Агонь па сваіх адмяняецца? Расказваем пра хакерскую групу Killnet, якая абяцала «п**ду Беларусі», але раптам здала назад

18 красавiка 2023 у 1681804500
«Зеркало»

Хакерская групоўка Killnet 15 красавіка абвясціла пра арышт у Беларусі свайго ўдзельніка і лідара Anonymous Russia пад нікам Mr. Raty. «Не адпусцяць Раці - Беларусі п**да», - напісаў у сваім тэлеграм-канале кіраўнік Killnet, нехта KillMilk. Пазней ніякай інфармацыі пра вызваленні хакера не з'явілася, але вось пагрозы супраць Беларусі групоўка выдаліла. Можа, таму, што не наважылася нападаць на сваіх? Бо афіцыйная Беларусь - галоўны саюзнік Крамля, на падтрымку якога скіраваная ўся актыўнасць Killnet. Расказваем, што гэта за арганізацыя.

Графічная выява, крыніца: тэлеграм-канал KillMilk

Killnet - гэта кіберзлачынная групоўка, вядомая правядзеннем атак тыпу DDoS супраць сайтаў дзяржаўных органаў і прыватных кампаній у краінах ЕС і ў ЗША. На ўзламаных сайтах хакеры размяшчалі прарасійскія паведамленні. Killnet адкрыта дэкларуе падтрымку Крамля ў вайне, а кібератакі выкарыстоўвае як спосаб барацьбы з «ворагамі Расіі».

Адкуль узялася Killnet

Да поўнамаштабнай расійска-ўкраінскай вайны пра Killnet, відавочна, вядома не было. Узнікненне групоўкі выкладзенае ў дакладах Insikt Group - даследчага аддзялення Recorded Future, буйной амерыканскай прыватнай разведвальнай кампаніі, якая спецыялізуецца на кібербяспецы.

Як расказаў выданню The Register аналітык Insikt Group Recorded Future Аляксандр Лэслі, да 2022 года постсавецкае рускамоўнае хакерскае кам'юніці больш-менш уяўляла сабой адно вялікае «брацтва», дзе хакеры супрацоўнічалі і абменьваліся дадзенымі, здабытымі злачынным шляхам (рэквізіты картак і іншае) дзеля агульнай нажывы.

Але з пачаткам вайны гэтае брацтва распалася: адны групы занялі бок Украіны, іншыя - Расіі. Праз год раскол, паводле Лэслі, бачны на ўсіх узроўнях рускамоўнага кіберандэграўнду - на форумах і чорных рынках дарквэба, у асяродку лічбавых махляроў і вымагальнікаў і, вядома, так званых хактывістаў.

У выніку гэтага распаду, падобна, і ўзнікла групоўка Killnet.

Прарасійская хакерская актыўнасць была заўважаная кіберэкспертамі з першага дня вайны, але спачатку навідавоку былі, напрыклад, група Stormous, якая існавала раней, і наваствораная XakNet Team (гэта яна атакавала ў лютым 2022-га сайты ўкраінскіх установаў). Неўзабаве паўстаў альянс Cyber Army of Russia («Кіберармія Расіі»), на чале якой сталі XakNet і Killnet, у яе ўвайшлі ZSecNet, Digital Cobra Gang і іншыя. Хакерскія групы займаліся распаўсюдам прарасійскай дэзінфармацыі, здзяйснялі DDoS-атакі на структуры ва Украіне і іншых краінах, заяўлялі пра выкраданне звестак.

У выніку ў сакавіку ўся гэтая хваля вынесла ў лідары менавіта Killnet, якая пачала дамінаваць і аб'ядноўваць пад сваёй эгідай іншыя хакерскія групы.

Пры гэтым цікава, што большасць сайтаў і акаўнтаў у сацсетках, якія адносяцца да Killnet, была створаная за месяц да вайны - у канцы студзеня 2022 года, адзначае ў сваім дакладзе Recorded Future. На ранніх версіях сайта killnet.io рэкламавалася «новая тэхналогія забойства сеціва - першы ў свеце дэцэнтралізаваны ботнэт» з ужываннем блакчэйну. Такая ж рэклама была на YouTube-канале хакераў.

