«Я как раз сижу сейчас, п***у с дисков у него». Участниками хакерской группировки Armagedon оказались штатные сотрудники ФСБ — подробности
Служба безопасности Украины, офис генерального прокурора и Главное управление разведки Минобороны идентифицировали участников известной хакерской группировки Armagedon. Хакерами оказались кадровые сотрудники Федеральной службы безопасности России. Сейчас это самая большая в истории деанонимизация участников так называемой state-sponsored группировки.
На брифинге для СМИ глава Департамента кибербезопасности Службы безопасности Украины Илья Витюк продемонстрировал доказательства того, что спецслужбы России используют хакерские группировки против Украины. В частности, группировка Armagedon оказалась специальным проектом ФСБ РФ. Armagedon дислоцируется в оккупированном Крыму и подотчетен Москве.
Илья Витюк назвал беспрецедентными результаты проведенной спецоперации и отметил, что подобной операции не было в истории украинских спецслужб.
«В большинстве своем всем известно, что за той или иной группировкой стоит конкретное государство, однако доказательства этого собрать очень сложно. Нам же удалось доказать это в уголовно-процессуальной плоскости, что можно назвать прорывом. Это образец должного качества работы. Это была очень кропотливая работа Департамента кибербезопасности СБУ и ГУР Минобороны», — подчеркнул Витюк.
В СБУ продемонстрировали перехваченные разговоры сотрудников ФСБ, где они хвастаются воровством данных, жалуются на маленькие зарплаты и на то, что их (вероятно, перебежчиков на сторону оккупанта — НВ) руководство не награждает за службу.
НВ рассказывает подробности крупнейшей в истории украинских спецслужб деанонимизации участников так называемой state-sponsored группировки.
Кто такие Armagedon: контекст
Группировку Armagedon, или Gamaredon (известная также как Primitive Bear, Gamaredon Group, Winterflounder, BlueAlpha, Blue Otso, Iron Tilden), исследователи киберугроз идентифицируют как так называемую state-sponsored группировку (группировка киберпреступников, получающая финансовую и/или другую поддержку от того или иного государства). По данным Cisco Talos, группировка активна по крайней мере с 2013 года и на протяжении многих лет в отчетах расследователей ассоциируется с пророссийской деятельностью.
«Она чрезвычайно агрессивна и обычно не связана с широко известными кампаниями. Она чрезвычайно активна — наравне с некоторыми из наиболее плодотворных кибербанд», — отмечают исследователи из Cisco и добавляют: «Gamaredon не среднестатистический APT (группировка высококвалифицированных хакеров, со значительными финансовыми и техническими возможностями — Ред.). Это очень агрессивная группа […], поддерживаемая значительной инфраструктурой, которую нечасто можно увидеть в APT-группировках. […] Эта группа нацелена на всех — от банков в Африке до учебных заведений в США».
В феврале 2021 года Национальный координационный центр кибербезопасности при СНБОУ сообщал, что хакеры группировки Gamaredon стоят за кибератакой на Систему электронного взаимодействия органов исполнительной власти Украины — ее целью было массовое заражение информационных ресурсов госорганов, поскольку именно с использованием этой системы осуществляется документооборот в большинстве органов государственной власти.
Согласно данным украинских спецслужб, озвученным во время брифинга в СБУ, участники Armagedon осуществили более 5 тысяч кибератак (с 2014 года) на правительственные сети Украины, выбирая объектами своих нападений госорганы, объекты критической инфраструктуры и бизнес. Злоумышленники пытались получить контроль над объектами критической инфраструктуры, собирали и воровали информацию с ограниченным доступом и проводили так называемые «акции информационно-психологического влияния». Всего, по словам Ильи Витюка, объектами атак с 2014 года стали более 1,5 тысяч предприятий, учреждений и организаций в Украине.
