Детальний аналіз хакерської групи Noname057(16), відомої як Russian Cyber Army. Виявлено особи учасників, їхні методи та зв’язки з російськими державними структурами.
Хакерські угруповання Russian Cyber Army та Noname057(16) діяли паралельно з кінця 2022 року. Noname057(16) створили проект, який включає шкідливе програмне забезпечення DDoSia, призначене для проведення DDoS-атак, зокрема проти країн НАТО. У вересні 2024 року ці угруповання, ймовірно, об’єдналися в одну структуру. Передбачається, що проєкт фінансується державними структурами Росії. Особливістю їхнього ботнету є те, що він виплачує винагороди користувачам за надані ресурси для атак. Є серія нападів, які пов’язують із цими угрупованнями.
США. У санкційних списках США фігурують дві особи – Юлія Панкратова та Денис Дегтяренко, які пов’язані з Noname057(16). У цих документах також згадується назва Cyber Army of Russia Reborn (CARR). Попри часті згадки обох назв у контексті кібератак, точний взаємозв’язок між ними поки залишається предметом аналізу.
Нідерланди. У серпні 2023 року угруповання здійснило DDoS-атаки на вебсайти кількох нідерландських організацій. Зокрема, було порушено роботу сайтів портів у Роттердамі, Амстердамі, Ден-Гелдері та Гронінгені, які залишалися недоступними протягом кількох годин або навіть днів. Ці атаки стали відповіддю на плани Нідерландів придбати швейцарські танки для України. Внутрішні системи портів при цьому не постраждали — атаковано було лише публічні вебсайти.
Загалом Noname057(16) здійснила DDoS-атаки на державні та комерційні сайти у понад 15 країнах, серед яких Україна, Канада, країни Балтії, Данія, Німеччина, Норвегія, Польща, Фінляндія, Італія, Чехія, Велика Британія та інші. Основними цілями були урядові установи, банки, транспортні компанії, медіа та інші об’єкти. Атаки мали політичне підґрунтя, оскільки ці країни підтримали Україну.
У своїх інтерв’ю, опублікованих у Telegram, хакери Noname057(16) хваляться створенням альянсу проросійських хакерів під назвою Holly League, що протистоїть “колективному Заходу” та “глибинній державі” (deep state). Наприклад, в інтерв’ю іспанському кіберексперту Рафа Лопесу для видання Bit Life Media вони цитували російського поета Олександра Блока: «Мільйони з вами. Ми маємо темряву, темряву, і ще більше темряви. Спробуйте боротися з нами!».
Юлія Панкратова також дала інтерв’ю для блогу KnightPentest, у якому зазначила, що Франція зазнала атак двічі: перший раз – через порушення християнських норм під час підготовки до Олімпіади-2024, другий – на підтримку Павла Дурова.
Це угруповання продовжує представляти серйозну загрозу в кіберпросторі через свої політично мотивовані атаки.
Адміністратори
@nn05716Роль: АдміністраторПІБ: Панкратов Артем Володимирович (російською — Панкратов Артем Владимирович)
@MotherOfBearsРоль: АдміністраторПІБ: Журавльова / Панкратова Юлія Володимирівна (російською — Журавлева / Панкратова Юлия Владимировна)
@vetal2020Роль: АдміністраторПІБ: Прядка Віталій Віталійович (російською — Прядка Виталий Виталиевич)
@Rabbn1Роль: АдміністраторПІБ: Маскайкін Ілля (російською — Маскайкін Илья)
@simplusertgРоль: АдміністраторПІБ: Осауленко Микола Дмитрійович (російською — Осауленко Николай Дмитриевич)
@t96_kaРоль: АдміністраторПІБ: Тітов Кирило Андрійович (російською — Титов Кирилл Андреевич)
@tory12345666Роль: АдміністраторПІБ: Дубранова Вікторія Едуардівна (російською — Дубранова Виктория Эдуардовна)
@Timea_RichРоль: АдміністраторПІБ: Крайнов Олександр Сергійович (російською — Крайнов Александр Сергеевич)
@sturm_29Роль: УчасникПІБ: Смородін Дмитро Миколайович (російською — Смородин Дмитрий Николаевич)
@Monaxxx666Роль: УчасникПІБ: Шевляков Євгеній Іванович (російською — Шевляков Евгений Иванович)
@ArchLinuxrootuserРоль: УчасникПІБ: Білялов Мурат Дамирович (російською — Билялов Мурат Дамирович)
На фото вище зображено ключового члена спільноти Russian Cyber Army / Noname057(16). Він разом із дружиною — Журавльовою / Панкратовою Юлією (нік у Telegram — @MotherOfBears) — адмініструє відповідну групу в Telegram. Артем був засновником кількох юридичних осіб (1, 2, 3, 4), які мали КВЕДи, пов’язані з торгівлею та будівництвом. Однак підприємницька діяльність не змогла допомогти йому позбутися боргів. Наразі Панкратов є власником компанії sipconstruct (інстаграм: inst), що спеціалізується на будівництві.
