Αν επισκεφθεί κανείς το κανάλι του KillMilk στο Telegram, του φερόμενου ως επικεφαλής του στρατού φιλορώσων χάκερ ονόματι Killnet που εικάζεται ότι συνδέεται με την επίθεση στην ελληνική Τράπεζα Θεμάτων, θα έρθει αντιμέτωπος με ένα συνονθύλευμα ρωσικού εθνικισμού, καλέσματος σε αγώνα εναντίον της Δύσης και της Ουκρανίας, διαφημίσεων για τη σχολή χάκερ που έχουν συστήσει (Dark School) και προώθησης υπηρεσιών όπως ανταλλαγές και ρευστοποιήσεις κρυπτονομισμάτων.
Θα δει, όμως, και απολύσεις «άχρηστων συνεργατών, που δεν συμβάλλουν στον αγώνα μας»· θα δει, δηλαδή, ότι η εταιρεία, τις τελευταίες ημέρες, αλλάζει ριζικά, ανασυστήνεται και επιστρατεύει νέα μέλη για τις μεγάλες τις καμπάνιες εναντίον οποιουδήποτε θεωρείται εχθρός της Ρωσίας. Μέσα σε 72 ώρες, κατά τις οποίες η ομάδα ήταν ανενεργή λόγω εσωτερικών αλλαγών, η Killnet… μπήκε σε νέα εποχή.
Μέσα σε όλα αυτά, θα δει και φωτογραφίες με μία γάτα ονόματι Γερο-Μιλκ, διά της οποίας ο KillMilk προσπαθεί να ευαισθητοποιήσει τους «κλέφτες, τους επιχειρηματίες της μαύρης αγοράς και ανθρώπους με χρήματα για να αναδιοργανώσει τις δυνάμεις του και να συνεχίσει το δίκτυο που καταστρέφει τους εχθρούς».
Πράγματι, το δίκτυο τα έχει βάλει με όλους τους εχθρούς της Ρωσίας, κάτι που ίσως να εντάσσει σε αυτή τη χορεία και την Ελλάδα. Οι ελληνικές αστυνομικές Αρχές εντόπισαν το ίχνος των φιλορώσων χάκερ πίσω από ορισμένες διευθύνσεις που εμπλέκονται στη μαζική κυβερνοπίθεση που δέχτηκε η Τράπεζα Θεμάτων των ελληνικών ενδοσχολικών εξετάσεων. Ωστόσο, η εμπλοκή της ομάδας δύσκολα μπορεί να επιβεβαιωθεί, λόγω του χαμηλού δείγματος προέλευσης των χτυπημάτων που «δείχνουν» την Killnet.
Η πρώτη εμφάνιση της ομάδας
Στα τέλη της περυσινής άνοιξης, η ομάδα έκανε για πρώτη φορά την εμφάνισή της, καθώς εξελισσόταν η πλήρους κλίμακας εισβολή στην Ουκρανία, αν και όχι όπως όλοι στο Κρεμλίνο περίμεναν και προσδοκούσαν. Εξάλλου, η Killnet αυτοπαρουσιάζεται ως στρατός χάκερ υπέρ της Ρωσίας, ενταγμένος κι αυτός στην εκστρατεία της Μόσχας εναντίον του Κιέβου αλλά και της Δύσης που το στηρίζει από την πρώτη ημέρα του πολέμου.
Η παρουσία της προκαλεί, όπως είναι φυσικό, πονοκεφάλους στις δυτικές κυβερνήσεις, που αναζητούν κάθε τρόπο να αντισταθούν. Η Killnet, μαζί με τις ομοειδείς ομάδες Fancy Bear (επίθεση στην Εθνική Επιτροπή των Δημοκρατικών των ΗΠΑ), Sandworm (που δημιούργησε το καταστροφικό ransomware που ονομάζεται NotPetya) και, βεβαίως, το Internet Research Centre, το «εργοστάσιο τρολ» που εδρεύει στην Αγία Πετρούπολη και συνδέεται με τη Wagner του Γιεβγκένι Πριγκόζιν (προσπάθεια επιρροής στις εκλογές των ΗΠΑ του 2020), αποτελούν αναπόσπαστο τμήμα του φυσικού και ψηφιακού πολέμου του Κρεμλίνου εναντίον… όλων.
