Министерство юстиции США предъявило обвинения шести российским гражданам, которые, как считается, являются членами группировки Sandworm (она же Telebots, BlackEnergy, Voodoo Bear и так далее), одной из самых известных хакерских групп, спонсируемых государством.
Американские власти утверждают, что все обвиняемые служат в подразделении 74455 Главного разведывательного управления России (Unit 74455) и по приказу правительства России проводили кибератаки с целью дестабилизировать другие страны, вмешаться в их внутреннюю политику, причинить ущерб и денежные потери.
В частности, Минюст связывает группировку Sandworm со следующими известными инцидентами:
На пресс-конференции официальные лица США заявили, что атаки группировки зачастую строились на беспорядочном использовании деструктивной малвари, что не только приводило к финансовым потерям среди тысяч компаний, но и подвергало риску человеческие жизни, демонстрируя пренебрежение любыми нормами и правилами.

Американские власти утверждают, что все обвиняемые служат в подразделении 74455 Главного разведывательного управления России (Unit 74455) и по приказу правительства России проводили кибератаки с целью дестабилизировать другие страны, вмешаться в их внутреннюю политику, причинить ущерб и денежные потери.
В частности, Минюст связывает группировку Sandworm со следующими известными инцидентами:
- атаки на правительство и критическую инфраструктуру Украины: с декабря 2015 по декабрь 2016 года проводились атаки на энергосистему Украины, Министерство финансов и Государственную казначейскую службу с использованием малвари BlackEnergy, Industroyer и KillDisk;
- выборы во Франции: в апреле-мае 2017 года, перед выборами во Франции, были зафиксированы целевые фишинговые атаки и связанные с ними попытки взлома, нацеленные на политическую партию «La République En Marche!» президента Франции Макрона, других французских политиков и местные власти страны;
- бизнес и критическая инфраструктура во всем мире (NotPetya): 27 июня 2017 года начались массовые атаки малвари NotPetya, поразившие компьютеры во всем мире, включая медицинские учреждения Heritage в Пенсильвании, дочернюю компанию FedEx Corporation, TNT Express BV, а также крупного производителя фармацевтической продукции в США, который в итоге понес убытки в размере миллиарда долларов;
- организаторы, участники, партнеры и посетители зимних Олимпийских игр в Пхенчхане: с декабря 2017 года по февраль 2018 года фишинговые кампании и вредоносные мобильные приложения атаковали граждан и официальных лиц из Южной Кореи, олимпийских спортсменов, партнеров и посетителей Олимпийских игр, а также официальных лиц из Международного олимпийского комитета;
- ИТ-системы Зимних Олимпийских игр в Пхенчхане (Olympic Destroyer): с декабря 2017 года по февраль 2018 года фиксировались атаки на системы, обслуживающие Зимние Олимпийские игры в Пхенчхане. Кульминацией стала разрушительная атака на церемонию открытия Олимпийских игр, 9 февраля 2018 года, с использованием малвари Olympic Destroyer;
- расследования отравления «Новичком»: в апреле 2018 года были замечены кампании направленного фишинга, целью которых были расследования Организации по запрещению химического оружия (ОЗХО) и оборонной научно-технической лаборатории Соединенного Королевства (DSTL), проводившиеся из-за отравления Сергея Скрипаля, его дочери и несколько граждан Великобритании нервно-паралитическим веществом;
- атака на государственные учреждения Грузии: в 2018 года была замечена кампания целевого фишинга, нацеленная на крупную медиакомпанию, в 2019 году была предпринята попытка компрометации сети парламента, а в 2019 году замечены масштабные дефейс-атаки на самые разные сайты.
Ответчик | Обвинения |
Юрий Сергеевич Андриенко | Разработка компонентов малвари NotPetya и Olympic Destroyer. |
Сергей Владимирович Детистов | Разработка компонентов малвари NotPetya, а также подготовка фишинговых кампаний, нацеленных на Зимние Олимпийские игры в Пхенчхане. |
Павел Валерьевич Фролов | Разработка компонентов малвари KillDisk и NotPetya. |
Анатолий Сергеевич Ковалев | Разработка фишинговых кампаний, нацеленных на: членов La République En Marche!; сотрудников DSTL; членов МОК и спортсменов-олимпийцев; сотрудников грузинского СМИ. |
Артем Валерьевич Очиченко | Участие в фишинговых кампаниях против партнеров Зимних Олимпийских игр в Пхенчхане в 2018 году; Техническая разведка в отношении официального домена Парламента Грузии и попытка получить несанкционированный доступ к его сети. |
Петр Николаевич Плискин | Разработка компонентов малвари NotPetya и Olympic Destroyer. |
На пресс-конференции официальные лица США заявили, что атаки группировки зачастую строились на беспорядочном использовании деструктивной малвари, что не только приводило к финансовым потерям среди тысяч компаний, но и подвергало риску человеческие жизни, демонстрируя пренебрежение любыми нормами и правилами.
«Данный случай демонстрирует, что ни одна страна мира не использовала свои киберпотенциалы так злонамеренно и безответственно, как Россия, бессмысленно наносившая беспрецедентный сопутствующий ущерб ради достижения небольших тактических преимуществ и удовлетворения своих приступов агрессии», — заявил помощник генерального прокурора по национальной безопасности Джон Демерс (John Demers), говоря об атаке на инфраструктуру Олимпийских игр, произошедшей после того, как российским атлетам запретили участвовать в Олимпиаде, а также о шифровальщике NotPetya, которого изначально был нацелен на Украину, но группировка потеряла контроль, причинив ущерб компаниям по всему миру.
В настоящее время все шесть обвиняемых находятся на свободе в России. Если они будут задержаны и преданы американскому суду, каждому из них грозит наказание в виде нескольких десятков лет лишения свободы.«К примеру, вредоносная программа NotPetya помешала Heritage Valley предоставлять критически важные медицинские услуги гражданам Западного округа Пенсильвании и затронула две больницы, 60 офисов и 18 вспомогательных объектов, — говорится в заявлении Министерства юстиции США. — Из-за атаки были недоступны списки пациентов, истории болезни, файлы медицинских осмотров и лабораторные записи.
Heritage Valley примерно на неделю лишилась доступа к своим критически важным компьютерным системам (например, связанным с кардиологией, ядерной медициной, радиологией и хирургией), а к административным системам почти на месяц, что создало угрозу для здоровья и безопасности населения».