Накануне переговоров США и Украины соцсеть икс подверглась масштабной кибератаке. Ответственность на себя взяли пропалестинские хакеры. Но Илон Маск все равно подозревает Киев

В понедельник, 10 марта, около полудня по московскому времени в работе социальной сети икс произошел глобальный сбой. Пользователи по всему миру жаловались на проблемы в работе как приложения, так и веб-версии. В течение последующих нескольких часов было зафиксировано еще как минимум четыре масштабных сбоя, пишет Wired. Илон Маск, которому принадлежит икс, сообщил, что соцсеть подверглась массивной кибератаке. 

«Нас атакуют каждый день, но в этом случае было привлечено большое количество ресурсов, — написал бизнесмен. — В это вовлечена либо большая скоординированная группа, либо целая страна». Позже в эфире Fox News Маск рассказал, что в компании все еще не знают точно, что именно произошло. Но отметил, что атака проводилась с украинских IP-адресов.

Специалисты по кибербезопасности, с которыми поговорили журналисты Wired, усомнились в правдивости заявлений Маска. Один из исследователей, работающий в крупной компании, на условиях анонимности рассказал изданию, что не увидел Украину в разбивке по 20 основным источникам IP-адресов, вовлеченных в кибератаку. Но даже если бы они там присутствовали, сам по себе этот факт не заслуживал бы внимания, отмечают эксперты.

Директор по безопасности компании Zayo Шон Эдвардс пояснил журналистам, что благодаря IP-адресам можно получить представление о составе ботнета или инфраструктуре, которая использовалась во время DDoS-атаки. Однако этого недостаточно, чтобы установить личность или намерения фактического преступника. «Важно понимать, что одна только IP-атрибуция не может считаться окончательным доказательством. Злоумышленники часто используют взломанные устройства, VPN или прокси-сети, чтобы скрыть свое истинное происхождение», — добавил эксперт.

На слова Маска обратили внимание и в Украине. В комментарии Newsweek глава комитета Верховной рады по иностранным делам Александр Мережко назвал подобные обвинения «очень несвоевременными». Атака на соцсеть произошла накануне переговоров Киева и Вашингтона в Саудовской Аравии, в ходе которых обсуждалось возобновление американской военной помощи. 

Как завершились переговоры США и Украины

• Украина готова немедленно прекратить огонь — если его прекратит Россия США возобновляют военную помощь Киеву. Главные итоги переговоров в Саудовской Аравии

Мережко добавил, что Украина не заинтересована в подобных атаках, так как они могут испортить отношения с США и конкретно с Илоном Маском. В свою очередь политик предположил, что произошедшее может быть провокацией со стороны России, намекая на попытку Москвы повлиять на ход переговоров.

Еще до заявлений Маска о возможной причастности Украины ответственность за атаку на соцсеть икс взяли на себя пропалестинские хакеры Dark Storm Team. По данным Orange Cyberdefense, собранным по открытым источникам, группировка была сформирована примерно в сентябре 2023 года, незадолго до атаки ХАМАС на Израиль. За это время она, предположительно, провела несколько масштабных DDoS-атак в разных странах.

Среди основных целей хакеров, помимо Израиля, упоминаются государства — участники НАТО, в том числе США. Ранее Dark Storm Team брала на себя ответственность за кибератаки на международный аэропорт имени Джона Кеннеди в Нью-Йорке и сервис Snapchat. В своих сообщениях хакеры обещали атаковать инфраструктуру всех государств, которые «поддерживают оккупантов» (имея в виду Израиль). При этом как минимум в случае со Snapchat достоверного подтверждения причастности группировки к атаке нет.

В блоге компании Check Point группировку Dark Storm Team характеризуют как «идеологически мотивированную». При этом специалисты отмечают, что они позиционируют себя еще и как поставщика услуг. То есть хакеры активно монетизируют кибератаки, осуществляя их на заказ.

Более того, в случае с икс они попробовали заработать на криптовалюте. Судя по скриншотам из чата группировки, злоумышленники запустили собственный мемкоин DARKSTORM, надеясь, что сбой в работе соцсети привязаны к различным интернет-событиям, и от популярности этих событий напрямую зависит их рост.">привлечет к нему внимание. Но, судя по текущей цене, добиться этого не удалось.

Как работают мемкоины

• «Мемные» криптовалюты позволяют заработать буквально в пару кликов. Правда, потерять деньги еще легче Рассказываем, почему мемкоины стали так популярны и причем тут «финансовый нигилизм»

При этом достоверно установить причастность Dark Storm Team к тому или иному взлому очень сложно. Группировка использует крупные ботнеты из тысяч или даже сотен тысяч зараженных устройств по всему миру, маскирует свое реальное местонахождение и использует IP-адреса из разных регионов.

В профайле, собранном Orange Cyberdefense, говорится, что Dark Storm Team активно сотрудничает с другими командами хакеров, в том числе пророссийскими — например, причастна к кибератакам на аэропорты США и сайты американских военных агентств.">Killnet и Bluenet Russia. Исследователи отмечают, что прямая связь группировки с Россией не подтверждена, но вероятность, что она есть, очень высокая.

При этом специалисты по кибербезопасности подчеркивают, что заявления Dark Storm Team нельзя считать стопроцентным доказательством, что именно эта группировка причастна к атаке на икс. «DDoS-атаки — это довольно распространенная тактика, и ее даже предлагают как услугу, — отметил в комментарии Forbes главный специалист по информационной безопасности компании Deepwatch Чад Крейгл. — Окончательная атрибуция требует тщательного криминалистического анализа, который выходит за рамки базового отслеживания IP-адресов».

С ним согласны и другие эксперты, с которыми поговорило издание. При этом многие отмечают, что установить истинную причину сбоев можно только в случае независимой проверки инфраструктуры соцсети. Без этого невозможно полностью доверять ни заявлениям хакеров, ни предположениям представителей икс.

В то же время несколько аналитиков, в том числе независимый исследователь Кевин Бомонт, который занимается вопросами кибербезопасности, отметили, что некоторые серверы икс, отвечающие на веб-запросы, не были должным образом защищены от DDoS-атак системой Cloudflare. Из-за этого злоумышленники могли атаковать их напрямую. Позже соцсеть восстановила защиту этих серверов.

Самая громкая хакерская атака последних месяцев

• Хакеры из КНДР украли почти полтора миллиарда долларов у криптобиржи Bybit. Судя по всему, это крупнейшее ограбление в истории Деньги, скорее всего, пойдут на ядерную программу Северной Кореи

«Медуза»