Лейтенант и десятки испанских «приспешников» в киберармии Путина

"Вы не сможете скрыться от закона. Ваши кураторы не защитят вас. Остановитесь, пока не стало слишком поздно". Более 4000 человек по всему миру обнаружили это сообщение, написанное на английском языке, когда включили свои компьютеры во вторник. В тот день полиция десятка стран, включая Испанию, начала операцию «Иствуд», чтобы ликвидировать инфраструктуру группы хакеров, известной как NoName057(16) - сети, близкой к режиму Владимира Путина, которая с момента своего появления в марте 2022 года, сразу после начала российского вторжения в Украину, взяла на себя ответственность за многочисленные кампании компьютерных диверсий против государств, которые заявили о своей поддержке правительства в Киеве. Операция включала в себя, в частности, отправку этого сообщения тем, кого на полицейском жаргоне называют миньонами (английский термин, означающий «прислуга» или «слуга» и ставший популярным благодаря персонажам детского фильма) - лицам, которые якобы добровольно предоставляли свои компьютеры и интернет-соединения этой пророссийской сети для проведения кибератак. Расследование, в котором важную роль сыграл Генеральный комиссариат информации (CGI) Национальной полиции, показало, что «несколько десятков» из этих тысяч приспешников, которые пока не идентифицированы, проживают в Испании. К ним, как к испанской части этой конкретной армии хакеров, охраняемой Кремлем, присоединились человек, арестованный в прошлый вторник в Сарагосе, и еще трое, которые год назад были арестованы в майоркинском городе Манакор, а также в Уэльве и Севилье. Однако больше всего ответственных за расследование беспокоит участие другого испанца, в данном случае предполагаемого лидера хакерской группы, которому полиция приписывает важную роль «в качестве вербовщика и пропагандиста» организации. Судья Национального суда Франсиско де Хорхе уже выдал международный ордер на его арест, личность которого пока не раскрывается. Он обвиняется в саботаже в террористических целях. Полиция поместила его в Россию вместе с шестью другими предполагаемыми членами руководства NoName057, ни один из которых до сих пор не был зарегистрирован в полиции. Предполагаемый лидер группы - Михаил Евгеевич Бурлакоз, использующий интернет-псевдонимы Darkklogo и Ddosator3000. 38-летний гражданин России, он считается следователями «ключевым членом» сети, поскольку играет роль в разработке программного обеспечения, используемого для запуска кибератак, выборе целей и осуществлении платежей. К нему присоединилась Ольга Евстратова, использующая псевдонимы Олечка и Оленька. 21-летняя девушка, также российского происхождения, обвиняется немецким правосудием, выдавшим ордер на ее арест, в участии в усовершенствовании программного обеспечения. К ним присоединились Андрей Муравьев, Максим Николаевич Лупин и Андрей Станиславович Авросимов, все они родились в России и находятся в возрасте от 36 до 48 лет. Испанский гражданин и седьмой человек, личность которого также не раскрывается и о поимке которого просили власти Берлина, завершают руководство организации. Тот факт, что все они предположительно скрываются в России - «есть признаки того, что они могут находиться в Москве», - заявляет Агентство Европейского союза по полицейскому сотрудничеству (Европол), говоря о них в списке наиболее разыскиваемых лиц, в который оно включило пятерых, чьи личности были установлены, - делает их арест практически невозможным, по словам источников, близких к следствию. Тем не менее, операция «Иствуд» считается большим успехом полиции, в результате которого инфраструктура NoName057 сильно пострадала, заблокировав более 100 компьютерных серверов, используемых группировкой. В Испании Национальная полиция в сотрудничестве с Национальным криптологическим центром (CCN) и Национальным разведывательным центром (CNI) закрыла доступ к 42 из них. С 25 удалось скачать содержащуюся на них информацию о группировке - «очень ценную», по словам источников, знакомых с ходом расследования, - и удалить данные еще на восьми. Кроме того, испанские агенты заблокировали несколько сервисов облачного хранения данных и изъяли цифровой кошелек, предположительно использовавшийся для финансирования IT-инфраструктуры группы, хотя он больше не использовался и содержал всего 150 евро в эквиваленте. Агенты также провели три обыска в Мадриде, один в Сарагосе и еще один в Барселоне, а также допросили пять человек, находящихся под следствием. Источники, близкие к расследованию, подчеркивают, что NoName057 - самая активная и воинственная группа пророссийских хакеров. В своем учредительном манифесте ее создатели заявили, что ее цель - действовать «пропорционально в ответ на враждебные и откровенно антироссийские действия западных русофобов». Основная деятельность организации заключается в координации действий кибер-активистов-единомышленников для проведения скоординированных распределенных атак типа «отказ в обслуживании» (DDoS). Другими словами, массированная подача трафика на сайт с целью его разрушения и недоступности для других пользователей интернета. По мнению экспертов, эти атаки, помимо репутационного ущерба, наносимого обнаружением уязвимости сайта, не являются особенно серьезными. Пострадавшие страницы обычно восстанавливаются в тот же день. Для их осуществления группа разработала собственное программное обеспечение, получившее название DDoSia, которое она предоставляла своим приспешникам через различные каналы приложения для обмена сообщениями Telegram, где, помимо публикации своих атак, она вербовала новых «приспешников». Во многих случаях NoName057 вознаграждал этих соратников, иногда включая небольшие криптовалютные выплаты в размере 50 или 100 евро в обмен. "Она также использовала игровые элементы и механику, чтобы привлечь молодежь, - рассказали источники. Она также создавала альянсы с другими хакерскими группами для определения целей и координации при совершении атак". Те же источники отмечают, что в Испании эта группировка запустила более 500 волн кибератак с момента своего создания. Первая - 14 октября 2022 года. Последняя - в мае прошлого года. Многие из них были связаны с конкретными событиями или мероприятиями. Так, 4 апреля 2023 года она начала кампанию против компьютерных систем порта Картахены и других испанских портовых объектов под предлогом якобы имевшего место эпизода «репрессий», которым подверглись российские моряки в Испании. Более масштабной была кампания, начатая 23 июля того же года, в день последних всеобщих выборов, когда она попыталась вывести из строя сайт Министерства внутренних дел. Им это не удалось, хотя в течение трех часов после полудня они периодически создавали проблемы, которые, однако, не повлияли на работу специальной страницы, на которой в режиме реального времени сообщались результаты выборов. «Нам все равно, правые или левые придут к власти в этой стране сегодня [23 июля]: обе стороны придерживаются проевропейской позиции», - говорилось тогда в заметке группы на английском языке. В тот день были атакованы сайты дворца Монклоа, Национального института статистики (INE), Renfe, Центральной избирательной комиссии, Королевского дома и Арбитражного суда Мадрида, а также другие. NoName057 также совершал атаки на сайты государственных органов в феврале 2024 года, когда проходили протесты в сельскохозяйственном секторе; 27 мая того же года, когда состоялся визит в Испанию президента Украины Владимира Зеленского; и во время европейских выборов 9 июня прошлого года.