Злам "Дії" по-чеченськи: чи були особисті дані українців викрадені російськими хакерами?

Наприкінці червня Федеральне бюро розслідувань (ФБР) оголосило в розшук 22-річного російського хакера чеченського походження Аміна Стігала. За інформацію про нього пообіцяли винагороду у 10 млн дол. Ця новина могла ніколи не потрапити в український інформаційний простір, якби не одна деталь.

Річ у тім, що Стігал не простий хакер, який дошкулив американцям. Він співпрацював з російською військовою розвідкою і причетний до масштабної кібератаки проти України у січні 2022 року. Тоді десятки урядових сайтів стали жертвами хакерського удару, а на сторінках окремих зламаних ресурсів з’явилися погрози на адресу українців.

За версією слідства, ту атаку здійснили з метою збору даних, які не мали військового значення, а також для дестабілізації України напередодні російського вторгнення. Група хакерів використовувала шкідливе програмне забезпечення WhisperGate для маскування атак під вимогою викупу. Насправді ж їхньою метою було знищення даних.

Після цих подій у даркнеті (частина Інтернету, доступ до якої можливий лише через спеціальне програмне забезпечення) почали з’являтися десятки гігабайт даних нібито з різних державних сайтів, зокрема з порталу "Дія". У Мінцифри тоді заперечували злив та називали його провокацією і частиною гібридної війни.

Але за місяць після цих подій гібридна війна перетвориться в реальну, а версія про злиті дані нібито з "Дії" отримає своїх прихильників та критиків. В оприлюдненому документі окружного суду штату Меріленд (США) йдеться, що після атаки хакери, серед яких і Стігал, того ж дня виставили на продаж дані 13,5 мільйона користувачів з сайту Diia.gov.ua за 80 тис дол.

Читайте по темі: Уряд дозволив закуповувати українські БПЛА через Prozorro

Чи дійсно дані з порталу "Дія" були втрачені та для чого ФБР "засвітило" ім’я одного зі хакерів атаки більш ніж дворічної давнини?

Атака напередодні великої війни

Кібератаку в ніч з 13 на 14 січня 2022 року можна вважати першим актом у кібернетичному просторі перед повномасштабним вторгненням росіян. Тоді, трохи більше ніж за місяць до великої війни, під ударом хакерів опинилися десятки державних сайтів, серед яких сторінки Міністерства закордонних справ, Міністерства охорони здоров’я, порталу "Дія" та інших.

У своєму звіті урядова команда реагування на комп’ютерні надзвичайні події CERT-UA одним з найбільш вірогідних векторів реалізації кібератаки визначила "компрометацію ланцюга постачальників" (supply chain). 

Крім того, тодішній голова Держспецзвʼязку Юрій Щиголь розповідав, що атака була комбінованою і складалась із трьох векторів: перший – supply chain attack, що дозволило проникнути в систему та вивести з ладу пов’язані інформаційні та автоматизовані системи. Інші два вектори включали використання вразливостей в системах керування вмістом сайтів October CMS та Log4j.

Про вразливість October CMS згадували ще у травні 2021 року. Крім того, у документі окружного суду штату Меріленд згадується, що приблизно 19 серпня того ж року змовники просканували понад 2400 вебсайтів українського уряду на наявність потенційних вразливостей, включаючи портал "Дія". Жертвами тієї атаки стали майже 70 сайтів державних установ – як центральних, так і місцевих органів влади.

У розмові з ЕП один з засновників "Українського кіберальянсу" Андрій Баранович прямо вказував, що всі атаковані держсайти працювали на одній і тій самій не оновленій версії програмного забезпечення.

Під час атаки на держсектор вирішальну роль зіграли шкідливі програми BootPatch та WhisperKill. Стігал керував схемою шкідливого програмного забезпечення WhisperGate. Такі атаки маскували під шахрайство з вимогою заплатити 10 тис дол у біткоїнах за відновлення викрадених даних. Проте, за версією прокурорів США, зараження повʼязаних з українськими урядовими мережами компʼютерів вірусом WhisperGate спричинило знищення даних.

У Мінцифри ЕП відповіли, що атаку здійснили на інфраструктуру однієї з ІТ-компаній-розробників порталу "Дія".

