Как спецагенты ФБР внедрились в группировку Hive и ликвидировали её изнутри

Международный киберпреступный синдикат Hive — это известная группировка хакеров, которая, как считается, имеет связи с Центральной разведкой США (ЦРУ). Группа известна своим использованием сложного фреймворка вредоносного ПО для проведения кибершпионажа и сбора информации. Хотя не было официально подтверждено, что ЦРУ является ответственной за действия группы, но некоторые сообщения об этом существуют.

Hive использует комплексный набор инструментов для взлома и сбора информации, включая кастомное вредоносное ПО, специализированный фишинг и социальный инжиниринг. Группа целенаправленно атакует организации и частные лица, которые могут иметь интересную информацию для ЦРУ, такие как правительственные агентства, сотрудники важных компаний и политические деятели.

Некоторые эксперты считают, что ЦРУ может использовать группу Hive для проведения кибернейтрализации и кибершпионажа в интересах США. Однако, официально ЦРУ не признает существование или ответственность за действия этой группы.

» data-html=»true» data-original-title=»Hive»>Hive прекратил свое существование в январе после того, как ФБР захватило IT-инфраструктуру
группировки.

По данным Министерства юстиции США (DoJ), агенты ФБР внедрились в банду в июле 2022 года и предоставили жертвам более 300 ключей дешифратора, избавив их от необходимости платить $130 млн. в качестве выкупа. Это значит, что за последние 6 месяцев власти знали о большинстве жертв Hive, и синдикат, вероятно, столкнулся с резким падением доходов от выкупа. Однако, киберпреступники не догадывались, что у них появились инсайдеры.

Как агенты ФБР проникли в Hive?

Как именно проводилась операция – секретная информация, но бывший спецагент ФБР Даррен Мотт, специализирующийся на киберпреступности, считает, что у ФБР был агент под прикрытием, либо, что более вероятно, Бюро завербовало кого-то внутри Hive. Одним из явных признаков инсайдера является незащищенный дешифратор.

Бывший советник ФБР Крис Пирсон сказал, что операция могла бы также объединить два подхода. Например, власти могли завербовать инсайдера, чтобы тот пригласил «своего» человека присоединиться к команде.

Для захвата Hive можно было использовать другой подход: хакеры ФБР проникли в системы Hive без внутренней помощи. Оказавшись внутри, федералы стали отслеживать действия киберпреступников в сети. «Фактически они взламывают среду, сидят наблюдают и накапливают информацию об операции – точно так же, как это делают киберпреступники, когда атакуют компанию», — отметил Пирсон.

Почему синдикат Hive не заметил, как оказался на мушке?

ФБР предоставило более 300 ключей дешифрования жертвам Hive, однако, хакеры все равно не заметили такое количество неудачных атак. Это может быть связано с тем, что Hive работает по Программа-вымогатель как услуга (Ransomware-as-a-Service, RaaS) — это бизнес-модель, при которой программа-вымогатель сдается в аренду киберпреступникам.

Разработчик вымогательского ПО предоставляет готовый код шифровальщика другим хакерам. Клиент арендует код шифровальщика у его автора, настраивает его под себя, а затем использует в атаках по своему усмотрению.

В Raas-модели разработчик программы-вымогателя забирает себе небольшой процент от выкупа жертвы, а большая часть средств достается атакующему.

» data-html=»true» data-original-title=»RaaS»>RaaS-модели (Ransomware-as-a-Service) – у синдиката было так много аффилированных лиц, что он не следил за жертвами.

ФБР также могло узнать, какие точки входа использовал Hive, поделиться информацией с целевыми жертвами и позволить им усилить защиту на начальных этапах атаки. Киберпреступники могли бы вовсе ничего не заподозрить, если бы жертвы, которые решили сотрудничать с правоохранительными органами, не заявили бы публично, что подверглись нападению.

По словам Пирсона, также существует вероятность того, что Hive просто игнорировал показатели соотношения взломов и оплаченных выкупов. Это может быть связано с проблемами с ПО, отсутствием сбора данных или отсутствием расшифровки файлов.

Почему ФБР ждало 6 месяцев?

Рэнди Паргман, бывший член Кибероперативной группы ФБР, считает, что чем дольше власти остаются внутри, тем больше у них шансов уничтожить системы преступников. Если бы они сразу отключили сервер Hive, злоумышленники бы просто восстановили другой сервер и продолжили свою деятельность. Вместо этого правоохранительные органы следили за сервером и незаметно предоставляли жертвам ключи дешифрования.

Возможно, правоохранительные органы незаметно проинформировали всех жертв, до которых смогли добраться, но некоторые компании все равно предпочли заплатить выкуп, чтобы их файлы не были опубликованы хакерами. Все усилия ФБР привели к тому, что синдикат Hive больше не действует, но хакеры могут вскоре разделиться и войти в состав других групп, как это сделали участники Conti после распада группировки.

Источник