Украинка, обвиняемая во взломе американских систем питьевого водоснабжения и мясоперерабатывающего предприятия по поручению прокремлевских кибергруппировок, была экстрадирована в США ранее в этом году и предстанет перед судом в начале 2026 года.
Во вторник вечером Министерство юстиции США объявило о предъявлении обвинений 33-летней Виктории Эдуардовне Дубрановой, которая, по утверждению федеральных властей, была связана с двумя пророссийскими хактивистскими группами: CyberArmyofRussia_Reborn (CARR) и NoName057(16). Она не признала себя виновной, и начало ее судебного процесса по делу NoName запланировано на 3 февраля, а по делу CARR — на 7 апреля.
Дубранова является «пророссийской хактивисткой и администратором, связанным с вредоносными кибератаками, направленными ГРУ России и Администрацией Президента России», — заявил журналистам в четверг помощник директора киберподразделения ФБР Бретт Литерман.
CARR, среди жертв которой — системы питьевого водоснабжения в нескольких штатах США и мясоперерабатывающее предприятие в Лос-Анджелесе, известна взломом промышленных систем управления и проведением атак типа «отказ в обслуживании» (DDoS) на веб-сайты критически важной инфраструктуры.
Связи CARR с ГРУ России
В случае атаки на мясоперерабатывающее предприятие в Лос-Анджелесе в ноябре 2024 года, цифровая интрузия привела к порче тысяч килограммов мяса, вызвала утечку аммиака на предприятии и нанесла ущерб более чем на 5000 долларов, согласно судебным документам [PDF]. Представители США заявили, что взломы систем питьевого водоснабжения повредили системы управления и привели к утечке «сотен тысяч галлонов питьевой воды».
Хактивистская группа хвасталась проведением DDoS-атак на сотни жертв по всему миру, а правительство США обвинило CARR во взломе избирательной инфраструктуры и веб-сайтов американских ядерных регулирующих органов.
Лицо, использующее псевдонимы «Cyber_1ce_Killer» и «Commander», которое предположительно связано как минимум с одним офицером Главного разведывательного управления Генерального штаба Вооруженных Сил Российской Федерации (ГРУ), также обвиняется по этому обвинительному акту.
«Обвиняемые и их сообщники считали, что обвиняемый CYBER_ICE во все соответствующие времена являлся агентом российского правительства, а обвиняемый работал на Федеральную службу безопасности Российской Федерации (ФСБ)», — говорится в судебных документах.
По данным федеральных властей, ГРУ финансировало доступ CARR к различным киберпреступным услугам, включая подписку на услуги DDoS-атаки по найму.
Обвинительный акт по делу CARR предъявляет Дубрановой одно обвинение в сговоре с целью повреждения защищенных компьютеров и вмешательства в работу систем общественного водоснабжения, одно обвинение в повреждении защищенных компьютеров, одно обвинение в мошенничестве с использованием платежных карт и одно обвинение в краже личных данных при отягчающих обстоятельствах.
В случае признания виновной по этим обвинениям Дубрановой грозит максимальное наказание в виде 27 лет федерального тюремного заключения.
Ранее США ввели санкции против двух других членов CARR.
NoName, еще одна DDoS-угроза
Среди жертв NoName были государственные учреждения, финансовые организации и критически важная инфраструктура, включая государственные железные дороги и порты, согласно обвинительному акту [PDF].
Прокуроры утверждают, что эта группа набирала волонтеров со всего мира для загрузки DDoSia, своего проприетарного инструмента для атак с перегрузкой сетевого трафика, и использовала их компьютеры для проведения DDoS-атак на жертв. NoName также якобы публиковала ежедневную таблицу лидеров в своем Telegram-канале с рейтингом волонтеров по количеству атак и выплачивала лучшим участникам криптовалютой.
Этим летом международная полиция закрыла более 100 серверов, используемых NoName057(16), в рамках операции Eastwood под руководством Европола.
Обвинительный акт по делу NoName предъявляет Дубрановой одно обвинение в сговоре с целью повреждения защищенных компьютеров. В случае признания виновной по этому обвинению Дубрановой грозит максимальное наказание в виде пяти лет федерального тюремного заключения.
Самое важное, что люди могут сделать для своей защиты, — это сократить количество устройств OT, подверженных воздействию общедоступного интернета.
«Хотя эти атаки могут быть относительно несложными, они представляют реальный риск для наших систем водоснабжения, продовольствия и энергетического сектора», — заявил Литерман в четверг. «Обе хактивистские группы имеют прямые связи с российским правительством и набирают членов по всему миру для содействия атакам, которые продвигают геополитические цели России».
Сегодняшнее обвинительное заключение, по данным Google, подтверждает предварительную оценку его аналитиков угроз о связях между CARR и ГРУ.
«CARR проводила кибератаки на критически важную инфраструктуру США и Европы, но скрывалась за этой ложной персоной», — сказал The Register Джон Халквист, главный аналитик группы Google Threat Intelligence. «ГРУ все больше полагается на охотных сообщников, чтобы скрыть свое участие в дестабилизирующих физических и кибератаках в Европе и США. Важно, чтобы мы никогда не верили на слово противнику, когда он говорит нам, кто он. Они часто лгут».
Помимо объявления обвинений против Дубрановой и ее сообщников, Госдепартамент США предложил потенциальные вознаграждения в размере до 2 миллионов долларов за информацию о лицах, связанных с CARR, и до 10 миллионов долларов за информацию о лицах, связанных с NoName.
Кроме того, несколько правительственных учреждений США, включая ФБР, АНБ, Министерство энергетики, Агентство по охране окружающей среды и Агентство по кибербезопасности и защите инфраструктуры США (CISA), совместно с более чем 20 международными партнерами выпустили руководство для владельцев и операторов операционных технологий (OT) по защите своих критически важных сетей от атак этих и других пророссийских хактивистских групп.
«Самое важное, что люди могут сделать для своей защиты, — это сократить количество устройств OT, подверженных воздействию общедоступного интернета», — заявил журналистам Крис Бутера из CISA.
Эти атаки, как правило, носят оппортунистический характер: хактивистские группы сканируют VPN и инструменты удаленного доступа, подключенные к устройствам OT, добавил он.
«Этот широкий, неизбирательный подход использовался в различных секторах, от водоочистных сооружений до систем нефтяных скважин, часто с использованием легко повторяемых и несложных методов», — сказал Бутера. «Совокупное воздействие этой вредоносной киберактивности представляет собой постоянную и дестабилизирующую угрозу для основных услуг».
Это также означает, что даже небольшие коммунальные предприятия и поставщики находятся под угрозой.
«Мы видим, как небольшие организации — будь то муниципальные, критически важные инфраструктуры или просто небольшие семейные предприятия — действуют с установкой на безопасность, полагая, что «мы слишком малы, чтобы стать мишенью для иностранных акторов», — сказал Литерман. «Но в нынешних условиях автоматизированное сканирование является очень эффективным способом выявления уязвимой инфраструктуры». ®
Автор – Jessica Lyons