У соцмережах Артем переважно публікує російську пропаганду. Серед його постів також є кілька публікацій, де він розповідає про успішність хакерських атак спільноти NoName057. У Telegram він підписаний на проросійські канали, такі як “русская идея”, проте водночас цікавиться темами, пов’язаними з еміграцією, та вивчає іспанську мову.
Було виявлено коментар іспанською мовою, залишений у дискусіях групи “Informa Pirata: informazione e notizie”, присвячених кібербезпеці та цифровим правам. У ньому Артем написав: “Ось посилання на Telegram-канал цього угруповання”, прикріпивши лінк на російську хакерську спільноту. Цей коментар з’явився під час обговорення новини про DDoS-атаку хакерів NoName057 на сайт Міністерства оборони Італії. Ймовірно, таким чином він намагався прорекламувати свою спільноту.
Крім того, Артем підписаний на групу “канадских возвращенцев”. Він активно намагається рекламувати свою хакерську спільноту у різноманітних Telegram-групах. Ось як виглядає його реклама:
Дата народження: 23.04.1984
Відомі адреси:
Соцмережі:
Електронні пошти:
Номери телефонів:
+79945555499
+79271498929
+78452961555
+78452913231
Документи:
Паспорт: 322320313
ІПН (Ідентифікаційний номер платника податків): 645116260584
СНІОР (Страховий номер індивідуального особового рахунку): 11225845627
Юлія — дружина російського хакера Артема Панкратова, про якого згадувалося раніше. За наявною інформацією, пара одружилася минулого року. Юлія активно підтримує діяльність свого чоловіка-хакера та є учасницею Telegram-груп, пов’язаних із російською пропагандою і DDoS-атаками. Вона працює під ніком MotherOfBears та адмініструє Telegram-канал спільноти російських хакерів DDosia.
Дата народження: 06.04.1984
Місце проживання: Анапа
Відома адреса: м. Москва, Клязьминська вулиця, буд. 7, корп. 2, кв. 25
Соцмережі:
Електронна пошта:
Номери телефонів:
+79096606594
+79650611488
+79384217931
+79853920040
+79162301826
Документи:
Паспорт: 4507084340
ІПН (Ідентифікаційний номер платника податків): 771770724400
СНІОР (Страховий номер індивідуального особового рахунку): 14264694170
Віталій родом із Запорізької області. Його акаунт у Telegram активний із 2021 року. За наявною інформацією, Віталій раніше був засуджений за крадіжку. У 2019 році він відвідував Москву.
Серед його інтересів — садівництво та марихуана. В Telegram Віталій є учасником груп, таких як @baraholkabkm (Барахолка ОТГ: Кушугум, Балабине, Малоекатеринівка) та @otgKushugum. Також є ймовірність, що Віталій володів або досі володіє автомобілем марки Chevrolet Lacetti.
Дата народження: 29.03.1996
Відома адреса: Запорізька область, Запорізький район, смт Малокатеринівка
Соціальні мережі:
Електронна пошта:
Підліток із Росії, ймовірно, родом із Мордовії. Він виявляє інтерес до підтримки російської армії та хактивізму. Серед його зацікавлень також — флот Росії, збір коштів (ймовірно, для потреб армії РФ), шкідливе програмне забезпечення та проведення DDos-атак. Його акаунт у Telegram був зареєстрований у квітні 2023 року.
Дата народження: 27.04.2006
Навчання:
Станом на грудень 2023 року був учнем 11 класу
Навчальний заклад: МОУ Ліцей Ельниковського муніципального району
Досягнення: призер з історії у 2023-2024 навчальному році
Відома адреса:
с. Морд. Масккінські Висілки, вул. Зарічна, буд. 33, кв. 2
Соціальні мережі:
Електронна пошта:
Номер телефону:
Осауленко вважає свою роботу надзвичайно небезпечною, стверджуючи, що “будь-якої секунди все може закінчитися”. Однак, як з’ясувалося, ця “небезпечна” діяльність пов’язана з роботою в державному будівництві на ФГУП “Главное военно-строительное управление по специальным объектам”. Ця організація займається будівництвом спеціальних та часто засекречених об’єктів, таких як військові бази, підземні бункери, стратегічна інфраструктура та інші об’єкти з підвищеним рівнем секретності. Як і інші члени, Осауленко є частиною адміністрації каналу.