Η διαφορά, ωστόσο, της Killnet με τις υπόλοιπες ομάδες «εξαιρετικά καταρτισμένων» χάκερ που προαναφέρθηκαν, όπως γράφει το Politico, είναι ότι μοιάζει περισσότερο με έναν εξοργισμένο, εθνικιστικό διαδικτυακό όχλο οπλισμένο με χαμηλού επιπέδου επιθετικά εργαλεία και τακτικές στον κυβερνοχώρο. Αυτό, όμως, που τους κάνει καλύτερους από τους άλλους είναι πως καταφέρνει εμφανώς αποτελεσματικότερα να χτίσει την κρεμλινική αφήγηση για τον πόλεμο, ενώ πολλοί Ρώσοι, σύμφωνα με ειδικούς που μίλησαν στην ιστοσελίδα, τους θεωρούν ήρωες.
«Η Killnet λειτουργεί με συναισθηματικό τρόπο. Επιδιώκει εκδίκηση και αντίποινα για αδικήματα που πιστεύουν ότι έχουν γίνει εναντίον της Ρωσίας και του λαού της», είπε στο Politico ερευνητής γνωστός με το διαδικτυακό ψευδώνυμο CyberKnow, ο οποίος παρακολουθεί αντίστοιχες ομάδες. «Είναι εξαιρετικά αντιδραστικοί στα τρέχοντα γεωπολιτικά γεγονότα», σημείωσε ο ίδιος.
Παράλληλα, ειδικοί συμπληρώνουν ότι η φιλορωσική ομάδα χάκερ είναι περισσότερο ενοχλητική παρά απειλητική, καθώς οι επιθέσεις της φαίνεται εν γένει να αποκρούονται εύκολα ή, σε κάθε περίπτωση, οι αμυνόμενοι να ανακάμπτουν άμεσα.
Αυτό συμβαίνει διότι, όπως λένε οι ειδικοί, έτσι κι αλλιώς οι DDoS επιθέσεις δεν απειλούν πραγματικά τους στόχους τους, παρά μόνον προκαλούν μια πρόσκαιρη αναστάτωση που αντιμετωπίζεται ευκολότερα σε σχέση με άλλου τύπου επιθέσεις.
Το «σκοτεινό σχολείο» των Ρώσων χάκερ
Το Dark School της Killnet –που φαίνεται να έχει ιδρυθεί σχετικά πρόσφατα– προσφέρει μία βεντάλια μαθημάτων στους επίδοξους χάκερ, που φιλοδοξούν να στελεχώσουν στρατούς κρατών και κυβερνήσεων και… να πληρώσουν 250 ευρώ για κάθε διδακτική ενότητα.
Στο… coprus της διδασκαλίας περιλαμβάνονται μαθήματα όπως DDoS (distributed denial-of-service attack – κατανεμημένη επίθεση άρνησης εξυπηρέτησης, μια προσπάθεια διακοπής της κανονικής κυκλοφορίας ενός στοχευμένου διακομιστή, υπηρεσίας ή δικτύου υπερκαλύπτοντας τον στόχο ή την περιβάλλουσα υποδομή του με μια πλημμύρα κίνησης στο Διαδίκτυο)· αρμπιτράζ του Google AdWords (όταν κάποιος αγοράζει ένα αγαθό από έναν τόπο και το μεταπωλεί με υψηλότερο αντίτιμο σε άλλο)· fake news (δημιουργία, προώθηση, κέρδος)· carding σε Ευρώπη και Αμερική (διακίνηση και μη εξουσιοδοτημένη χρήση πιστωτικών καρτών)· πληροφορίες ανοικτού κώδικα· εκμάθηση του Pegasus (spyware για Android και iOS)· μέθοδοι κυβερνοπολέμου (ψυχολογία και δράση στο υποσυνείδητο οποιουδήποτε χρησιμοποιεί το διαδίκτυο)· μέθοδοι διαδικτυακού σαμποτάζ.
Τα μαθήματα, δε, προσφέρονται σε τέσσερις γλώσσες: ρωσικά, αγγλικά, ισπανικά και ινδικά. Και φυσικά γίνονται προσφορές για οικονομικότερα δίδακτρα στους, ας πούμε, 500 πρώτους που θα δηλώσουν συμμετοχή.
