Злочинно-патріотичний симбіоз рашистських спецслужб та кіберзлочинності

Російська влада створила складну екосистему інфо- і кібервпливу, що об’єднує пропагандистські ЗМІ, некомерційні організації, спецслужби (ФСБ, СЗР, ГРУ), а також хакерські та кримінальні кібергрупи. Дослідникам вдалося ідентифікувати 51 організацію, що входить до цієї системи, але їхня кількість, ймовірно, більша. Вона дає змогу проводити скоординовані кібератаки і дезінформаційні кампанії, спрямовані на досягнення поставлених цілей.

При цьому ефективність системи у сфері кібервпливу визначається координацією зусиль державних, недержавних і кримінальних акторів, а також використанням їхніх “масок”. Крім технічних груп, що здійснюють кібероперації, які координуються або безпосередньо управляються російськими спецслужбами (таких як APT44/Sandworm або APT28/Fancy Bear), російська влада патронує мережу хактивістських, квазіхактивістських і власне кримінальних кібергруп.

Хактивістські групи, такі як CyberBerkut і XakNet, під виглядом незалежних акторів проводять DDoS-атаки і забезпечують витоки даних, маскуючи і затінюючи причетність держави до кібероперацій. З 2014 року, особливо після повномасштабного вторгнення в Україну у 2022 році, такі структури активно залучаються для атак на українські урядові сайти та ЗМІ. Водночас безпосередньо пов’язані зі спецслужбами групи можуть створювати хактивістські “маски” для своїх операцій.

Нарешті, російська влада активно взаємодіє з кримінальними кібергрупами, такими як REvil, Conti і LockBit. В одних випадках держава веде цілеспрямоване полювання на хакерів з метою їхнього подальшого вербування та використання у власних проєктах, в інших – отримують у Росії захист від переслідування за умови виключення “російських цілей” і сприяння в проведенні операцій проти “недружніх” Кремлю країн. Результатом цього симбіозу стало стрімке зростання частки пов’язаних із російськими акторами кіберзлочинів і кіберінцидентів у світі, які останнім часом переважно сфокусовані на європейських країнах.

Російська держава створила цілу екосистему інформаційного та кібервпливу, в якій взаємодіють пропагандистські медіа, спеціалізовані структури з проведення інформаційних та дезінформаційних кампаній (на кшталт Storm-1679 і Storm-1516, а також Pravda Network), спецслужби (ФСБ, СЗР і Головне управління Генштабу ЗС РФ – у минулому ГРУ), а також куровані ними або пов’язані з ними групи хактивістів і кримінальні кібергрупи, показує дослідження Міжнародного інституту стратегічних досліджень (IISS). У межах цієї екосистеми дослідники ідентифікували 51 організацію і виявили зв’язки між ними, але застерігають, що в реальності їх, швидше за все, більше. При цьому Кремль створив розгалужену мережу кіберакторів, у якій державні та кримінальні інтереси тісно переплетені, а дії ефективно скоординовані.

Частина з виявлених IISS структур (27) працюють технічними методами, здійснюючи кібероперації та шпигунство, і координуються спецслужбами – ГРУ, ФСБ і СЗР. Наприклад, Група APT44 (також відома як Sandworm), пов’язана з підрозділом ГРУ 74455, з 2015 року розробляє і застосовує шкідливе програмне забезпечення, націлене на критичну інфраструктуру, – саме ця група стоїть за такими руйнівними програмами, як BlackEnergy, Industroyer, NotPetya і CaddyWiper.

Кібершпигунством активно займається інша група, також пов’язана з ГРУ, – APT28, або Fancy Bear. Нещодавно вона була спіймана на шпигунстві проти іноземних посольств в Україні та державних установ Центральної Азії. Вона ж була замішана в невдалій спробі Росії проникнути в системи Організації із заборони хімічної зброї після отруєнь у Солсбері 2017 року.

А у травні 2025 року Міністерство оборони США спільно з розвідслужбами європейських країн випустило попередження про кіберкампанію APT28, націлену на десятки західних підприємств, які діють у сфері логістики (морський і залізничний транспорт, авіація) і технологій. Ця кампанія, найімовірніше, на даному етапі націлена на ланцюжки постачання допомоги Україні.

Патріотизм, хактивізм і їхні “маски”

Однак крім власне “вбудованих” у спецслужби груп російська влада патронує мережу хактивістських, квазіхактивістських і власне кримінальних кібергруп, пишуть експерти IISS. Хактивізм – це використання кібертехнологій для просування політичних або соціальних ідей, де атаки і зломи стають інструментом протесту або викриття. Найвідомішими прикладами хактивізму є WikiLeaks і Panama Papers. Хактивісти можуть влаштовувати зломи і “зливати” секретні документи, керуючись суспільними цілями: оприлюднити злочини, захистити свободу слова тощо. Однак авторитарні режими можуть використовувати або імітувати хактивізм, переслідуючи власні маніпулятивні цілі.

