Muleshoe, cu o populație de 5.000 de locuitori, se află în Texas, lângă granița cu statul New Mexico. Este un orășel mic și arid, legat de lumea exterioară printr-un mozaic de drumuri locale și câteva aeroporturi private pentru avioane ușoare, situat la aproximativ o oră de mers cu mașina de cele mai apropiate orașe, Lubbock sau Amarillo, și la două ore de Roswell, New Mexico.
S-ar putea spune că Muleshoe e un teritoriu perfect pentru cowboy sau răpiri ale extratereștrilor, dar „întâmplător”, s-a dovedit locul perfect și pentru rușii care lansează atacuri cibernetice.
De la izbucnirea războiului din Ucraina, activitățile cibernetice ale Rusiei s-au îndepărtat de pirateria informatică motivată financiar, cum ar fi atacurile ransomware, și s-au îndreptat către acte pur distructive în Occident – o formă de sabotaj sau terorism digital care vizează sisteme slab păzite, amenințând să inunde chiar și deșertul din vestul Texasului, scrie Kiev Independent.
Autoritățile au recunoscut abia după trei luni
Pe 18 ianuarie 2024, prețioasa rezervă de apă din orășelul arid a început să se reverse peste nivelul rezervoarelor, ignorând software-ul industrial automatizat care transmitea conductelor de alimentare când să se oprească.
La fel acum ai scoate plutitorul din spatele rezervorului unei toalete, cineva dezactivase de la distanță senzorul care informa rezervoarele companiei Muleshoe că acestea erau deja pline, permițând, practic, apei să curgă în continuare.
Autoritățile locale au recunoscut public incidentul abia după după trei luni, când CNN a difuzat informația. Oficialii orașului au dat vina pe „sistemul de conectare de la distanță al unui furnizor terț”.
Un canal de Telegram cu denumirea "CyberArmyofRussia_Reborn", pe scurt CARR, a postat videoclipuri cu interfețele pe care le folosea pentru a controla sistemul de apă în Muleshoe și în alte părți, în incidente despre care Agenția pentru Protecția Mediului din SUA a declarat că au implicat mii de hectolitri de apă potabilă.
Americanii au prins o rusoaică
Câteva luni mai târziu, undeva între 8 și 9 noiembrie 2024, în cealaltă parte a lumii, Victoria Dubranova, în vârstă de 33 de ani, designer digital și, conform rețelelor sale de socializare, o pasionată iubitoare de pisici, a dispărut în timp ce călătorea cu autobuzul din orașul ei natal, Dnipro, Ucraina, în drum spre Polonia, conform unei postări de pe contul ei de Instagram care pretinde a fi de la soțul ei.
Dubranova avea să reapară puțin peste un an mai târziu - a fost singura inculpată aflată în arest când Departamentul de Justiție al SUA a dezvăluit acuzațiile de criminalitate cibernetică și conspirație împotriva ei și a opt programatori și organizatori ruși de atacuri cibernetice, inclusiv în Muleshoe.
"CARR, cunoscută și sub numele de Z-Pentest, a fost fondată, finanțată și condusă de Direcția Principală a Statului Major General al Forțelor Armate ale Federației Ruse (GRU)", a menționat Departamentul american de Justiție.
Marți, Dubranova a fost prezentă pentru prima dată în public la Tribunalul Districtual al SUA din California. Cazul este o bătălie majoră în războiul cibernetic cu Rusia, pentru că acum procurorii au, în sfârșit, o persoană prezentă fizic pentru un proces federal de strângere de probe din SUA.
Cum s-au dat rușii de gol
Grupările de hackeri din Rusia au provocat numeroase daune pe plan internațional în ultimele trei decenii, operând mult timp cu consimțământul, cel puțin tacit, al forțelor de ordine locale, atâta timp cât se supuneau unor percheziții periodice.
Cazul din SUA dezvăluie modul în care guvernul rus și agențiile sale de informații au preluat controlul direct asupra ecosistemului hackerilor din țară pentru a viza inamicii Rusiei.
"Aceștia nu sunt, pur și simplu, voluntari patrioți care operează independent, ci actori care pot primi sprijin, protecție sau îndrumare din partea statului atunci când acesta servește intereselor Moscovei", a declarat Ari Redbord, fost consilier la Trezorerie și procuror adjunct american al Districtului Columbia.
Ancheta inițială privind cazul Muleshoe a scos la iveală rapid că pe canalul de Telegram al CARR a apărut o postare video a atacului. Deși a fost o măsură proastă de securitate operațională, a fost o metodă importantă de promovare.
Înainte de a se implica în ingineria civilă, membrii CARR au început cu atacuri de tip Distributed Denial of Service (DDoS) la scară largă.
Un atac DDoS, la nivelul său cel mai elementar, constă în blocarea unui site web prin generarea unui trafic excesiv. Grupurile motivate politic sunt pasionate în special de DDoS, deoarece chiar și un cod DDoS stângaci poate închide un site public sau un serviciu digital, dacă este rulat de suficiente persoane.
