Спецслужбы США «при поддержке стран-единомышленниц» на этой неделе провели операцию по взлому серверов хакерской группировки REvil (Ransomware Evil, «зло вирусов-вымогателей»), рассказали Reuters эксперты в сфере кибербезопасности. После взлома хакеры были вынуждены прекратить свою деятельность.
Об исчезновении группировки из интернета стало известно еще в июле. Считается, что в REvil работают русскоязычные хакеры, и США допускали причастность Кремля к пропаже киберпреступников. Однако в американской компании VMware (разработчик ПО для облачных и виртуальных сервисов) рассказали, что спецоперацию провел сам Вашингтон при поддержке из-за рубежа. «ФБР вместе с Кибернетическим командованием США, Секретной службой и странами-единомышленницами предприняли серьезные действия против этих групп (хакеров.— “Ъ”)»,— заявил Том Келлерман, советник Секретной службы США по расследованию киберпреступлений и глава отдела VMWare по кибербезопасности.
Выяснилось, что после того, как в июле REvil атаковала ИТ-компанию Kaseya (управляет компьютерными сетями тысяч мелких компаний без собственных ИТ-департаментов), серверы хакеров кто-то взломал. Но они смогли восстановить доступ к ним, рассказал один из лидеров группировки, известный под ником 0_neday. «Сервер был взломан, и они искали меня»,— написал хакер на неназванном форуме в прошлые выходные, его сообщение заметила частная американская компания по кибербезопасности Recorded Future.
После атаки на Kaseya ФБР получило универсальный ключ дешифрования, который позволял подвергшимся атаке компаниям восстанавливать свои файлы, не выплачивая выкуп преступникам. Однако сотрудники правоохранительных органов в течение нескольких недель скрывали, что у них есть ключ, поскольку планировали ответную атаку против хакеров, пишет The Washington Post.
По словам источников Reuters, спецслужбы США смогли взломать инфраструктуру компьютерной сети REvil и получить контроль по крайней мере над несколькими из серверов хакеров. Когда 0_neday и его сторонники в сентябре восстановили свои сайты из резервной копии, они «неосознанно перезапустили некоторые внутренние системы, которые уже находились под контролем правоохранительных органов». «REvil восстановила инфраструктуру из резервных копий, предположив, что они не были взломаны. По иронии судьбы любимая тактика хакеров, которая заключается во взломе бэкапов, обернулась против них»,— заявил один из руководителей компании Group-IB Олег Скулкин.
Еще один источник Reuters утверждает, что взломать компьютерную инфраструктуру REvil США помог «иностранный партнер», но, о какой стране речь, неизвестно. Собеседник агентства добавил, что спецоперация против хакеров еще продолжается.
В ФБР от комментариев отказались. Представитель Совета нацбезопасности США уклонился от прямого подтверждения информации. «Мы предпринимаем усилия, в том числе для взлома инфраструктуры вымогателей, работаем с частным сектором над модернизацией нашей защиты и создаем международную коалицию для привлечения к ответственности стран, укрывающих вымогателей»,— заявили в ведомстве.
Напомним, REvil считают причастной к осуществленной в июне кибератаке на крупнейшего в мире производителя мяса бразильскую компанию JBS. Источники The New York Times утверждали, что REvil позаимствовала методы «российских разведывательных структур», которых считают причастными к взлому программного обеспечения компании SolarWinds в декабре 2020 года. В России все обвинения называли бредом и допускали, что ко взлому могут быть причастны Великобритания и сами США. В октябре на Украине арестовали двух хакеров, которые могут быть связаны с REvil.
Подробнее о том, как США обдумывали ответ на кибератаки, читайте в материале «Ъ» «REvil кроется в деталях».