Τα μαθήματα, πάντως, της σχολής χάκερ, στο Dark School, δεν είναι απλώς τεχνικά· είναι και ιδεολογικά. Στη βιβλιογραφία της σχολής περιλαμβάνονται εγχειρίδια και για «κοινωνικούς χάκερ», όπου οι φερέλπιδες διαδικτυακοί στρατιώτες μαθαίνουν πώς να χακάρουν… ανθρώπους, «προγραμματίζοντάς τους να κάνουν αυτό που θέλουν».
Το… παλμαρέ των επιθέσεων της Killnet
Η Ρουμανία φαίνεται ότι ήταν το πρώτο θύμα του φιλορωσικού στρατού των χάκερ της Killnet. Ιστοσελίδες της ρουμανικής κυβέρνησης δέχονται DDoS επιθέσεις επί τρεις ημέρες, από τις 29 Απριλίου έως την 1η Μαΐου του 2022.
Σύμφωνα με ρουμανικά δημοσίευμα της εποχής, όπως το Economica και το Romania-Insider, η Killnet στόχευσε 300 ιστοσελίδες, όπως δημόσιους φορείς, γραφεία Τύπου, ξενοδοχεία, ταξιδιωτικούς ιστότοπους και πολιτικά κόμματα. Μεταξύ άλλων, στόχοι ήταν η ίδια η ρουμανική κυβέρνηση, τα υπουργεία Οικονομικών, Αμυνας και Υγείας, η Εθνική Υπηρεσία Δημοσιονομικών και η ρουμανική χωροφυλακή.
Λίγες ημέρες μετά, επιθέσεις δέχονται οι ιστοσελίδες της Μολδαβίας, που επιθυμεί διακαώς να ενταχθεί στην Ε.Ε. Μολδαβικά δημοσιεύματα απέρριψαν την ευθύνη στην Killnet, κυρίως εξαιτίας της… αγαπημένης τακτικής DDoS επιθέσεων, σημειώνοντας ότι οι επιθέσεις αναχαιτίστηκαν εγκαίρως δίχως να δημιουργήσουν ιδιαίτερα προβλήματα στους δημόσιους οργανισμούς της χώρας.
Την ίδια περίοδο, επιθέσεις δέχτηκαν και ιστοσελίδες της Τσεχίας. Οπως είχαν γράψει τα μέσα της χώρας, στο στόχαστρο της Killnet, που είχε αναλάβει την ευθύνη των επιθέσεων, μπήκαν ο ιστότοπος του ČT24, του 24ωρου δημόσιου ραδιοτηλεοπτικού φορέα χώρας, η ιστοσελίδα του ραδιοφωνικού σταθμού iRozhlas.cz, του κρατικού σταθμού ČRo, του υπουργείου Εσωτερικών, της αστυνομίας, της πυροσβεστικής και των Τσεχικών Σιδηροδρόμων (ČD).
Στα μέσα Μαΐου του 2022, και η Ιταλία δέχθηκε επιθέσεις από την Killnet. Το Istituto Superiore di Sanità (Ανώτατο Ινστιτούτο Υγείας), η Λέσχη Αυτοκινήτων, ο ιστότοπος της Γερουσίας και της ιταλικής Αστυνομίας, αλλά και η ιστοσελίδα της Eurovision, που πέρυσι είχε διοργανωθεί στο Τορίνο με την Ουκρανία να αναδεικνύεται νικήτρια. Μάλιστα, η επίθεση έγινε όσο η ομάδα της Ουκρανίας βρισκόταν επί σκηνής.
Στο πλαίσιο εκείνης της επίθεσης, για την οποία οι ιταλικές αρχές δήλωσαν ότι αποκρούστηκε επιτυχώς και οι χάκερ τούς είχαν διαψεύσει, η Killnet προειδοποίησε ότι από εκεί και πέρα άλλες 10 χώρες να αναμένουν επιθέσεις από τον διαδικτυακό στρατό της.