Скрыншот сайта Killnet

Але неўзабаве групоўка змяніла профіль. Гэта літаральна днямі пацвердзіў і сам яе заснавальнік KillMilk.

«Мы з'явіліся за месяц да канфлікту ва Украіне. Я займаўся DDoS-атакамі на заказ. Але калі я пачуў навіны пра пачатак спецыяльнай ваеннай аперацыі, я закрыў свой сэрвіс і аддаў усе свае рэсурсы для супрацьстаяння», - расказаў KillMilk у фрагменце інтэрв'ю Бі-бі-сі, які сам жа і апублікаваў.

This browser does not support the video element.

Узлёт групоўкі

Дзейнасць Killnet стала заўважная ў пачатку сакавіка 2022 года яшчэ ў складзе ботафермы Cyber Army of Russia, адзначаюць эксперты. Праца расійскіх хакераў актывізавалася ў адказ на заяву сусветнай групоўкі Anonymous пра тое, што яна авяшчае кібервайну Расійскай Федэрацыі. Услед за гэтым Anonymous здзейснілі атаку на сайт канала RT, абваліўшы яго на суткі.

У пачатку сакавіка хакерскі акаўнт пад назвай Zatoichi заявіў, што Killnet у адказ нібыта абваліў сайт саміх Anonymous (пазней сцвярджалася, што ён «ляжаў» цэлых дзесяць дзён), а таксама сайты прэзідэнта Украіны і «Правага сектара». Пасля гэтага сама Killnet апублікавала відэа, у якім чалавек са схаваным тварам і змененым голасам заявіў пра атаку на Anonymous і абвясціў гэтай групоўцы вайну, а таксама заклікаў расіян не сумнявацца ў сваёй краіне.

Калі верыць лідару групоўкі, то першую атаку яна здзейсніла на ўкраінскія сайты яшчэ ў ноч пачатку вайны - пра дачыненне да яе KillMilk заявіў нашмат пазней, у красавіку, у інтэрв'ю Lenta.ru:

«Свой першы ўдар мы нанеслі па дамене gov.ua, што прывяло да падзення ўсіх паддаменаў, на якіх размешчаныя сайты ўрадавых структур Украіны, перасталі працаваць прыкладна 67 рэсурсаў. Прамежкавая магутнасць гэтай атакі склала 2,4 Тб/c. Гэта адбылося за дзесяць гадзін да пачатку спецыяльнай аперацыі, і мы не афішавалі гэтай акцыі. Можна сказаць, тэст быў паспяховы», - заявіў KillMilk.

17 сакавіка Cyber Army of Russia заявіла пра выкраданне асабістых звестак сямі расійскіх селебрыці, якія нібыта «здрадзілі Расіі», а таксама пра дэанон вядомага ўкраінскага блогера. А 22 сакавіка ўжо ўласна Killnet здзейсніла атаку на МУС Латвіі ў адказ на арышт у гэтай краіне рускамоўнага блогера Кірыла Фёдарава. Услед за гэтым 24 сакавіка групоўка ўзяла на сябе адказнасць за атакі на ўрадавыя рэсурсы Польшчы ў адплату за пастаўку дапамогі Украіне.

У канцы сакавіка Killnet выйшла на новы ўзровень і абвясціла пра паспяховую кібератаку на міжнародны аэрапорт Брэдлі ў штаце Канектыкут, ЗША. Гэта быў першы выпадак удару прарасійскіх хакераў па амерыканскай крытычнай інфраструктуры з пачатку вайны.

«Часова немагчыма набыць білет на пералёт, мы прыносім свае прабачэнні Джо Байдэну… Гэтая акцыя - не тэрор, а намёк на тое, што ўрад Злучаных Штатаў не з'яўляецца гаспадарамі мільёнаў жыццяў у Еўропе. Калі спыніцца пастаўка зброі Украіне, адразу ж спыняцца і атакі на інфармацыйныя сеткі вашай краіны. Амерыка, цябе ніхто не баіцца», - такі пост з'явіўся ў тэлеграм-канале групоўкі 29 сакавіка.