Цей акаунт, з якого він адмініструє групу DDoSia Project, належить йому з 2024 року. Осауленко цікавиться мережею розвідки, доксінгом, пенетрейшен тестами та деанонімізацією. Крім того, ймовірно, він є учасником хакерських спільнот і читає групу “Прививка от секса”. Також існує припущення, що у нього є дружина та дитина.
Дата народження: 14.09.1989
Відома адреса: Росія, Республіка Мордовія, Зубово-Полянський район, с. Тарханська Потьма, вул. Лісна, буд. 58
Соціальні мережі:
Електронна пошта:
Основна: [email protected] (пруф)
Номери телефонів:
Документи:
Паспорт: 8909133283
ІПН (Ідентифікаційний номер платника податків): 130802586462
СНІОР (Страховий номер індивідуального особового рахунку): 14642127949
Транспортний засіб:
Марка авто: ВАЗ/Lada 2170/Priora
Номерний знак: К930ЕУ13
VIN: XTA21703080082160
Професійна діяльність:
Робота у 2019: Московська філія ФГУП “Головне військово-будівельне управління по спеціальних об’єктах”
Має тісний зв’язок із проєктами DDoSia та Noname057(16), виявився російським “опозиціонером”, який у 2021 році надавав фінансову підтримку Фонду боротьби з корупцією (ФБК), очолюваному Навальним. Мова йде про Тітова Кирила Андрійовича, який використовує нік @t96_ka. Він займає позицію адміністратора Telegram-каналу, де зібрано навчальні ресурси, що стосуються хакерських атак, включаючи матеріали для ddosiaproject.
До 2021 року Тітов працював оператором електронно-обчислювальних і обчислювальних машин у БУЗ ВО “Лискинская районная больница”.
Дата народження: 22.05.1996
Відома адреса: Воронезька обл., м. Лиски, вул. Сеченова, буд. 45, кв. 1
Соціальні мережі:
Електронна пошта:
Номери телефонів:
Документи:
Паспорт: 2016954088
ІПН (Ідентифікаційний номер платника податків): 365205093629
Вікторія — українка, ймовірно, родом із Дніпра. Вона стверджує, що має “словʼянську душу”, якій важко сприймати спілкування англійською мовою. Вікторія активно використовує російську соцмережу VK. Її особиста електронна пошта [email protected] зареєстрована на кількох російських онлайн-платформах, таких як avito.ru, bookmate.com, nnm-club.ru, text.ru, bitrix24.ru, plibber.ru (1, 2, 3).
Дата народження: 12.08.1991
Соціальні мережі:
Електронна пошта:
Telegram:
TG id: 6634849144
Нікнейми: @viktorya_design, @tory12345666
Відомі нікнейми:
sovasonyasouls
viktorya_design
Під нікнеймом @Timea_Rich, ймовірно, ховається російський військовий. Власник цього Telegram-профілю, ймовірно, Олександр Крайнов, наразі проживає в Іваново, Іванівської області, Росія. Крайнов служив у ВДВ Росії, зокрема, у 31 окремій десантно-штурмовій бригаді.
Є ймовірність, що Крайнов є власником кіберспортивного медіа cyberivanovo, оскільки його електронна пошта прив’язана до акаунту cyberivanovo.bitrix24.ru. Його ймовірний IP адреса 80.70.96.55 пов’язана з містом Кинешма, а ймовірний IP в місті Іваново — 78.111.152.229.
Дата народження: 10.12.1988
Соцмережі:
Електронна пошта:
Номери телефонів:
+79203465882
Telegram:
Банківська карта:
Номер: 4584432849775797 (термін дії: до 31.11.2028)
Онлайн-активність:
Russian Cyber Army та Noname057(16) — це агресивні проросійські хакерські колективи, які використовують інструмент Ddosia для масштабних кібератак. Russian Cyber Army виникла на тлі російської агресії проти України та з того часу активно атакує як урядові, так і приватні організації, що виступають проти Росії. Їхні методи включають DDoS-атаки, злам вебсайтів і цілеспрямоване поширення проросійської пропаганди.
Noname057(16), розробники Ddosia, зосереджені на атаках проти урядових структур і приватних компаній у Литві, Польщі, Італії та інших країнах, які критикують Росію. Група активно набирає нових учасників через Telegram, обіцяючи фінансові винагороди за участь у атаках. Вони також мають тісні зв’язки з іншими проросійськими хакерськими угрупованнями, такими як Killnet і XakNet, що дозволяє їм збільшувати масштаби своїх атак.