Percheziții Europol
Membrii CARR au efectuat atacuri DDoS timp de cel puțin doi ani, începând, conform cronologiei Departamentului american de Justiție, cu atacuri asupra instituțiilor financiare din Elveția, în iunie 2023, și continuând cu o serie de atacuri asupra Olandei în timpul summit-ului NATO din iunie 2025 de la Haga.
În iulie, Europol a percheziționat mai multe locuințe, a dezactivat 100 de servere și a arestat doi presupuși administratori ai grupării de hackeri NoName057(16).
Potrivit Departamentului de Justiție, Dubranova a creat conținut digital pentru aceste canale de hackeri, inclusiv un videoclip de recrutare și lansând promisiunea unor recompense în criptomonede.
"Am dezvăluit că tocmai aceste grupuri de hackeri - CyberArmyofRussia_Reborn și NoName - au fost implicate", a declarat Viktoria Samoilenko, analist senior la compania OSINT la Molfar, pentru Kiev Independent. "Când i-am analizat mai în detaliu, am descoperit că acești hackeri au fost menționați în mod repetat în diferite atacuri asupra site-urilor guvernamentale și comerciale din Ucraina, SUA, Danemarca, Polonia, Marea Britanie și alte câteva țări europene."
Combinația dintre platforme precum Telegram și Github și VPN-uri le-a permis organizatorilor să rămână anonimi. Însă administratorii CARR/NoName/DDoSia au distribuit informații personale utile și chiar fotografii pe aceste canale publice, ceea ce le-a permis celor de la Molfar să-i identifice pe mulți dintre atacatori.
Distribuirea excesivă a datelor personale s-a datorat parțial nevoii de a răspândi informația, propovăduind ideologia Kremlinului către aceste grupuri Telegram, a explicat Samoilenko.
Legătura cu GRU a declanșat alarma în America
Investigarea și urmărirea penală a infractorilor cibernetici de oriunde este dificilă. Rusia, unde aproape toți administratorii CARR și NoName sunt în libertate, e impenetrabilă, mai ales că asemenea grupuri au devenit vitale pentru puterea din "zona gri" a Kremlinului, în special pentru intimidare, în străinătate.
Actul de acuzare al SUA este neobișnuit de clar în catalogarea acestor grupuri cibernetice aparent create de niște indivizi drept sponsorizate și organizate de stat.
"O persoană care opera sub numele de «Cyber_1ce_Killer», un nume asociat cu cel puțin un ofițer GRU, a instruit conducerea CARR cu privire la țintele pe care ar trebui să le vizeze, iar organizația sa a finanțat accesul la diverse servicii cibernetice, inclusiv abonamente la servicii DDoS contracost", a scris Departamentul de Justiție.
O adunătură de idioți
Aceste grupuri de hackeri nu au limite stricte, trecând fluid de la un nume sau de la un mod de operare la altul. De exemplu, Departamentul de Justiție al SUA se află acum pe urmele unei ramuri CARR, numită Sector16.
"Părerea mea este că Sector16 e un grup de idioți. Adică, la universitate creează un curs de instruire pentru viitorii hackeri și au propriul lor coordonator de la FSB. Serviciile de informații rusești înființează aceste departamente în universități și spun: «Cine vrea să ia nota 10 în securitate cibernetică? Dacă piratezi ceva în Uniunea Europeană, îți vom da nota 10»", a spus Mîkîta Knîș, care a lucrat pentru Biroul de Securitate al apărării digitale a Ucrainei. Astăzi, el conduce HackYourMom, un grup care consiliază Ucraina în materie de securitate cibernetică și uneori își organizează propriile atacuri DDoS asupra țintelor rusești.
Mult mai înfricoșătoare decât DDoSing sunt noile atacuri asupra unităților industriale și de infrastructură, spune Jake Dixon, un specialist irlandez în securitate cibernetică cu sediul în Estonia.
Un grup de informații rusesc cunoscut sub numele de Sandworm este cel mai cunoscut în acest tip de atacuri, după ce a aruncat în aer transformatoare de putere ucrainene folosind cod special scris încă din 2014.
CARR și alții nu "joacă" în aceeași ligă, dar compensează prin identificarea unei game vaste de sisteme industriale care pot să nu necesite nici măcar o parolă pentru a funcționa.
"Inspectez aceste sisteme aproape săptămânal", a declarat Dixon, adăugând că "sunt incredibil de expuse la internet și la daunele pe care le pot provoca din conexiunile la distanță - nu ar trebui niciodată conectate la Internet."
Deschiderile online reduc distanța digitală dintre Sankt Petersburg și Texasul de Vest, dar forțele de ordine americane nu pot să opereze în direcția opusă. Cu excepția tratatelor de extrădare cu Rusia, autoritățile occidentale care doresc să închidă grupările de hackeri precum CARR pot doar să atace rețelele de afaceri digitale din jurul lor.
Deocamdată, după prima audiere a Dubranovei în cazul NoName, pe 7 aprilie va urma începerea urmăririi penale pentru implicarea în CARR. Ea a pledat vinovată în ambele cazuri.
T.D.