Якраз пасля гэтага Killnet дыстанцыявалася ад XakNet Team, пачаўшы развіваць уласны «брэнд», і да траўня стала гегемонам у асяродку прарасійскіх хактывістаў.

9 траўня органы кібербяспекі ЗША, Вялікабрытаніі, Канады, Аўстраліі і Новай Зеландыі сумесна прызналі Killnet пагрозай крытычнай інфраструктуры ўсяго свету.

15 траўня Killnet апублікавала відэа, у якім абвясціла кібервайну ўрадам дзесяці краін: Украіны і ЗША, Вялікабрытаніі, Літвы, Латвіі, Эстоніі, Румыніі, Германіі, Польшчы, Італіі.

«Урад гэтых краін будзе ліквідаваны. Усе хакерскія групоўкі, якія ідуць супраць нас, расійскі спецназ-легіён сумесна з Killnet прыйдзе па вас на досвітку», - заявіў прадстаўнік групоўкі.

Хто ўваходзіць у Killnet

Паводле інфармацыі экспертаў з Recorded Future, Killnet заснавала цэлы шэраг новых структур, такіх як «Zаря», Mirai, Legion. Напрыклад, «Легион - Кибер Разведка» (ён жа «Киберспецназ») пазіцыянуе сябе як група «патрыятычных» хакераў, якія праводзяць для Killnet аперацыі па атацы мэтаў паводле зацверджагана спісу. «Легіён» у чэрвені стварыў, паводле ўласнай заявы, «элітны кіберспецназ» Sparta, які займаецца атакамі ў краінах NATO, разбурэннем інтэрнэт-рэсурсаў, кіберразведкай, крадзяжом персанальных звестак.

Цікава, што нікнэйм «Легіёна» ў Telegram - @Legion_Russia - адпавядае твітар-акаўнту, які называецца Anonymous Russia, а гэта ўжо, як дэкларуецца, іншая група, якая ўваходзіць у Killnet, - менавіта яе заснавальніка нібыта затрымалі беларускія сілавікі. Эксперты дакладна не ведаюць, мае месца супадзенне ці гэта адна і тая ж група.

У сваю чаргу, група «Zаря», якая займалася ў Killnet узломам цэляў, пасля выйшла з групоўкі і супрацоўнічала з XakNet і нібыта ўкраінскай жаночай хакер-групай «Берагіні» для ўзлому ўкраінскіх рэсурсаў, у тым ліку СБУ. Пра гэта ўсім расказваў сам лідар «Zари». Сярод прарасійскіх хакерскіх груповак вельмі шмат як беларусаў, так і ўкраінцаў.

- Ці ёсць сярод партнёраў рускіх хакераў беларусы?

- Безумоўна. Вельмі шмат. Беларусы - нашыя браты. На іх заўсёды можна спадзявацца.

- Ці бываюць перабежчыкі з украінскага боку?

- На здзіўленне, іх вельмі шмат. Мы з імі часта працуем - вельмі прадуктыўныя хлопцы, аказваюць неацэнную дапамогу.

Цяпер у Killnet, паводле ацэнак спецыялістаў, уваходзяць Anonymous Russia, Anonymous Sudan, Infinity Hackers BY і іншыя хакерскія групы.

Anonymous Russia, заснавальніка якой, са словаў лідара Killnet, затрымалі ў Беларусі, - група з няяснай гісторыяй. У мінулым дзесяцігоддзі так называлі сябе хакеры, якія пазіцыянавалі сябе як частка глабальнага руху Anonymous. У 2012−2015 гадах яны здзяйснялі атакі на сайты Крамля, Цэнтрабанка РФ, судоў і гэтак далей.

У жніўні 2014-га, як пісала «Медуза», паведамлялася, што двух новасібірскіх хакераў з Anonymous Russia затрымалі супрацоўнікі ФСБ, але яны раскаяліся ў зробленым і «аказалі ФСБ дапамогу ў перадухіленні далейшых камп'ютарных атак».