Στα τέλη Ιουνίου του 2022, σειρά είχε η Λιθουανία. Η Killnet, στις 27 Ιουνίου, την οποία είχε χαρακτηρίσει «ημέρα της κρίσης» για τους εχθρούς της Ρωσίας, δικαιολόγησε την επίθεσή της, λέγοντας ότι ήταν απάντηση στην απόφαση του Βίλνιους να εμποδίσει τη διαμετακόμιση εμπορευμάτων που έχει εγκρίνει η Ευρωπαϊκή Ενωση προς τον ρωσικό θύλακο του Καλίνινγκραντ, όπως είχε μεταδώσει το Reuters. «Η επίθεση θα συνεχιστεί έως ότου η Λιθουανία άρει τον αποκλεισμό», είχε δηλώσει στο πρακτορείο εκπρόσωπος της Killnet.
Μάλιστα, σύμφωνα με ερευνητές του εξειδικευμένου, μεταξύ άλλων, σε τέτοιες επιθέσεις Flashpoint, η Killnet χαρακτήρισε τη Λιθουανία «πεδίο δοκιμής για τις νέες μας δεξιότητες», προσθέτοντας ότι οι «φίλοι από τον Conti» είναι πρόθυμοι να πολεμήσουν, υποδεικνύοντας σύνδεση μεταξύ της Killnet και του Conti, ενός ransomware, πιστού στη Ρωσία από ενάρξεως του πολέμου στην Ουκρανία.
Μία ημέρα μετά την επίθεση στη Λιθουανία, στόχος έγινε η Νορβηγία, δίχως να δημιουργούν πολλά προβλήματα στη λειτουργία των ιστοσελίδων, για τις οποίες, ωστόσο, το Οσλο δεν κατονόμασε και δεν παρείχε περισσότερες πληροφορίες.
Στις αρχές Ιουλίου, όμως, η Λετονία δέχτηκε τη μεγαλύτερη κυβερνοεπίθεση στην ιστορία της χώρας, όπως γράφτηκε χαρακτηριστικά. Σύμφωνα με τους λονδρέζικους Times, η επίθεση στο δημόσιο ραδιοτηλεοπτικό της κέντρο, σύμφωνα με ανώτερο αξιωματούχο του ΝΑΤΟ, εξελισσόταν επί 12 ώρες. Η χώρα είχε γίνει στόχος χάκερ λόγω μιας σειράς αποφάσεων, όπως η επαναφορά της επιστράτευσης και η κατάρτιση καταλόγου σοβιετικών μνημείων προς κατεδάφιση.
Η καλοκαιρινή επιθετική μανία της Killnet είχε συνεχιστεί, με τις ΗΠΑ, όπως ήταν ιδιαίτερα αναμενόμενο, να παίρνουν σειρά. Η ομάδα ανέλαβε την ευθύνη για την κυβερνοεπίθεση στην αμερικανική αμυντική εταιρεία Lockheed Martin. Επρόκειτο για αντίποινα για την προμήθεια συστημάτων HIMARS από την Ουάσιγκτον στο Κίεβο. Η Killnet, μάλιστα, χαρακτήρισε τη Lockheed Martin «πραγματικό χορηγό της παγκόσμιας τρομοκρατίας», αποδίδοντάς της την ευθύνη για χιλιάδες θανάτους.
Το ρωσικό Life.ru, δε, είχε δημοσιεύσει ανακοίνωση της ομάδας χάκερ: «Τα διαβόητα συστήματα πυραύλων πολλαπλής εκτόξευσης HIMARS, που παρέχονται στην Ουκρανία από την προαναφερθείσα στρατιωτική-βιομηχανική εταιρεία, επιτρέπουν στις εγκληματικές αρχές του καθεστώτος του Κιέβου να σκοτώνουν αμάχους, να καταστρέφουν τις υποδομές και κοινωνικές εγκαταστάσεις της –προσωρινά ακόμη– κατεχόμενης Ουκρανίας».
Λίγους μήνες μετά, στις 10 Οκτωβρίου 2022, οι ΗΠΑ δέχθηκαν εκ νέου κυβερνοεπίθεση, με επίκεντρο αεροδρόμια της χώρας, όπως το πολυσύχνατο Διεθνές Αεροδρόμιο Hartsfield-Jackson Atlanta, το Διεθνές Αεροδρόμιο του Λος Αντζελες, το Chicago O’Hare International Airport, το Orlando International Airport, το Denver International Airport, το Phoenix Sky Harbor International Airport, μεταξύ άλλων, μικρότερων αεροδρομίων σε Κεντάκι, Μισισίπι και Χαβάη.