ГРУ використовує такого роду групи, а також хактивістські “маски” для кібератак з 2014 року, і особливо активно – після початку повномасштабного вторгнення в Україну. Проросійська хактивістська група CyberBerkut, пов’язана з ГРУ, проводила DDoS-атаки та операції hack & amp; leak (“злом і & nbsp; витік”) проти українських урядових сайтів і ЗМІ під час анексії Криму. Група Evil Corp, що розробляє і продає шкідливе програмне забезпечення, зокрема програми-вимагачі, атакувала цифрові системи НАТО за завданням ФСБ.

Загалом патріотично налаштовані або примушувані до співпраці хакери і хактивістські групи відіграють сьогодні важливу роль у російській доктрині кібервійни. При цьому, як і в російській громадській думці загалом, відповісти на питання, де закінчується реальний “патріотизм” і починається примус до нього, практично неможливо. Разом з тим такі групи з їхнім досвідом соціальних кампаній і маніпуляцій здатні мобілізувати для DDoS-атак як реальних користувачів, так і великі мережі ботів;

У 2007 році в Естонії та 2008-му в Грузії учасники DDoS-атак рекрутувалися на проросійських онлайн-форумах. У 2014 році, до моменту вторгнення до Криму, ГРУ стало використовувати для DDoS-операцій псевдохактивістські групи, такі як CyberBerkut. З початком повномасштабного вторгнення в Україну у 2022 році проросійські хактивістські структури розширили свою діяльність, проводячи як hack&leak операції, так і DDoS-атаки.

А хактивістські групи Cyber Army of Russia Reborn і XakNet, які брали на себе відповідальність за hack&leak операції, виявилися підставними структурами, за якими стояла пов’язана з ГРУ APT44. Ці групи публічно заявляли про здійснені кібератаки і їхні мотиви, а також поширювали вкрадені документи, як це робили б реальні хактивісти. Такий метод роботи забезпечував Москві можливість довгий час залишатися в тіні.

Кібермафіозна держава

Нарешті, російські спецслужби налагодили ефективну систему взаємодії з власне злочинними кібергрупами, ідеться в доповіді IISS. Наприклад, пов’язана з ГРУ Cadet Blizzard співпрацювала з кіберзлочинними спільнотами для здійснення шпигунських операцій і hack&leak атак.

Росія час від часу заарештовує кіберзлочинців, але найчастіше це робиться з метою їхнього подальшого вербування, наголошується в іншій доповіді IISS, “Російська доктрина інформаційного протистояння в дії”. Так, після проведених на початку 2022 року за запитом США гучних арештів учасників групи кібершахраїв REvil Росія заявила, що не видаватиме США учасників REvil, у яких є російське громадянство. Згодом деякі з них були примушені до співпраці з державою. Таким чином розслідування американських правоохоронців було використано російською владою для зміцнення власної мережі кібершахрайства.

Деякі кіберзлочинні угруповання, що базуються в Росії, як-от Conti та LockBit, відкрито заявили про свою лояльність державі, не чекаючи примусу (хоча згодом Conti розпалася через внутрішні розбіжності, викликані повномасштабним вторгненням в Україну). Наразі Росія використовує пов’язані з державою кіберзлочинні елементи для проведення розвідувальних операцій щодо України та відмивання грошей через криптовалюту, частина яких спрямовується на закупівлю військового обладнання для російської армії, вважають експерти.

Однак основним інструментом взаємодії Кремля і кіберзлочинності є свого роду кримінальний контракт. Майже половина списку найбільш розшукуваних осіб, опублікованого Федеральним управлінням кримінальної поліції Німеччини (BKA), складається з російських кіберзлочинців. При цьому список BKA – вельми ефективний інструмент: за статистикою, близько 70% підозрюваних, включених до нього з 1999 року, були заарештовані.

Однак щодо російських фігурантів ситуація інакша: незважаючи на велику кількість інформації, зібраної проти них західними правоохоронними органами та спецслужбами, перебуваючи в Росії, вони залишаються поза полем їхньої досяжності, йдеться в огляді, підготовленому Німецьким інститутом міжнародних відносин і безпеки (SWP). Таким чином, кіберзлочинці отримують захист у Росії, а російський режим в їхній особі – додатковий інструмент впливу.

На прикладі Центру інформаційної безпеки ФСБ (Центр 18, військова частина 64829) добре видно, як переплетені державні інтереси і кримінальна діяльність. Формально займаючись протидією кіберзлочинності, Центр 18 використовує зібрані дані для вербування хакерів у проєкти спецслужб, зазначається в огляді SWP. Крім того, Центр керує власною програмою кібершпигунства, включно з групою Star Blizzard, яка з 2019 року збирає розвідувальні дані про цивільні організації, оборонні та державні об’єкти в країнах НАТО.

Як і у випадку з хактивізмом, тут нерідко використовується система “масок”. Тобто, крім безпосереднього залучення кіберзлочинців, російські спецслужби іноді маскуються під кримінальні групи. Наприклад, пов’язана з підрозділом ГРУ 26165 група Void Blizzard у 2024 році спиралася на дані, придбані на “чорному” ринку.