Цяперашняя ж Anonymous Russia ці то наогул не мае да той дачынення, ці то ёсць вынікам расколу або перахопу. Бо глабальная групоўка Anonymous 24 лютага абвясціла Расіі вайну, а Anonymous Russia, наадварот, падтрымлівае Крэмль і заявіла пра сябе менавіта ў супрацоўніцтве з Killnet, праводзіла з ёй шмат атак.

Дарэчы, першапачаткова тэлеграм-канал гэтай групы меў адрас t.me/anon_by - у гэтым можна ўбачыць сэнс, калі яе заснавальнікам быў сапраўды беларус з Гомеля, як кажуць у Killnet. Але пасля меркаванага затрымання лідара 15 красавіка ўвесь кантэнт з канала выдалілі, а замест яго завялі новы - ужо з адрасам t.me/anon_russ, кантроль над якім атрымаў новы кіраўнік групы Radis, прызначаны KillMilk'ам.

Скрыншот Anonymous Russia

Беларускай групай таксама называюць Infinity Hackers BY. Яна дэбютавала менавіта ў супрацоўніцтве з Killnet. У адным з матэрыялаў сайта Газета.ру, які не раз публікаваў інтэрв'ю з Killmilk'ам, гаворыцца, што калектыў, «паводле легенды», створаны выхадцамі з малавядомага хакерскага форуму Infinity. Кіраўнік дэпартамента інфармацыйна-аналітычных даследаванняў кампаніі па кібербяспецы T. Hunter Ігар Бедэраў сказаў выданню, што раней не чуў пра Infinity Hackers BY і, на яго думку, пад гэтым імем могуць хавацца беларускія IT-спецыялісты, якія дзейнічаюць у інтарэсах урада краіны. KillMilk жа паведаміў, што разам з Infinity атакаваў падатковую службу ЗША і збіраецца працягваць з імі «партнёрства» да канца вайны.

Скрыншот форуму Infinity, выява з тэлеграм-канала WE ARE KILLNET

Усяго эксперты Recorded Future выявілі каля 100 прарасійскіх хакерскіх груп, якія праявілі сябе з пачатку вайны, але цяпер практычна ўсе яны не дзейнічаюць (прынамсі, ад свайго імені), актыўнымі да лютага 2023 года засталіся толькі пяць найбуйнейшых. Большасць апынулася пад «парасонам» Killnet.

У інтэрв'ю Lenta.ru лідар групоўкі KillMilk сцвярджаў, што ў ёй больш за 4500 чалавек.

Атакі амаль па ўсім свеце, але галоўныя мэты - Еўропа, ЗША і NATO

Большасць аперацый Killnet уяўляюць сабой DDoS-атакі на вэб-сайты. Падчас DDoS-атакі арганізатар генеруе досыць вялікую колькасць запытаў, каб перагрузіць мэтавую старонку і пазбавіць яе магчымасці адказваць на запыты. У выніку сайт перастае працаваць.

Таксама хакеры гэтай групоўкі займаюцца ўкараненнем праграм, з дапамогай якіх пазбаўляюць ахвяру доступу да дадзеных (звычайна з дапамогай шыфравання), што можа прывесці да значнага парушэння працы сістэм і арганізацый.

Трэці з асноўных напрамкаў дзейнасці - узлом сайтаў і сістэм для ўкаранення ў іх і (або) выкрадання дадзеных.

Killnet і яе саюзнікі заяўлялі пра сваю адказнасць у больш чым 50% выпадкаў усіх прарасійскіх хакерскіх атак, якія адсачылі аналітыкі Recorded Future з пачатку вайны, у тым ліку атак на структуры ЗША, Германіі, Літвы і іншых дзяржаваў, якія падтрымліваюць Украіну.