— Основная цель группировки — именно атаки на объекты критической инфраструктуры Украины. С 2019 года количество атак, проведенных группировкой Armagedon, стало критическим для украинской кибербезопасности, — отметил Илья Витюк. — Основное предназначение группировки — проведение, в частности, и так называемых гибридных кибератак. Мы получили огромный массив данных, удалось установить исполнителей и заказчиков, собрать данные об инфраструктуре, преодолеть средства анонимизации и добраться до конкретного оборудования.
Штатные хакеры ФСБ: имена и должности
По словам Ильи Витюка, в состав группы входят 2 группы офицеров ФСБ — кадровые сотрудники, прикомандированные с территории России и бывшие сотрудники СБУ, перешедшие на службу в Россию.
Украинские спецслужбы установили, что участвовавшие в оккупации Крыма участники группировки Armagedon — кадровые сотрудники Федеральной службы безопасности РФ и бывшие украинские правоохранители, перешедшие на службу страны-агрессора. Как стало известно, Armagedon дислоцируется в Крыму, подчиняется 18 Центру информационной безопасности ФСБ РФ (Москва) и является структурным подразделением местного «Управление ФСБ по республике Крым и городу Севастополю».
Пятерым фигурантам спецоперации СБУ составлены подозрения по ст. 111 УК Украины (государственная измена).
В общем, заявили в спецслужбе, как «хакеры по группировке Armagedon» идентифицированы 5 сотрудников «крымского ФСБ».
Склянко Александр Николаевич (05.08.1973) — Заместитель начальника 4 направления Службы контрразведывательных операций (КРО) Управление ФСБ РФ по Республике Крым и городу Севастополю.
Черных Николай Сергеевич ( 12.10.1978) — Начальник отдела 4 направления Службы КРО Управления ФСБ РФ по Республике Крым и городу Севастополю.
И три сотрудника подотчетного Николаю Черных отдела — Старченко Антон Александрович ( 28.11.1985), Мирошниченко Александр Валерьевич ( 16.09.1984) и Сущенок Олег Александрович ( 12.10.1989).
Отметим, что полные тезки этих людей фигурируют на сайте Миротворец как бывшие сотрудники СБУ, изменившие присяге и перешедшие на сторону врага.
Также сегодня в газете «Урядовий кур'єр» были опубликованы повестки о 8 лицах, 5 из которых фигурируют в материалах брифинга, — их вызывают в Офис генерального прокурора для вручения сообщения о подозрении и допросе в качестве подозреваемого.
Как выяснили украинские спецслужбы, сотрудники ФСБ-«Armagedon» подотчетны 18-му центру информационной безопасности ФСБ РФ (Москва, Россия) и подчиняются руководству так называемого «Управления ФСБ РФ по республике Крым и г. Севастополю» (те же кадровые ФСБшники, о которых заявил Илья Витюк) — начальнику «управления» Леониду Владимировичу Михайлюку, заместителю начальника Службы контрразведывательных операций «управления» Егору Владимировичу Кундикову и начальнику 4 направления Службы контрразведывательных операций «управления» Игорю Валерьевичу Носову.
Что делал Armagedon: фрагменты разговоров
На брифинге в СБУ продемонстрировали видеоотрывки из перехваченных хакерских разговоров из крымского ФСБ, где они хвастаются тем, что им удалось перехватить документы с ограниченным доступом в одной из украинских госструктур. В одном из эпизодов Николай Черных докладывает Александру Склянко о том, что к «объекту кто-то пришел, они вставили флешку с криптоконтейнером (специальная зашифрованная папка, которая не открывается без пароля), открыли и бросили на печать», а Черных «успел это снять».
В другом эпизоде ФСБ-Armagedon смогли установить программу-шпион на компьютер одного из чиновников. Черных докладывал Склянко, что смог установить на ПК чиновника VNC (ПО для удаленного доступа к компьютеру) и рекомендовал, чтобы «Тоха на себя завел» и поставил Т-05 (версию вируса своей разработки ФСБ).