Атаковані державні сайти на October CMS побудувала київська компанія Kitsoft (ТОВ "Комп’ютерні інформаційні технології"), яка спеціалізується на створенні IT-продуктів для державних органів і бізнесу. У 2021 році вона виграла тендер на розробку Єдиного державного порталу електронних послуг на замовлення держпідприємства "Дія" вартістю 38,4 млн грн.

Читайте по темі: У застосунку Резерв+ оновили дані 2 мільйони українців

Зрештою оголошення винагороди за допомогу в пошуку російського хакера пролило світло на деталі однієї з найбільших кібератак в історії незалежної України, довівши при цьому причетність російського Головного розвідувального управління (ГРУ) до інциденту.

Співпраця з ГРУ та збір даних перед вторгненням

Влада США, звинувачуючи 22-річного Стігала, прямо вказує на його зв’язок з російською військовою розвідкою. Згідно зі звинуваченням, хакер і його неназвані змовники з ГРУ напередодні великої війни прямо націлювались на дані українського уряду, які не мали військового чи оборонного значення.

За словами генерального прокурора США Мерріка Гарленда, Стігал вступив у змову з російською військовою розвідкою напередодні вторгнення РФ в Україну, щоб здійснити кібератаки проти українського уряду, а згодом проти його союзників, включаючи Сполучені Штати.

В Росії існує негласна система, за якої кожне силове відомство співпрацює з певними групами хакерів, надаючи їм захист та поблажки (наприклад, можливість безкарно займатись шахрайством). ГРУ опікується хакерами, які спеціалізуються на шифруванні та зламі систем з метою отримання інформації.

"ГРУ можна назвати центром хакерів, які збирають інформацію для військових цілей та так званої критичної інфраструктури. Під час проведення наступальних операцій їм потрібні дані, зокрема для проведення фільтраційних заходів та контролю над окупованими територіями. Саме тому військова розвідка отримала завдання збирати цю інформацію", – пояснює спеціаліст з кібербезпеки та засновник проєкту HackYourMom Микита Книш.

Кібератака у січні 2022 року – крапля в морі спецзаходів, які здійснюють російські хакери під керівництвом ГРУ. Досить часто вони видають себе за звичайних шахраїв, які вимагають кошти, за повернення доступу до уражених систем, але насправді за цим стоїть вплив цілої держави.

Одним із найвідоміших хакерських угруповань у світі є Sandworm, члени якого фактично є офіцерами ГРУ військової частини (в/ч) 74455. Їм приписують низку гучних кібератак, зокрема вірусом NotPetya у 2017 році, яка завдала шкоди на мільярди доларів по всьому світу, та на оператора мобільного зв’язку "Київстар" у 2023 році.

Інша хакерська група "APT 28", що складається з офіцерів 85-го головного центру спеціальної служби ГРУ, в/ч 26165, не раз атакувала урядові та неурядові об’єкти в США та Європі, зокрема в Україні. Влітку 2018 року Мін’юст США опублікував обвинувачення для 12-ти співробітників ГРУ, яких вважають причетними до "APT 28". Їх звинувачують у зламі серверів Демократичної партії США та спробі втручання в американські вибори.

Злам українських державних сайтів є тільки частиною злочинів, у яких підозрюють Стігала. Згідно з судовими документами, 22-річний чеченець причетний до атак на транспортну інфраструктуру однієї з центральноєвропейських держав, яка відіграє важливу роль у наданні допомоги Україні після початку великої війни.

Крім того, група WhisperGate атакувала американську державну установу, розташовану в штаті Меріленд. За даними ФБР, Стігал і хакери понад 60 разів впливали на роботу вебсайтів державних установ США.

Сукупність цих атак, ймовірно, й дозволила ФБР деанонімізувати російського хакера та встановити винагороду у 10 млн дол за додаткову інформацію про нього.

Чи допоможе викриття Стігала прискорити його арешт

Спрогнозувати дії американських спецслужб важко. Одним з найпоширеніших варіантів переслідування таких підозрюваних є непублічна передача даних, наприклад, Інтерполу. Це дозволило б затримати росіянина при спробі потрапити в іншу країну. Проте, ймовірно, він не так часто покидає межі РФ.

Зрештою для американської влади це далеко не перший випадок деанонімізації російських хакерів з подальшим оголошенням винагороди. Так, Секретна служба США у січні цього року звинуватила й батька Стігала – Тіма (Тімура) у викраденні даних банківських карток і коштів з рахунків громадян США.