Вось асноўныя атакі:

  • Польшча - атака на Нацбанк 24−25 сакавіка 2022-га і на падатковае ведамства ў ліпені, пасля і на сайты іншых органаў;
  • Чэхія - атакі на сайты дзяржустановаў і тэлебачання ў красавіку 2022-га;
  • Румынія - атакі на ўрадавыя сайты ў красавіку-траўні 2022-га;
  • Малдова - атакі на сайты дзяржорганаў у канцы траўня 2022-га, а таксама ў жніўні;
  • Італія - няўдалая спроба «пакласці» сайт «Еўрабачання» перад конкурсам у траўні. Пасля таго як улады адбілі гэтую атаку, групоўка атакавала італьянскія дзяржсайты;
  • Літва - хакеры 27 чэрвеня «паклалі» сайты розных ведамстваў і кампаній у адплату за ўзмацненне Літвой санкцый супраць Расіі;
  • Латвія - серыя ўдараў у пачатку ліпеня па дзяржсайтах і сайту нацыянальнага тэлебачання, якую крыніца The Times у NATO назвала найбуйнейшай кібератакай у гісторыі Латвіі. Яна была праведзеная пасля навін пра знос савецкіх помнікаў. Яшчэ адна атака адбылася ў пачатку жніўня, пасля таго як Латвія прызнала Расію дзяржавай - спонсарам тэрарызму, пад удар трапіў сайт парламента;
  • Нарвегія - атакі на сайты дзяржустановаў і банкаў у канцы чэрвеня;
  • Эстонія - беспаспяховыя атакі ў жніўні, сістэмы абароны эстонскіх сайтаў змаглі іх адбіць;
  • Японія - 6 верасня групоўка заявіла пра атаку на больш чым два дзясяткі ўрадавых сайтаў, а назаўтра абвясціла Японіі вайну і заявіла, што атакавала метро Токіа і Осакі. Аднак улады Японіі заявілі, што ніякіх уцечак у выніку не адбылося;
  • Балгарыя - атака на дзяржсайты ў кастрычніку;
  • Аўстрыя - атака на сайты энергетычных кампаній у лістападзе;
  • Еўрасаюз - атака на сайт Еўрапарламента 23 лістапада, сайт быў адключаны сем гадзін. Гэтую аперацыю здзейсніла група Anonymous Russia;
  • атака на бальніцы Нідэрландаў і яшчэ некалькіх краін Еўропы, а таксама ЗША ў канцы студзеня - пачатку лютага 2023 года.

Але асаблівую ўвагу хакеры надалі ЗША: Акрамя ўжо згаданага аэрапорта Брэдлі 29 сакавіка 2022-га, паводле іх словаў, яны правялі атаку на сайт Кангрэса 7 ліпеня, на ваенную кампанію Lockheed Martin (вытворца HIMARS) 3 жніўня, на ўрадавыя сайты ў некалькіх штатах ЗША і сайты аэрапортаў 5−10 кастрычніка.

16 снежня Killnet заявіла пра ўзлом сайта ФБР і нібыта выкраданне ўсіх пароляў 10 тыс. супрацоўнікаў. А 16 студзеня 2023-га Killnet разам з нібыта беларускай Infinity Hackers BY паведамілі пра ўзлом сістэмы падатковай службы ЗША з дапамогай падробленага сайта PornHub. Паведамлялася, што атака была адказам на агрэсіўную палітыку ЗША супраць Мінска.

Выява з тэлеграм-канала WE ARE KILLNET

Яшчэ адна важная для хакераў мэта - Германія. Атакі на яе пачаліся ў адказ на рашэнне ўрада Олафа Шольца паставіць Украіне танкі Leopard 2. Killnet загадзя заклікала іншыя групоўкі далучыцца да гэтых аперацый.

Былі здзейсненыя атакі на сайты дзяржорганаў, аэрапортаў, кампаній фінансавага сектара 26 студзеня 2023-га, а таксама атака на авіякампанію Lufthansa 15 лютага. Праз яе адбыліся збоі ў сістэме рэгістрацыі і затрымкі рэйсаў па ўсім свеце (але ў кампаніі казалі, што рэч у пашкоджанні кабеля ў Франкфурце).

«Мы забілі карпаратыўную сетку супрацоўнікаў Lufthansa з дапамогай 3 млн запытаў тлусценькіх пакетаў дадзеных у секунду. Гэта быў дослед над пацукамі, які прайшоў паспяхова. Цяпер мы ведаем, як спыніць працу любога аэрапорта свету», - заявіў пра гэта KillMilk.

