Американские власти обвинили шесть офицеров ГРУ в атаках NotPetya, KillDisk и Olympic Destroyer

[Admin]

Министерство юстиции США предъявило обвинения шести российским гражданам, которые, как считается, являются членами группировки Sandworm (она же Telebots, BlackEnergy, Voodoo Bear и так далее), одной из самых известных хакерских групп, спонсируемых государством.

Американские власти утверждают, что все обвиняемые служат в подразделении 74455 Главного разведывательного управления России (Unit 74455) и по приказу правительства России проводили кибератаки с целью дестабилизировать другие страны, вмешаться в их внутреннюю политику, причинить ущерб и денежные потери.

В частности, Минюст связывает группировку Sandworm со следующими известными инцидентами:

атаки на правительство и критическую инфраструктуру Украины: с декабря 2015 по декабрь 2016 года проводились атаки на энергосистему Украины, Министерство финансов и Государственную казначейскую службу с использованием малвари BlackEnergy, Industroyer и KillDisk;
выборы во Франции: в апреле-мае 2017 года, перед выборами во Франции, были зафиксированы целевые фишинговые атаки и связанные с ними попытки взлома, нацеленные на политическую партию «La République En Marche!» президента Франции Макрона, других французских политиков и местные власти страны;
бизнес и критическая инфраструктура во всем мире (NotPetya): 27 июня 2017 года начались массовые атаки малвари NotPetya, поразившие компьютеры во всем мире, включая медицинские учреждения Heritage в Пенсильвании, дочернюю компанию FedEx Corporation, TNT Express BV, а также крупного производителя фармацевтической продукции в США, который в итоге понес убытки в размере миллиарда долларов;
организаторы, участники, партнеры и посетители зимних Олимпийских игр в Пхенчхане: с декабря 2017 года по февраль 2018 года фишинговые кампании и вредоносные мобильные приложения атаковали граждан и официальных лиц из Южной Кореи, олимпийских спортсменов, партнеров и посетителей Олимпийских игр, а также официальных лиц из Международного олимпийского комитета;
ИТ-системы Зимних Олимпийских игр в Пхенчхане (Olympic Destroyer): с декабря 2017 года по февраль 2018 года фиксировались атаки на системы, обслуживающие Зимние Олимпийские игры в Пхенчхане. Кульминацией стала разрушительная атака на церемонию открытия Олимпийских игр, 9 февраля 2018 года, с использованием малвари Olympic Destroyer;
расследования отравления «Новичком»: в апреле 2018 года были замечены кампании направленного фишинга, целью которых были расследования Организации по запрещению химического оружия (ОЗХО) и оборонной научно-технической лаборатории Соединенного Королевства (DSTL), проводившиеся из-за отравления Сергея Скрипаля, его дочери и несколько граждан Великобритании нервно-паралитическим веществом;
атака на государственные учреждения Грузии: в 2018 года была замечена кампания целевого фишинга, нацеленная на крупную медиакомпанию, в 2019 году была предпринята попытка компрометации сети парламента, а в 2019 году замечены масштабные дефейс-атаки на самые разные сайты.

Согласно судебным документам, шесть офицеров ГРУ, которым предъявлены обвинения, ответственны за следующие преступления:

Ответчик Обвинения
Юрий Сергеевич Андриенко Разработка компонентов малвари NotPetya и Olympic Destroyer.
Сергей Владимирович Детистов Разработка компонентов малвари NotPetya, а также подготовка фишинговых кампаний, нацеленных на Зимние Олимпийские игры в Пхенчхане.
Павел Валерьевич Фролов Разработка компонентов малвари KillDisk и NotPetya.
Анатолий Сергеевич Ковалев Разработка фишинговых кампаний, нацеленных на: членов La République En Marche!; сотрудников DSTL; членов МОК и спортсменов-олимпийцев; сотрудников грузинского СМИ.
Артем Валерьевич Очиченко Участие в фишинговых кампаниях против партнеров Зимних Олимпийских игр в Пхенчхане в 2018 году; Техническая разведка в отношении официального домена Парламента Грузии и попытка получить несанкционированный доступ к его сети.
Петр Николаевич Плискин Разработка компонентов малвари NotPetya и Olympic Destroyer.

На пресс-конференции официальные лица США заявили, что атаки группировки зачастую строились на беспорядочном использовании деструктивной малвари, что не только приводило к финансовым потерям среди тысяч компаний, но и подвергало риску человеческие жизни, демонстрируя пренебрежение любыми нормами и правилами.

Цитата:

«Данный случай демонстрирует, что ни одна страна мира не использовала свои киберпотенциалы так злонамеренно и безответственно, как Россия, бессмысленно наносившая беспрецедентный сопутствующий ущерб ради достижения небольших тактических преимуществ и удовлетворения своих приступов агрессии», — заявил помощник генерального прокурора по национальной безопасности Джон Демерс (John Demers), говоря об атаке на инфраструктуру Олимпийских игр, произошедшей после того, как российским атлетам запретили участвовать в Олимпиаде, а также о шифровальщике NotPetya, которого изначально был нацелен на Украину, но группировка потеряла контроль, причинив ущерб компаниям по всему миру.

Цитата:

«К примеру, вредоносная программа NotPetya помешала Heritage Valley предоставлять критически важные медицинские услуги гражданам Западного округа Пенсильвании и затронула две больницы, 60 офисов и 18 вспомогательных объектов, — говорится в заявлении Министерства юстиции США. — Из-за атаки были недоступны списки пациентов, истории болезни, файлы медицинских осмотров и лабораторные записи.

Heritage Valley примерно на неделю лишилась доступа к своим критически важным компьютерным системам (например, связанным с кардиологией, ядерной медициной, радиологией и хирургией), а к административным системам почти на месяц, что создало угрозу для здоровья и безопасности населения».

В настоящее время все шесть обвиняемых находятся на свободе в России. Если они будут задержаны и преданы американскому суду, каждому из них грозит наказание в виде нескольких десятков лет лишения свободы.

Source:
fbi.gov/news/pressrel/press-releases/fbi-deputy-director-david-bowdichs-remarks-at-press-conference-announcing-cyber-related-indictment-of-six-russian-intelligence-officers
justice.gov/opa/pr/six-russian-gru-officers-charged-connection-worldwide-deployment-destructive-malware-and