Dezvăluirile ce scot la lumină noua divizie a faimoasei Unități 29155 a GRU, care atacă Ucraina, SUA și statele NATO: „Tot ce am văzut legat de aceste operațiuni e diferit”
Unitatea 29155 a agenției ruse de informații militare GRU – responsabilă pentru tentative de lovitură de stat, asasinate și atentate cu bombă în mai multe țări – are acum o ramură axată pe operațiuni de hacking, formată în special din oameni tineri, scrie publicația Wired, specializată pe teme de tehnologie. Departamentul de Justiție al SUA a și inculpat joi cinci membri ai grupului, pe lângă un al șaselea care fusese inculpat anterior, la începutul verii.
Agenția de informații militare a Rusiei, GRU, are de mult timp reputația unui operator abil și agresiv care practică sabotajul, asasinatul și războiul cibernetic dincolo de granițele țării.
Însă un nou grup din cadrul GRU, scrie Wired, ilustrează perfect modul în care agenția îmbină acțiunile din viața reală și cele din plan digital mai strâns ca oricând. Este vorba despre o echipă de hackeri, care a apărut din aceeași unitate responsabilă pentru cele mai cunoscute acțiuni ale Rusiei, inclusiv otrăviri, tentative de lovituri de stat și atentate cu bombă în țările occidentale.
Mai multe agenții guvernamentale occidentale din țări precum SUA, Marea Britanie, Ucraina, Australia, Canada și cinci țări europene au dezvăluit joi că un grup de hackeri cunoscut sub numele de Cadet Blizzard, Bleeding Bear sau Greyscale – care a lansat mai multe operațiuni de hacking vizând Ucraina, SUA și alte țări din Europa, Asia și America Latină – face parte, de fapt, din Unitatea 29155 a GRU, divizia agenției de spionaj cunoscută pentru acțiunile sale.
Această unitate a fost învinuită în trecut, printre altele, de tentativa de otrăvire a fostul spion GRU Sergei Skripal cu agentul neurotoxic Noviciok în Marea Britanie, atac care a dus la moartea a doi trecători, precum și de un alt complot de asasinare în Bulgaria, de explozia unui depozit de arme în Republica Cehă și de o tentativă eșuată de lovitură de stat în Muntenegru.
Acum, această secție a GRU pare să își fi dezvoltat propria echipă activă de operatori de război cibernetic – distinctă de cele din cadrul altor unități GRU, cum ar fi Unitatea 26165, cunoscută în general sub numele de Fancy Bear sau APT28, și Unitatea 74455, echipa axată pe atacuri cibernetice cunoscută sub numele de Sandworm, scrie Wired.
„Foarte surprinzător”
Începând din 2022, hackerii recrutați recent de Unitatea GRU 29155 au preluat conducerea operațiunilor cibernetice, inclusiv cu malware-ul de distrugere a datelor cunoscut sub numele de Whispergate, care a afectat mai multe organizații ucrainene în ajunul invaziei Rusiei din februarie 2022, precum și atacarea site-urilor guvernamentale ucrainene, furtul și scurgerea de informații de pe aceste pagini, sub o falsă identitate de „hacktivist” cunoscută sub numele de Free Civilian.
Identificarea acestei secții ca făcând parte din unitatea GRU 29155 arată modul în care agenția estompează și mai mult linia dintre acțiunile fizice și cele cibernetice, în contextul războiului hibrid, au explicat oficialii agențiilor de informații occidentale pe care Wired i-a intervievat sub acoperirea anonimatului.
„Forțele speciale nu înființează în mod normal o unitate cibernetică care să reflecte activitățile lor fizice”, a spus un oficial. „Aceasta este o unitate cu operațiuni fizice intense, însărcinată cu cele mai groaznice acte în care este implicat GRU. Mi se pare foarte surprinzător că această unitate care se ocupă cu lucruri foarte practice face acum lucruri cibernetice din spatele unei tastaturi”, a spus oficialul.