16 лютага была здзейсненая атака на шэраг аэрапортаў у Еўропе, адказнасць за якую ўзяла на сябе група Anonymous Russia. Як заявілі хакеры, была парушаная праца інфармацыйных сістэм аэрапортаў Эрфурт Біндэрслебен, Гановер, Дортмунд, Нюрнберг, Карлсруэ/Бадэн-Бадэн і Дзюсельдорф (іншыя буйныя аэрапорты выстаялі). Акрамя таго, у гэтыя ж дні была атакаваная кампанія Scandinavian Airlines (SAS), яе сайт быў адключаны. Адказнасць на сябе ўзяла групоўка Anonymous Sudan, якая таксама ўваходзіць у Killnet.

У сярэдзіне красавіка таксама было атакаванае бізнэс-падраздзяленне нямецкага зброевага канцэрна Rheinmetall, які ўдзельнічае ў ваеннай дапамозе Украіне. Killnet пра сваю адказнасць за гэта не заяўляла, але ў сакавіку абвяшчала Rheinmetall мэтай для атак.

Killnet паспрабавала нанесці ўдар і па NATO. Першая атака на розныя сайты Альянсу, уключаючы сайт базы Рамштайн, адбылася 13 лютага. Наступная - ужо ў красавіку. Спярша яе гучна анансавалі за 48 гадзін: Killnet паабяцала «знішчыць NATO ў сеціве». У дзень атакі, 13 красавіка, групоўка заявіла, што паралізавала «40% электроннай інфраструктуры NATO», і размясціла таблічку з нібыта мэйламі і паролямі супрацоўнікаў NATO.

У той жа дзень Killnet дэкларавала, што атрымала доступ да закрытай сістэмы кіравання навучаннем войскаў NATO і спіс усіх, хто праходзіў і мусіць прайсці навучанне на базах Альянсу, уключаючы байцоў УСУ, а таксама падручнікі, карты і іншыя матэрыялы. Групоўка прапанавала NATO заплаціць 3 біткоіны, каб архіў не быў апублікаваны: 1,5 паабяцала аддаць на падтрымку байцоў «СВА», а другую палову - на дабрачыннасць дзецям. Крыху пазней нейкія архівы сапраўды былі апублікаваныя - мяркуючы па каментарах, у асноўным там былі спісы закупак для базаў.

Killnet падкантрольная ўладам Расіі?

На цяперашні момант доказаў гэтага, падобна, няма. Эксперты па кібербяспецы ў асноўным устрымліваюцца ад прамых заяваў наконт сувязі Killnet з уладамі.

«Напярэдадні вайны і адразу пасля яе пачатку мы выявілі кіберзлачынную актыўнасць, якая, на нашую думку, была справай рук расійскай дзяржавы. Рускамоўныя групы, якія называюць сябе "хактывістамі", такія як Killnet і XakNet, амаль напэўна актыўна ўдзельнічаюць у інфармацыйных аперацыях расійскіх дзяржСМІ супраць арганізацый і прадпрыемстваў на Захадзе, імаверная мэта якіх - нагнятанне страху і змяншэнне падтрымкі Украіны», - пішуць пра свае першапачатковыя высновы аналітыкі Recorded Future ў студзеньскім дакладзе.

Але ў далейшым яны размежоўваюць Killnet з XakNet і звязаныя з імі групамі (Cyber Army of Russia Reborn і іншымі). Recorded Future спасылаецца на вераснёўскі даклад іншай аўтарытэтнай кампаніі па кібербяспецы - Mandiant. Тая прыйшла да высновы, што сетка XakNet каардынуе свае аперацыі з ГРУ Расіі. У прыватнасці, у некаторых атаках на ўкраінскія сайты было выяўленае выкарыстанне інструментаў, якія раней выкарыстоўвалі хакеры, што працуюць з расійскай разведкай.

У вераснёўскім матэрыяле Politico таксама гаворыцца, што, хоць Killnet дэкларавала жаданне супрацоўнічаць з уладамі Расіі, на той момант, на думку выдання, не было ніякіх знакаў таго, што групоўка знаходзіцца пад непасрэдным кантролем дзяржорганаў.