"Такі випадки можуть мати певний вплив на хакерську ком’юніті, яка і так не дуже охоча працювати з ГРУ. Але ви маєте розуміти, що у них й немає особливого вибору, коли справа доходить до співпраці з силовиками. Загалом, залякування тюремними термінами є досить стандартним способом вербування хакерів у всьому світі", – розповідає Книш.

Спроможні до кібератак на такому рівні хакери розуміють, що рано чи пізно реальна інформація про них стане публічною, оскільки це поширена практика тих же ФБР, додає Книш.

Американським спецслужбам вдалося встановити, що Стігал використовував псевдонім Free Civilian. Згідно з обвинувальним актом, через кілька годин після кібератаки, що відбулася 13 січня 2022 року, хакер та його спільники виставили на продаж дані, які, за їхніми твердженнями, були викрадені в українського уряду.

Ці дані виклали на форумах даркнету під псевдонімом Free Civilian. У розслідуванні The Insider також зазначається, що Стігал ще зі шкільних часів використовував нікнейми Vaticano і Free Civilian. Людина під ніком Vaticano виставила на продаж дані українців на великому форумі RaidForums, після чого адміністрація заблокувала його.

Всі ці твердження ФБР спонукали фахівців з кібербезпеки до нових дискусій щодо того, чи дійсно відбувся злам порталу "Дія".

Чи був злам "Дії"

Після кібератаки у січні 2022 року в мережі дійсно щонайменше двічі з’являлись масиви даних, які містили особисту інформацію українців. Востаннє, 23 лютого 2023 року, у Telegram-каналі Free Civilian з’явився анонс зливу даних із низки українських державних сайтів, зокрема порталу "Дія".

У Мінцифри переконують, що дані, які виставлялись на продаж у 2022 та 2023 роках, не мають нічого спільного з "Дією". У відповідь на запит видання "Голос Америки" у відомстві зазначили, що в даркнеті виклали базу даних під виглядом інформації з "Дії".

Українські спецслужби провели закупівлю та аналіз матеріалів, додали в уряді. Слідчі встановили, що 13,5 млн даних – це, нібито, компіляція різних баз приватних компаній, що були злиті набагато раніше.

"По-перше, на момент викладення даних у 2022 році на порталі "Дія" було лише 1,5 мільйона користувачів, а не 13 мільйонів. По-друге, структура даних щодо громадян у злитих даних значно відрізнялася від тих, що обробляються на порталі "Дія". По-третє, ці злиті дані викладали хакери й раніше, ще до створення "Дії", в інших обсягах чи компіляціях, що було підтверджено правоохоронними органами за результатами аналізу", – відповіли ЕП в Мінцифри.

Однак, як тоді, так і зараз аргументи Мінцифри не для всіх фахівців у сфері кібербезпеки є переконливими. Частина з них вказує, що структура даних у зразках злитих на RaidForums 22 січня 2022 року все ж відповідає структурі даних із порталу "Дія".

Крім того, ФБР звинувачує Стігала й у витоку та продажу чутливої інформації українських громадян. В обвинувачувальному документі йдеться, що після кібератаки 13 січня 2022 року хакери, ймовірно, Стігал та його спільники, виставили на продаж у даркнеті дані, які, за їхніми твердженнями, були викрадені з українських державних систем.

Ці дані включали:

• судимості: інформація про кримінальні справи та покарання українців;
• дані про стан здоров’я: приватна інформація про медичну історію пацієнтів;
• інформація Моторного (транспортного) страхового бюро: дані про транспортні засоби та їх власників.

Змовники також виставили на продаж в інтернеті дані 13,5 мільйона користувачів з Diia.gov.ua за 80 тис дол.

"Зі свого досвіду можу сказати, що у ФБР достатньо коштів, щоб закупити зразки цих даних, та дослідити, хто їх продає та чи дійсно стався злив інформації", – пояснює Книш. На його думку, з січня 2022 року хакери, попри заяви влади, дійсно могли отримати доступ до українських реєстрів саме через портал "Дія".

У підсумку, все виглядає так, що однозначної відповіді на те, чи дійсно росіяни отримали доступ до "Дія", поки немає.

Однак правоохоронці США змогли привідкрити завісу на події, що трапились перед початком великої війни, вказавши на одного учасника кібератаки, який має понести відповідальність як співучасник воєнного злочину.