный. К тому же у черно-белых изображений людей появились галстуки. FreeCivilian в 2022 году писался вместе. Нынешний – через нижнее подчеркивание.
Мы почти уверены, что за FreeCivilian 2022 стояли профессионалы, часть из которых, вероятно, была российскими государственными хакерами. Сегодня у новой группы нет никаких заслуг, кроме угроз.
У нас пока нет причин думать, что это одна и та же группировка. Возможно, это действительно проект российских спецслужб. И в этом году его просто передали другим хакерам.
О чем свидетельствует поведение хакеров и логика, по которой они выбирают объекты атак в этот раз?
В телеграмм-канале было снова выставлено те же более 700 ГБ «Дії». Зачем им повторяться? Это оппортунизм. Организация понимает, что нужно что-нибудь выложить и доказать свою силу.
То, что они выкладывают, имеет ценность с военной точки зрения?
Для военных я на самом деле не вижу большой пользы от этой информации. Хакеры же не остановили предприятие, работающее на оборону.
Что касается сайта kyivcity.gov.ua, то он нам очень знаком. Он сделан не на самом высоком уровне качества с точки зрения безопасности. Сами разработчики публиковали на российском сайте скрины своих экранов, где были видны пароли из четырех символов. Это «детский сад». Поэтому это был бы лёгкий объект для нападения.
Если в этих файлах есть подлинная личная информация о военных и их семьях, это могло бы повлиять на моральный дух людей на передовой. Российские спецслужбы могли изучить эту информацию полгода назад, обработать ее и извлечь все, что им нужно.
Вероятно, в канун годовщины полномасштабного вторжения они хотели что-то выложить для «показухи». Но эта информация точно не была бы их главным козырем.
Вы нашли ошибку или неточность?
Оставьте отзыв для редакции. Мы учтем ваши замечания как можно скорее.