Украинские спецслужбы выяснили, что для кражи данных в Armagedon разрабатывали уникальный код. На одной из продемонстрированных аудиозаписей, Черных докладывает своему начальнику, что подготовил «тело» (специально разработанный вирус), для того чтобы у объекта атаки " сп*** (украсть) криптоконтейнер" и просит сотрудника «Саню Мирошниченко» копировать его на флешку, «залить на сервак» и «стартонуть». Склянко обещает передать просьбу Мирошниченко, если тот «не ушел на обед».
Судя по перехваченным разговорам, хакеры от ФСБ полностью копировали содержимое компьютеров, особенно интересовавших их в Украине (к которым могли получить доступ).
«Я как раз сижу сейчас, п***у (ворую — Ред.) с дисков у него», — докладывал Черных своему начальнику. В это время их разговор записывали в СБУ.
Зарплата от ФСБ и «кидки» от начальства
На то, что Armagedon — кадровые сотрудники российской ФСБ, указывают и разговоры, где хакеры обсуждают свои зарплаты, вещевку (компенсации за предметы вещевого имущества) и отсутствие наград от руководства крымского «управления» Федеральной службы безопасности России.
Так Александр Склянко жаловался Николаю Черных на обеспечение:
«У меня плюс 15, например. У Сани — плюс 12. Непонятно, что это… Там говорили, что в качестве премиальных… Премиальный фонд всем там на 16% подняли плюс „вещёвка“ за этот год. Да, сумма-то небольшая, в принципе…»
В СБУ отмечают: к изменникам, перешедшим на службу в ФСБ, в самой ФСБ относятся не лучшим образом.
Тот же Склянко в одном из перехваченных разговоров жаловался Черных, который снова не получил «медальку» и не пошел на «торжественное» — официальное празднование Дня работника органов безопасности Российской Федерации.
" Опять кинули?", — интересуется Черных.
«Ну, [медаль] там же, где и часы мои…», — вздыхает Склянко и рассказывает подчиненному, что вместо этого «Егор Владимирович» (заместитель начальника Службы контрразведывательных операций «крымского управления» ФСБ Егор Кундиков) получил медаль, но «песочную» ( медаль за выслугу лет) — за 20 лет службы.
«А, ну тогда *** (неценз.), как говорится», — резюмирует Черных. — «А то я думал, что Вас кинули, а он получил, ***»
Что дальше
Сегодня, говорят в Службе безопасности Украины, украинские спецслужбы продолжают следственные действия и документируют «деятельность» сотрудников ФСБ РФ и проводят ряд мер по блокированию агрессии Российской Федерации против Украины в киберпространстве.
По словам Ильи Витюка, следствие находится в активной фазе — фигурантам расследования готовятся подозрения по признакам совершения преступлений, предусмотренных статьями 114 (шпионство), 361, 361−1 Уголовного кодекса Украины.
«Это еще не конец расследования. Сроки давности за преступления против национальной безопасности отсутствуют», — заявил Витюк и добавил, что эти лица будут объявлены в международный розыск, и проводится работа по объявлению гражданам другой страны подозрения в шпионаже.
На деятельность группы Armagedon деанонимизация окажет как минимум временное влияние — российским спецслужбам нужно будет переформатировать работу, провести внутреннее расследование
«Но [атаки не прекратятся], если стоит задача политического руководства… Задача всегда идет от руководства государства», — добавил Илья Витюк.
Глава департамента кибербезопасности СБУ также отметил, что сейчас этот эпизод — доказательство, которым можно оперировать на мировой арене. В том числе, в вопросе ужесточения санкций и введения санкций против России.
По словам Витюка, после обнаружения группировки, кибератаки продолжатся, ведь гибридная война продолжается, именно поэтому объекты критической инфрастуруктуры должны больше внимания уделять вопросам безопасности.
«СБУ со своей стороны принимает все меры для выявления и локализации киберугроз» — заявил Витюк и добавил, что украинские спецслужбы следят сразу за целым рядом APT-групп, спонсируемых государством.