„Disprețul abominabil al Rusiei față de civilii nevinovați”
În plus față de declarația publică comună care dezvăluie legătura „Cadet Blizzard” cu unitatea 29155 a GRU, Agenția americană pentru securitate cibernetică și securitatea infrastructurii a publicat un aviz care detaliază metodele de hacking ale grupului și modalitățile de identificare și atenuare a acestora.
Departamentul de Justiție al SUA a și inculpat cinci membri ai grupului numindu-i pe fiecare, pe lângă un al șaselea care fusese inculpat anterior, la începutul verii, fără nicio mențiune publică a unității 29155.
„Campania WhisperGate a GRU, inclusiv țintirea infrastructurii critice ucrainene și a sistemelor guvernamentale fără valoare militară, este emblematică pentru disprețul abominabil al Rusiei față de civilii nevinovați”, a scris procurorul general adjunct al Departamentului de Justiție al SUA, Matthew G. Olsen.
„Punerea sub acuzare de astăzi subliniază faptul că Departamentul de Justiție va utiliza toate instrumentele disponibile pentru a întrerupe acest tip de activitate cibernetică răuvoitoare și pentru a-i trage la răspundere pe autori pentru țintirea fără discernământ și distructivă a Statelor Unite și a aliaților noștri”, a spus acesta.
De asemenea, Departamentul de Stat al SUA a postat pe site-ul său Rewards for Justice o recompensă de 10 milioane de dolari pentru informații care conduc la identificarea sau localizarea membrilor grupului, împreună cu fotografiile acestora.
Au căutat vulnerabilități în rețelele unor obiective din 26 de țări NATO
Dincolo de operațiunile sale cunoscute anterior împotriva Ucrainei, oficialii agențiilor de informații occidentale au declarat pentru Wired că gruparea a vizat, de asemenea, o mare varietate de organizații din America de Nord, Europa Centrală și de Est, Asia Centrală și America Latină, cum ar fi sectoarele transporturilor și asistenței medicale, agențiile guvernamentale și „infrastructura critică”, inclusiv infrastructura „energetică”, deși oficialii au refuzat să ofere informații mai specifice.
Oficialii au declarat pentru Wired că, în unele cazuri, hackerii unității 29155 păreau să se pregătească pentru atacuri cibernetice mai perturbatoare, asemănătoare cu Whispergate, dar nu au avut confirmarea că astfel de atacuri au avut loc efectiv.
În iunie, Departamentul de Stat al SUA a dezvăluit separat că aceiași hackeri GRU care au efectuat Whispergate au încercat, de asemenea, să găsească vulnerabilități pentru a viza infrastructurile critice ale SUA, „în special în sectoarele energetic, guvernamental și aerospațial”.
Actul de acuzare al DOJ împotriva hackerilor din Unitatea 29155, recent desecretizat, susține că aceștia au sondat rețeaua unei agenții guvernamentale americane din Maryland de 63 de ori – fără a dezvălui însă dacă aceste teste au avut succes – și au căutat vulnerabilități în rețelele unor obiective din nu mai puțin de 26 de țări NATO.
În multe cazuri, intenția hackerilor părea să fie spionajul militar, potrivit oficialilor agențiilor de informații occidentale. Într-o țară din Europa Centrală, de exemplu, aceștia spun că grupul a pătruns într-o agenție feroviară pentru a spiona transporturile de provizii cu trenul către Ucraina.
În Ucraina însăși, aceștia spun că hackerii au compromis camere de supraveghere, probabil pentru a obține vizibilitate asupra mișcării trupelor sau armelor ucrainene. Oficialii ucraineni au avertizat anterior că Rusia a folosit această tactică pentru a dirija atacuri cu rachete, deși oficialii serviciilor de informații care au vorbit cu Wired nu aveau dovezi că operațiunile 29155 au fost folosite în mod specific pentru așa ceva.
Concurență internă în GRU
Sursele agențiilor de informații occidentale spun că echipa de hacking a unității GRU 29155 a fost formată încă din 2020, deși până în ultimii ani s-a concentrat în principal pe spionaj, mai degrabă decât pe atacuri cibernetice mai perturbatoare.
