Кіберзагрози під час російсько-української війни: чому ми можемо навчитися з історії, щоб бути готовими?

13 квітня, 2022. 04:04 За матеріалами InfoTel, Sophos

Теги: #ESET, #Microsoft_Office, #BlackEnergy, #WikiLeaks, #Sophos, #InfoTel

Ця стаття описує більш ніж 15-річну кіберактивність Росії, пов'язану із конфліктом. Вона доповнюється поточним оглядом розвитку кібератак, пов'язаних із російсько-українською війною 2022 року. У зв'язку з тим, що російські війська націлені на Україну, а розподілені атаки на кшталт «відмова в обслуговуванні» (DDoS) час від часу порушують роботу українських державних веб-сайтів та постачальників фінансових послуг, багато говорять про готовність до кіберконфлікту.

Хоча будь-які організації завжди повинні бути готові до атаки з будь-якого напрямку, можливо корисно знати, на що звертати увагу при збільшенні ризику атаки. Я вирішив переглянути історію відомих чи передбачуваних дій російської держави в кіберпросторі, щоб оцінити, яких видів діяльності очікувати і як організації можуть бути готові до цього.

Дестабілізуючі атаки типу «відмова в обслуговуванні»

Найраніша відома активність датується 26 квітня 2007 року, коли естонський у1ряд переніс статую на згадку про звільнення Естонії Радянським Союзом від нацистів на менш помітне місце. Ця акція розлютила російськомовне населення Естонії і дестабілізувала відносини з Москвою. Незабаром після цього відбулися вуличні заворушення, акції протесту біля посольства Естонії в Москві та хвиля виснажливих DDoS-атак на естонські урядові та фінансові сайти.

Повністю готові інструменти та інструкції щодо участі в DDoS-атаках з'явилися на російських форумах практично відразу після перенесення статуї. Ці атаки були спрямовані на веб-сайти, що належать президенту, парламенту, поліції, політичним партіям та великим ЗМІ.

Заклик до «російських патріотів» допомогти покарати Естонію навряд чи був спонтанний. Це був масовий рух, що виник з нуля з інструментами та списком цілей напоготові. Та ж тактика була пізніше застосована Anonymous для захисту Wikileaks з використанням інструменту, званого LOIC (акронім від англ. Low Orbit Ion Cannon - укр. Низькоорбітальна іонна зброя) - програма з відкритим вихідним кодом, призначена для здійснення DoS-атак, написана мовою програмування C#).

4 травня 2007 р. атаки посилилися, стали завдаватися додаткових ударів по банках. Рівно через сім днів напади припинилися опівночі так само раптово, як і почалися.

Усі відразу ж звинуватили Росію, але визначити, хто виробляє розподілені атаки на кшталт «відмова в обслуговуванні» на практиці майже неможливо. В даний час широко поширена думка, що ці DDoS-атаки були справою рук Russian Business Network (RBN), сумно відомого в Росії організованого злочинного угруповання, пов'язаного зі спамом, ботнетами, крадіжкою персональних даних. Схоже, їхні послуги було «придбано» рівно на тиждень для проведення цих атак.

19 липня 2008 р. розпочалася нова хвиля DDoS-атак, націлених на новинні та урядові сайти в Грузії. Ці атаки таємниче різко посилилися 8 серпня 2008 року, коли російські війська вторглися в сепаратистську провінцію Південна Осетія. Спочатку вони були націлені на грузинські новинні та урядові сайти, а потім перейшли до фінансових установ, підприємств, освіти, західних ЗМІ.

Як і у випадку з попередніми атаками на Естонію, з'явився веб-сайт зі списком цілей, а також набором інструментів з інструкціями щодо їх використання. У цьому випадку також намагалися приписати атаки «патріотам», що захищаються від грузинської агресії, проте більша частина фактичного трафіку атак виходила від відомого великого ботнету, який, як вважається, контролюється RBN

Підміна адрес та спам

Атаки на Грузію також включали псування веб-сайтів та масові спам-кампанії, спрямовані на засмічення поштових скриньок грузинів. Все це, здавалося, було спрямоване на те, щоб навіяти невпевненість у здатності Грузії захищати себе та керувати собою та завадити уряду ефективно спілкуватися зі своїми громадянами та зовнішнім світом.

Менш ніж через рік у Киргизстані у січні 2009 року розпочалася ще одна серія DDoS-атак. Це збіглося з процесом ухвалення рішення, до якого вступав уряд Киргизстану, щоб вирішити, чи продовжувати оренду авіабазу США на своїй території. Збіг обставин?

Виявилося, що його знову проводить RBN, але цього разу це не прийом «патріотів», які висловлюють свою цифрову думку.

Це підводить нас до одного з останніх конфліктів, вторгнення до Криму 2014 року.

Дезінформація та ізоляція

Інформаційна війна на різних рівнях ведеться проти України з 2009 року, при цьому багато атак співпали з подіями, які можуть бути витлумачені як такі, що загрожують інтересам Росії, такі як саміт НАТО та переговори між Україною та ЄС щодо угоди про асоціацію.

У березні 2014 року газета New York Times повідомила, що шкідливе програмного забезпечення «Snake» проникло до канцелярії прем'єр-міністра України та кількох віддалених посольств одночасно з початком антиурядових протестів в Україні. Наприкінці 2013 та на початку 2014 року ESET також публікувала дослідження, що документують напади на військові об'єкти та засоби масової інформації, що отримали назву «Операція Potao Express».

Як і раніше, самозвана кібергрупа, відома як «Cyber Berkut», проводила DDoS-атаки та веб-дефейс, не завдавши особливої реальної шкоди. Однак це створило багато плутанини, і це має значення під час конфлікту.

На початку конфлікту солдати без розбіжностей захопили контроль над телекомунікаційними мережами Криму та єдиною в регіоні інтернет-станцією, що призвело до відключення інформації. Зловмисники використали доступ до мережі мобільного зв'язку для ідентифікації учасників антиросійських протестів та надсилання їм СМС-повідомлень зі словами: «Шановний абонент, ви зареєстровані як учасник масових заворушень».

Після ізоляції зв'язку Криму зловмисники також зламали мобільні телефони депутатів українського парламенту, позбавивши можливості ефективно реагувати на вторгнення. Як зазначається в журналі Military Cyber Affairs, кампанії з дезінформації розгорнулися на повний хід:

«В одному випадку Росія заплатила одній людині за те, щоб вона володіла декількома різними веб-ідентифікаційними даними. Одна акторка із Санкт-Петербурга повідомила, що вона виступала в ролі трьох різних блогерів із десятьма блогами, а також коментувала інші сайти. Іншу людину було найнято, щоб просто коментувати новини та соціальні мережі 126 разів кожні дванадцять годин»

Атаки на об'єкти енергетики

23 грудня 2015 р. було раптово відключено електрику приблизно половині мешканців Івано-Франківська, Україна. Широко поширена думка, що це справа рук спонсорованих державою російських хакерів. Початкові атаки почалися більш ніж за 6 місяців до відключення електроенергії, коли співробітники трьох центрів розподілу електроенергії відкрили шкідливий документ Microsoft Office з макросом, призначеним для встановлення шкідливого програмного забезпечення під назвою BlackEnergy.

ЧИТАТИ МАТЕРІАЛ