Война на логических бомбах: Касперский против Киберпартизанов

Хактивистская группировка «Киберпартизаны» вновь оказалась в центре внимания после выхода подробного технического отчёта «Лаборатории Касперского», в котором описываются их предполагаемые инструменты и методы атак. Однако сами участники группировки отреагировали на публикацию с удивительным спокойствием — внимание специалистов их не обеспокоило, куда больше удивила глубина проработки материалов и количество уделённого им времени.

По словам самих «Киберпартизанов», публикация статьи и сразу двух докладов на конференциях говорит о том, насколько серьёзно Лаборатория Касперского отнеслась к теме. Группа предположила, что повышенный интерес со стороны компании может объясняться тем, что её продукты не справились с предотвращением атак, которые нанесли урон ряду клиентов компании. Хактивисты не исключают, что публикация отчёта — это попытка оправдаться перед пользователями.

Хотя специалисты не смогли подтвердить эту версию, отчёт всё же даёт уникальное представление о внутренней «кухне» политически мотивированных киберопераций, направленных против России и Беларуси. Деятельность «Киберпартизанов» началась после протестов в августе 2020 года в Беларуси. С тех пор группа провела несколько масштабных кибератак, включая вмешательство в работу государственной железной дороги, что, по их словам, сорвало поставки оружия, и проникновение в серверы МВД Беларуси.

Лаборатория Касперского в своём анализе впервые описывает два ранее неизвестных инструмента, предположительно использовавшихся группировкой. Это — бэкдор Vasilek и вредоносная программа для уничтожения данных под названием Pryanik. Первый позволяет собирать информацию о системе: логи нажатий клавиш, скриншоты приложений, а также данные о сетевой инфраструктуре жертвы. В отличие от традиционных методов управления, Vasilek использует Telegram-группы для получения команд и передачи данных.

Программа Pryanik действует как «логическая бомба» — она активируется в заранее заданное время и уничтожает ключевую информацию. В случае, если вредоносный код не будет своевременно удалён, он может повторно сработать спустя примерно месяц. В отчёте указывается, что «Киберпартизаны» запускали свои атаки в основном ночью или ранним утром, когда дежурный ИТ-персонал минимален. Так, по версии специалистов, Pryanik был задействован при атаке на белорусского производителя удобрений весной 2024 года. Тогда, как сообщала сама группа, были нарушены энергосистемы предприятия, взломаны камеры видеонаблюдения и системы безопасности, зашифрованы сотни рабочих компьютеров и электронных писем, а также уничтожены резервные копии данных.

При этом сами «Киберпартизаны» подтвердили, что действительно применяли вайперы в ряде атак, но не согласны с выводами Лаборатории Касперского о невозможности восстановления данных после выполнения политических требований. По словам хактивистов, в некоторых случаях использовались инструменты шифрования, позволявшие восстановить информацию, а в операциях с Pryanik они заранее выгружали важные данные, чтобы обеспечить такую возможность.

Группа признаёт, что при «громких» операциях часть инструментов и техник может быть раскрыта, но уверяет, что большая часть текущей деятельности теперь засекречена. Также они подчеркнули, что отчёт не повлияет на планы и темпы киберактивности группы. В завершение «Киберпартизаны» поблагодарили команду Лаборатории Касперского за внимание и выразили надежду, что подобные хактивистские инициативы начнут появляться и внутри России.