Пры гэтым Politico адзначала, што нават калі гэтыя хакеры не падпарадкоўваюцца ўладам, іх выразная пракрамлёўская пазіцыя можа ў нейкі момант стварыць праблемы Маскве.

«Гэта робіць Расію патэнцыйна адказнай за шкоду, нанесеную такімі атакамі, калі ўлады ў Маскве не дыстанцыююцца ад такіх зламысных аперацый», - сказаў выданню Патрык Паўлак, выканаўчы дырэктар Інстытута даследаванняў бяспекі ЕС.

А вось што гаворыць пра сябе і сваіх «калег» сам KillMilk:

«Я рускі і я прыняў рашэнне быць карысным сваёй краіне настолькі, наколькі я магу. Гэта справядліва і для маіх таварышаў па Killnet».

«Нас фінансуюць энтузіясты і патрыёты сваёй краіны. Гэтыя людзі не маюць ніякага дачынення да органаў улады».

«Казаў пра гэта раней і скажу яшчэ раз: гэтых сувязяў [з расійскімі сілавымі структурамі] няма, як і ў нашых шэрагах няма людзей у пагонах».

Графічная выява хакера KillMilk, крыніца: тэлеграм-канал KillMilk

Шум і паніка

Як можна заўважыць, Killnet нярэдка звяртаецца да гучных пагрозаў і пафасным заяваў - яны з'яўляюцца як у каналах групоўкі, так і ў інтэрв'ю яе заснавальніка, якіх ён раздаў расійскім рэсурсам нязвыкла шмат для ананімнага кіберзлачынца.

Напрыклад, лідара групоўкі ў інтэрв'ю спыталі, ці дойдзе ў кібервайне да чалавечых ахвяраў.

«Так. І я буду першапраходцам, - адказаў KillMilk. - У Расіі я стану героем, а за мяжой - злачынцам. Хутка я і Killnet пачнуць магутныя атакі на еўрапейскія і амерыканскія прадпрыемствы, якія ўскосна прывядуць да ахвяраў. Я прыкладу ўсе сілы, каб гэтыя рэгіёны і краіны адказалі за кожнага нашага салдата».

Яшчэ прыклады пагрозаў ад Killnet:

  • збіраліся ліквідаваць урады 10 краін;
  • абяцалі знішчыць NATO ў сеціве;
  • анансуючы атаку на Lockheed Martin, абяцалі «разбуральныя наступствы»;
  • збіраліся «пакласці» трансляцыю звароту Джо Байдэна з Варшавы 21 лютага;
  • нарэшце, патрабуючы вызваліць нібыта арыштаванага ў Беларусі кіраўніка Anonymous Russia, KillMilk заявіў, што Беларусь «у чорным спісе», ва ўладаў ёсць час да раніцы, інакш «Беларусі п**да». У Anonymous Russia паабяцалі скіраваць на дзяржорганы Беларусі ўсе магутнасці, калі іх заснавальніка не выпусцяць.
Скрыншот паведамленняў KillMilk'a
Скрыншот паведамленняў KillMilk'a

Аднак NATO ў сеціве не знішчылі, урады дзесяці краін на месцы, як і іх сайты, Lockheed Martin працягнула нармальную працу, трансляцыя прамовы Байдэна адбылася, а вось «п**ды Беларусі» - не: групоўка неўзабаве выдаліла ўсе пагрозы беларускім уладам, пакінуўшы толькі асабістыя выпады ў адрас нейкага сілавіка, звязанага з затрыманнем хакера.

Праўда, паўгадзіны не працаваў сайт Мінінфарма Беларусі, але ён даволі часта ламаецца, а адказнасці за гэта групоўка на сябе не ўзяла. Так што гэта наўрад ці праца хакераў.