Ούτε η Ιαπωνία έμεινε εκτός καταλόγου των στόχων της Killnet. Στις 6 Σεπτεμβρίου 2022, η ίδια ομάδα ανακοίνωσε ότι επιτέθηκε σε υπουργεία και δημόσιες υπηρεσίες. Αξιοσημείωτο είναι ότι η φιλορωσική ομάδα χάκερ κήρυξε τον… πόλεμο στο μετρό του Τόκιο και της Οσάκα.
Απειλές δέχθηκε τον περασμένο Σεπτέμβριο και η Γεωργία, διότι, όπως διακήρυξε η Killnet, σχεδίαζε να ανοίξει μέτωπο με τη Ρωσία γύρω από το ζήτημα της Νότιας Οσσετίας, θυλάκου εντός της Γεωργίας, η ανεξαρτητοποίηση της οποίας δεν έχει αναγνωριστεί σχεδόν από καμία χώρα, πλην ασφαλώς της Ρωσίας.
Με την αυγή της νέας χρονιάς, στις 26 Ιανουαρίου, η BSI (Ομοσπονδιακή Υπηρεσία για την Ασφάλεια Πληροφοριών) της Γερμανίας ανακοίνωσε ότι ιστοσελίδες αεροδρομίων δέχονταν πολύωρες επιθέσεις, όπως και ιστότοποι του ευρέος χρηματοπιστωτικού τομέα. Σύμφωνα με γερμανικά δημοσιεύματα, το υπουργείο Εσωτερικών του κρατιδίου της Βάδης-Βυρτεμβέργης έκανε λόγο για «DDoS επιθέσεις που πραγματοποιούνται σε εθνικό επίπεδο σε διάφορες ιστοσελίδες γερμανικών ιδρυμάτων», μεταξύ άλλων των τομέων υποδομών και διοίκησης, καθώς και τον ιστότοπο της αστυνομικής δύναμης της Βάδης-Βυρτεμβέργης».
Για τις επιθέσεις αυτές είχαν νωρίτερα προειδοποιήσει τα μέλη της Killnet, εξαιτίας της τότε αναγγελθείσας παράδοσης των γερμανικών αρμάτων μάχης Leopard στην Ουκρανία.
Σε αυτό το πλαίσιο, έχουν απειλήσει σκαιά και τον Τούρκο πρόεδρο Ρετζέπ Ταγίπ Ερντογάν, προειδοποιώντας τον ότι δεν θα μείνει ουδείς Τούρκος όρθιος, καθώς έχει αποφασίσει η Αγκυρα να προμηθεύσει τα περίφημα drones Μπαϊαρακτάρ, του γαμπρού του προέδρου της Τουρκίας.
Η Killnet και η Ελλάδα
Τον περασμένο Νοέμβριο, η Killnet ισχυρίστηκε ότι επιτέθηκε και σε ελληνικές ιστοσελίδες, με επίκεντρο στη διαδικτυακή παρουσία της Γενικής Γραμματείας Πληροφοριακών Συστημάτων, χωρίς ιδιαίτερα αποτελέσματα. Την είδηση είχε μεταδώσει και το ρωσικό πρακτορείο ειδήσεων RIA Novosti, επικαλούμενο την ανακοίνωση της ομάδας στο Telegram.
Οπως έχει γράψει η Killnet στο κανάλι της στο Telegram, η επίθεση σχετιζόταν με τη συμμετοχή της Ελλάδας στο ΝΑΤΟ και την υποστήριξη που παρέχει η χώρα στην Ουκρανία.
Σε σχέση, πάντως, με την πιθανή εμπλοκή της Killnet στην επίθεση στην ελληνική Τράπεζα Θεμάτων, μέχρι στιγμής η ομάδα δεν έχει αναλάβει καμία ευθύνη, παρότι συνηθίζει να το κάνει έπειτα από κάθε επίθεση με την οποία σχετίζεται.