Раньше остальных - 25 февраля - объявила кибервойну России группировка Anonymous. Она существует как минимум с 2008 г. и отметилась во многих акциях, в частности, направленных на защиту Джулиана Ассанжа. Anonymous приобрела известность своей операцией "Расплата", которая заключалась в серии DDoS-атак на сайты организаций и частных лиц, которые продвигают законы о защите авторских прав, в том числе Amazon, PayPal, MasterCard, Visa, банк PostFinance. Схожую тактику выбрала Anonymous и по отношению к российским госучреждениям, СМИ и банкам.
"Anonymous считается децентрализованной группой, участники позиционируют себя как хактивистов. Группа не является устойчивой, большинство активистов не обладают высокой квалификацией. Чаще всего они используют DDoS-атаки, перегружая атакуемую систему запросами до вывода ее из строя. Также популярное оружие группы - дефейс (Deface) - взлом одной из страниц сайта с подменой контента и размещением на ней какого-либо сообщения. Целью Anonymous часто становятся государственные органы разных стран, общественные организации", - такую информацию о данной группировке предоставил по запросу ComNews ведущий антивирусный эксперт "Лаборатории Касперского" Сергей Ложкин.
Тактика данной группы, как отмечает пресс-служба Group-IB, сводится к следующему: "Сначала они в публичных сообществах, например в Twitter, призывают к атакам на определенные организации в рамках той или иной кампании. Для того чтобы пользователи легко могли идентифицировать эти атаки, они обычно используют специальные хештеги под каждое событие и хештег Anonymous. К этим кампаниям могут присоединяться молодые хакеры без профессиональных навыков и умений. Однако сила подобных акций именно в массовости хактивистов. А учитывая доступность различных средств, как для DDoS-атак, так и для пентестинга - проверки ресурсов на уязвимости, их жертвами легко могут стать слабо защищенные ресурсы". Также, как предупреждают в Group-IB, Anonymous может выступать в качестве своего рода зонтичной структуры для прогосударственных группировок и спецслужб.
Несколько позже в тот же день появилось сообщение двух группировок - Conti и CoomingProject, что они выбрали сторону России в конфликте. В Twitter Conti об этом появилось следующее сообщение: "Если кто-либо решит организовать кибератаку или какие-либо военные действия против России, группа собирается использовать все возможные ресурсы, чтобы нанести ответный удар по критически важным инфраструктурам врага".
Однако спустя некоторое время появилось другое сообщение, тон которого был несколько смягчен: "Мы не вступаем в союз ни с одним правительством, и мы осуждаем продолжающуюся войну. Однако, поскольку Запад, как известно, ведет свои войны, в первую очередь нанося удары по гражданскому населению, мы будем использовать наши ресурсы, чтобы нанести ответный удар, если благополучие и безопасность мирных граждан будет поставлено на карту из-за американской киберагрессии".
Conti, как информирует Сергей Ложкин, специализируется на атаках с помощью программ-вымогателей и действует по модели Ransomware-as-a-Service (шифровальщик как услуга): "Чаще всего они используют уязвимости Windows. Их целью становятся, как правило, крупные компании и цепочки поставок, но в 2020 г. зафиксированы атаки на критическую инфраструктуру, больницы в США, Службу здравоохранения Ирландии. Злоумышленники не только шифруют данные, но и угрожают опубликовать их, если не будет заплачен выкуп. Conti постоянно совершенствует как собственные инструменты, так и сотрудничает с другими группами, используя их инструментарий". По данным ФБР, Conti ответственна за проведение более 400 атак только на американские компании за последний год.
"Я бы не считал эту угрозу особенно серьезной, - прокомментировал американскому изданию CyberScoop, аналитик по угрозам фирмы по кибербезопасности Emsisoft Бретт Кэллоу. - Conti уже давно высказывает большие амбиции, и в данном случае я подозреваю, что у них нет возможности специально нацеливаться на критическую инфраструктуру. Тем не менее угрозу нельзя полностью игнорировать".
Также в конфликт вмешалась группировка killnet, начавшая уже 26 февраля атаковать сайт Anonymous, который до сих пор выведен из строя. Но официальное обращение kiilnet выпустила только 1 марта. Наряду с сайтом Anonymous, killnet, по данным некоторых СМИ, вывела из строя сайт признанной экстремистской в России группировки "Правый сектор".
Яков Шпунт