На думку большасці экспертаў, кіберудары Killnet на практыцы зусім не такія небяспечныя і эфектыўныя, як на словах. Напрыклад, ФБР пасля сутыкнення з групоўкай назвала яе DDoS-атакі толькі «абмежавана паспяховымі». Наколькі можна меркаваць з паведамленняў пра шматлікія вышэйпералічаныя атакі, яны маглі прыводзіць да збояў у працы сайтаў і сістэм, але іх даволі хутка аднаўлялі. Пра якія-небудзь значныя ўцечкі дадзеных праз хакераў не паведамлялася.

Словам, спецыялісты па кібербяспецы апісваюць групоўку хутчэй як непрыемнасць, чым як пагрозу. Пераважная большасць атак, пра якія заяўляюць прарасійскія хактывісты, уяўляюць сабой адносна нескладаныя размеркаваныя атакі тыпу «адмова ў абслугоўванні» (DDoS). Большасць краін, якія падвергліся гэтым атакам, змаглі адбіць іх ці лёгка ад іх акрыяць.

На думку аналітыкаў, рэч у тым, што першачарговая мэта хакераў - не столькі ўзлом, пашкоджанне, адключэнне сайтаў і сістэм, колькі дэзінфармацыя і запалохванне Захаду, прапаганда, стварэнне панікі. Менавіта для гэтага групоўка гучна заяўляе пра свае «перамогі» і пісьменным піярам дамагаецца таго, каб гэта распаўсюджвалася ў сацсетках і СМІ. Толькі ў асноўным тэлеграм-канале Killnet больш за 90 тыс. падпісчыкаў.

«Паводле нашых ацэнак, большасць заяваў, зробленых прарасійскімі хактывістамі з 24 лютага 2022 года, - ілжывыя, уводзяць у зман або перабольшаныя. Мы лічым, што пагроза нацыянальнай бяспецы з боку прарасійскіх хактывістаў заключаецца не ў іх атаках, а ў іх здольнасці сеяць паніку і спрыяць распаўсюду расійскай прапаганды і дэзінфармацыі», - гаворыцца ў дакладзе Recorded Future.

Як пішуць эксперты, уплыў прарасійскіх хактывістаў на вайну Расіі супраць Украіны і на замежную падтрымку Украіны нават пры самай шчодрай ацэнцы можна назваць толькі нязначным.

Будучая кіберармія Расіі?

Тым не менш Killnet працягвае пазіцыянаваць сябе як лідар прарасійскай кіберзлачыннай сферы і збіраецца пашырацца. У сярэдзіне сакавіка яе лідар KillMilk абвясціў, што стварае ўласную «ПВК» - прыватную ваенную хакерскую арганізацыю Black Skills:

«Я запускаю новую структуру хактывізму па RU кам'юніці. Гэта будзе не проста рух са сваімі ідэямі. Гэта будзе арганізацыйная машына са сваімі законамі і мэтамі, з дысцыплінай і парадкам. 24 падраздзяленні са 100%-най сінхранізацыяй паміж сабой. Адзіны блок з гарачай лініяй 24/7 для прыёму зваротаў і заказаў».

Са свайго боку, улады Расіі таксама ўсё больш адкрыта кажуць пра магчымае выкарыстанне дапамогі хакераў у вайне. У лютым 2023-га дэпутат Дзярждумы РФ Аляксандр Хінштэйн паведаміў, што Крэмль разглядае магчымасць надання юрыдычнага імунітэту «хакерам, якія дзейнічаюць у інтарэсах Расіі», - то-бок іх могуць афіцыйна вызваліць ад крымінальнай адказнасці за выгадныя ўладам атакі.

«Мы лічым, што цяперашні статус-кво, калі расійскія спецслужбы супрацоўнічаюць з кіберзлачынцамі або маскіруюцца пад хакераў для праўдападобнага адмаўлення [сваёй сувязі з атакамі], не даў таго разбуральнага эфекту, на які разлічвала расійская дзяржава», - адзначае аналітык Recorded Future Аляксандр Лэслі.

На думку эксперта, праз гэта ўлады Расіі ўжо ў найбліжэйшыя месяцы могуць адмовіцца ад спробаў адмаўляць працу з хакерамі, вызваліць іх ад адказнасці і прызнаць кібератакі часткай сваёй замежнай палітыкі.