Вкрадені облікові дані потім використовуються для проникнення в цифрові системи в країнах НАТО і ЄС, включно з ресурсами міністерств закордонних справ і оборони, оборонних компаній, технологічних фірм, які обслуговують держзамовлення, політичних партій і журналістів. За оцінкою голландських спецслужб AIVD і MIVD, використання кримінальних методів ускладнює диференціацію активності, пов’язаної безпосередньо з ГРУ, та активності звичайних кіберзлочинців.

Крім того, враховуючи інтерес до їхніх послуг з боку спецслужб, російські кіберзлочинці тепер адаптують свою пропозицію під цей попит. Наприклад, мережа DanaBot, що спеціалізується на крадіжках інформації та поширенні шкідливих програм, створює продукти як для кримінального бізнесу (шахрайство, програми-здирники), так і для шпигунства (крадіжка конфіденційних даних з військових, дипломатичних і урядових джерел).

Ефект синдикату: Росія – лідер кібердеструкції, Європа – її головний об’єкт.

Кіберзлочинці отримують у Росії захист від переслідування або екстрадиції, а натомість утримуються від атак на російські цілі та дій проти російських інтересів. У результаті Росія перетворюється на безпечну гавань для широкого спектра шкідливих кіберактивностей.

Дані Європейського репозиторію кіберінцидентів (EuRepoC) наочно відображають цю тенденцію: лише 4% кіберінцидентів, що приписуються російським кіберзлочинцям, були спрямовані на цілі всередині країни. Для операцій, що походять із Китаю, цей показник удвічі вищий (8%), тоді як для західних країн частка атак на власні об’єкти значно більша: у США вона перевищує російський рівень у понад вісім разів (31%), а у країнах ЄС – майже в 14 разів (49%).

Нижчий рівень атак на об’єкти всередині країни тільки у північнокорейських кіберзлочинців – 1%. Чим менше атак припадає на “внутрішні” цілі, тим більше підстав підозрювати існування “пакту” між кіберзлочинцями і силовиками. Виключення російських цілей простежується і на технічному рівні: деякі шкідливі програми, наприклад, програма-здирник Ryuk, яку використовує група Trickbot (включена до переліку BKA), перевіряють мовні налаштування системи і самознищуються при виявленні російських параметрів.

При цьому такий державний патронаж і технологічна просунутість дають відчутний кількісний ефект. Саме російські актори демонструють найбільшу активність у кіберпросторі: з січня 2000-го по травень 2025 року за їхньою участю сталося 389 кіберінцидентів проти 351 випадку, атрибутованого акторам з Китаю. На частку акторів з КНДР, США та ЄС припадає значно менше кіберінцидентів – 155, 68 і 50 відповідно.

Якщо у 2018-2021 роках співвідношення операцій, проведених китайськими державними суб’єктами, та операцій, ініційованих російською державою, становило 54 до 46%, то у 2022-2024-му це співвідношення діаметрально змінилося на користь російських операцій і становило 17 до 83%, показують дані доповіді EuRepoC “Баланс кіберактивності 2024: Європейський союз у фокусі”.

Загалом загальна кількість кібероперацій, спрямованих на цілі всередині ЄС, у 2024 році зросла на 16%, тоді як у всьому іншому світі (за винятком членів ЄС) цей показник знизився на 6,3%. Багато в чому це збільшення кібернебезпеки ЄС відбулося саме через дії Москви. У доповіді EuRepoC також наголошується, що з 2022 року актори, пов’язані з Росією, зосередилися на підривних операціях, включно з як маловитратними, але ефектними діями на кшталт DDoS-атак, так і спробами вивести з ладу критичні системи європейських країн. Особливу тривогу викликають розробки в цій галузі, що проводяться ГРУ, зокрема його підрозділом 29155.

Диверсифікація методів і акторів кібероперацій покликана мінімізувати ризик викриття. Гнучка система вербування і децентралізована структура посередників дають змогу фрагментувати завдання, забезпечуючи захист мережі: компрометація однієї ланки не ставить під загрозу решту акторів і всю операцію в цілому. Включення нових акторів та/або використання інструментів, що асоціюються з кримінальними недержавними групами, навмисно розмиває межі державної причетності.

Ми спостерігаємо тут ефекти, характерні для нинішньої стадії еволюції російського режиму загалом, – глибоке взаємопроникнення спецслужб і кримінального світу, їхніх методів і логік дій, що формує культуру і контур єдиної “мафіозної держави”. Водночас, як неодноразово зазначали експерти, загальна ефективність російської кібервійни проти України виявилася досить низькою, в усякому разі набагато нижчою за очікування. Можливо, обмежена здатність проводити стратегічні операції з конкретними практичними цілями є зворотним боком цих інституційних особливостей російської системи кібервпливу.

Джерело:  re-russia.net 

Tweet