Crearea a încă unui grup de hackeri în cadrul GRU ar putea părea redundantă, având în vedere că unitățile de echipe preexistente ale GRU, precum Sandworm și Fancy Bear, au fost mult timp unii dintre cei mai activi și agresivi jucători din lume în războiul cibernetic și spionaj.
Dar oficialii agențiilor de informații occidentale spun că Unitatea 29155 a fost probabil determinată să își caute propria echipă specializată de hacking din cauza concurenței interne din cadrul GRU, precum și a influenței crescânde a grupului ca urmare a succesului perceput al operațiunilor sale – chiar și tentativa eșuată de asasinare a lui Skripal.
„Otrăvirea lui Skripal le-a oferit multă atenție și mult mandat”, a spus un oficial. „Evaluăm că este foarte probabil ca acest lucru să le fi permis să obțină mult mai multe fonduri și resurse pentru a atrage capacitatea de a înființa o unitate cibernetică. Succesul este măsurat diferit în lumea occidentală și în Rusia.”
Ofițeri relativ tineri
Potrivit oficialilor serviciilor secrete occidentale care au vorbit cu Wired, grupul de hackeri din unitatea 29155 este compus din doar aproximativ 10 persoane, toți fiind ofițeri GRU relativ tineri. Înainte de a se alătura GRU, mai mulți indivizi au participat la concursuri de hacking, simulări competitive de hacking care sunt comune la conferințele hackerilor, și este posibil să fi fost recrutați în cadrul acestor evenimente.
Dar, în unele cazuri, mica echipă a încheiat parteneriate și cu hackeri cibernetici ruși, spun oficialii, extinzându-și resursele și, în unele cazuri, folosind malware cibernetic de bază care a făcut operațiunile sale mai greu de atribuit statului rus.
Un exemplu al acestor parteneriate criminale pare să fie cel cu Amin Timovich Stigal, un hacker rus inculpat de SUA în absență în luna iunie pentru că ar fi ajutat la atacurile Whispergate ale Cadet Blizzard împotriva guvernului ucrainean. Departamentul de Stat al SUA a emis, de asemenea, o recompensă de 10 milioane de dolari pentru informații care să conducă la arestarea lui Stigal.
Alte semne ale nivelului de competență tehnică al Cadet Blizzard par să se potrivească cu descrierea oficialilor serviciilor de informații privind o echipă mică și relativ tânără, potrivit unui cercetător în domeniul securității care a urmărit îndeaproape grupul.
Potrivit cercetătorului, pentru a obține accesul inițial la rețelele țintă, hackerii au exploatat în mare parte o mână de vulnerabilități software cunoscute și nu au folosit așa-numitele vulnerabilități de tip zero-day – defecte necunoscute anterior.
„Probabil că nu există prea multă experiență practică. Ei urmează o procedură de operare foarte comună”, a spus cercetătorul.
Lăsând la o parte sofisticarea, cercetătorul mai notează că, în unele cazuri, hackerii din Unitatea 29155 și-au compromis țintele atacând furnizorii IT care deservesc firme ucrainene și alte firme din Europa de Est, căpătând astfel acces la sistemele și datele victimelor. „În loc să spargă ușa de la intrare, ei încearcă să se amestece în canale legitime de încredere, căi de acces de încredere într-o rețea”, spune cercetătorul.
Cercetătorul în domeniul securității a observat, de asemenea, că, spre deosebire de hackerii din alte unități GRU, cei din Cadet Blizzard par să fi fost găzduiți în propria clădire, separat de restul GRU, probabil pentru a face echipa mai greu de conectat la unitatea 29155 din care face parte. Combinate cu structura de comandă a grupului, toate acestea sugerează un nou model pentru abordarea războiului cibernetic de către GRU.
„Toate lucrurile legate de această operațiune au fost diferite”, a spus cercetătorul. „Asta va deschide cu adevărat calea pentru ceea ce vom vedea în viitor din partea Federației Ruse”, a avertizat el.