ウクライナ戦争の 4 か月を振り返る: ロシアのサイバー攻撃はどのような戦略を追求し、これまでのところどれほど効果的でしたか? サイバー戦争は、破壊、偽情報、ハクティビズム、電子スパイの XNUMX つの戦略に従って行われました。 Sophos のプリンシパル リサーチ サイエンティスト、Chester Wisniewski によるコメント。
24 年 2022 月 2014 日にロシアがウクライナに侵攻したとき、評価を何度も試みたにもかかわらず、本格的な侵略でサイバー攻撃がどのような役割を果たすかは誰も知りませんでした。 ロシアは、XNUMX 年にクリミアを占領して以来、ウクライナに対してサイバー攻撃を行ってきました。 特にウクライナの電力網への攻撃の後 NotPetya ワームの世界的な広がり。
サイバー攻撃の有効性や影響を評価する際の課題の XNUMX つは、サイバー攻撃が「全体像」にどのように適合するかを確認することです。 私たちが紛争の真っ只中にいるとき、戦争の「情報の霧」は、特定の行動の有効性についての私たちの見方をしばしば覆い隠し、歪めます. 戦争から XNUMX か月以上が経過した今、振り返って、それまでのサイバー兵器の役割を判断してみましょう。
ウクライナへの 1.100 件以上のサイバー攻撃
特別通信および情報保護のためのウクライナ国家サービス (SSSCIP) によると、 ウクライナは開戦以来、1.123回の攻撃を行った. 標的の 36,9% は政府/防衛であり、攻撃は 23,7% の悪意のあるコードと 27,2% の情報収集で構成されていました。
戦争のサイバー部分は、土地侵略のほぼ 24 時間前に始まりました。 紛争の日記の中で、DDoS 攻撃とワイパー攻撃が現地時間の 23 月 16 日の午後 00 時ごろに始まったことを記しました。 その直後、多数の攻撃とテクニックが並行して使用されたため、非常に混乱しました。 強度、効果、標的をよりよく分析するために、これらの攻撃を破壊、偽情報、ハクティビズム、スパイ活動の XNUMX つのカテゴリに分類しました。
戦略 1: 破壊
戦争はロシアの計画通りに進んでいなかったため、これらの技術のいくつかは戦争のさまざまな段階で異なる方法で使用されてきました. 最初の最も明白なフェーズは、破壊的なマルウェア フェーズでした。 SSSCIP によると、2022 年 XNUMX 月の時点で、ロシアと親ロシア派の攻撃者は、システムのコンテンツを消去するか、システムを操作不能にすることを目的とした、ワイパーおよびブート セクターを変更するマルウェアをリリースし始めました。 彼らは主に、ウクライナのサービス プロバイダー、重要なインフラストラクチャ、および政府機関を標的にしていました。
これらの攻撃は紛争の最初の 22 週間続き、その後弱体化しました。 この活動のほとんどは、24 月 XNUMX 日から XNUMX 日の間に集中していました。 これらの活動はウクライナのさまざまなシステムに影響を与えましたが、最終的にはロシアの土地侵略の成功にプラスの影響を与えたようには見えません.
その理由の 2008 つは、これらの攻撃の数日前に、ウクライナ政府が公式のオンライン機能の多くを、戦闘に関与していない第三者によって管理および制御されるクラウド インフラストラクチャに移行したことです。 これにより干渉が回避され、ウクライナは多くのサービスを維持し、世界と通信することができました。 これは、XNUMX 年にジョージアがロシアの DDoS 攻撃の際に主要な政府 Web サイトを第三国に移動したときの同様の動きを思い起こさせます。
Viasat 攻撃は非常に効果的で、ドイツの風力タービンにも影響を与えました
もう XNUMX つの壊滅的な攻撃は、侵略が始まったちょうどその時、中央ヨーロッパと東ヨーロッパに配備された Viasat 衛星通信モデムに対する攻撃でした。 ロイター通信の Raphael Satter によると、ウクライナのサイバーセキュリティの高官は、これが「戦争の開始直後に非常に大きな通信の損失」をもたらしたと説明した。 この攻撃はまた、NATO 加盟国に巻き添え被害を与え、 とりわけ、ドイツで 5.800 基以上の風力タービンの運転が中断されました。.
これはおそらく、戦争中にこれまでに行われたすべての攻撃の中で最も効果的です。 ほとんどの専門家が、ロシアが 72 時間戦争を計画していると推測していることを考えると、この戦略が機能した場合、軍事通信の混乱はウクライナに重大な悪影響を及ぼした可能性があります。 さらに、ウクライナの司令官は、混乱を最小限に抑えるために、再編成して代替接続を確立することができました。 長期的に見て、ロシアはウクライナよりもはるかに指揮系統に苦労していることが証明されています。 Microsoft や ESET などのテクノロジー企業や米国の諜報機関からの支援もあってか、破壊的な攻撃を撃退するウクライナの成功は目覚ましいものがあります。
Industroyer2 マルウェアがウクライナのエネルギー会社を攻撃
重要なインフラストラクチャを標的とする最も高度なマルウェアの脅威の XNUMX つが、ウクライナの電力会社のネットワークで検出されたときに認識され、無効化されました。 Industroyer2 として知られるマルウェア Windows、Linux、Solaris を標的とする従来のワイパーと、電力網の制御と監視に使用される運用技術 (OT) を標的とする ICS 固有のマルウェアの組み合わせでした。
マイクロソフトは最近のレポートで、多くのロシアのサイバー攻撃が、ドニプロ、キエフ、ビニツィア空港での従来の攻撃と連携しているように見えると指摘しています。 しかし、サイバー要素がロシアの攻撃の明らかな進歩に貢献したという証拠はまだありません. 私の推定では、破壊的なサイバー作戦はこれまでのところ、実際の戦争の結果にほとんど影響を与えていません。 彼らは多くの人々に余分な仕事を与え、多くの見出しを作りましたが、彼らがしなかったことは、戦争に真の違いをもたらすことです.
戦略 2: 偽情報
偽情報戦略は、ウクライナの人々、ロシア自体、およびその他の世界の XNUMX つのグループを標的にしていました。 ロシアは、政治的結果を達成するための武器として偽情報を使用することに慣れています。 当初の任務は、迅速な勝利と傀儡政府の使用を想定していたようです。 この計画では、偽情報は最初に XNUMX つの影響範囲で重大になり、次に進行するにつれて XNUMX つの影響範囲で影響を及ぼします。
最も明白な標的はウクライナの人々です - 彼らはロシアが解放者であると確信し、最終的に親クレムリンの指導者を受け入れる必要があります. ロシア人は SMS や従来のソーシャル メディアを介してさまざまな形で影響力を行使しようとしたようですが、ウクライナの愛国心が強まっているため、最初からこの試みが成功する可能性は低くなりました。
ロシア国内の偽情報
ロシアは、XNUMX 番目に重要なターゲットである国内での偽情報ではるかに多くの成功を収めています。 外国メディアや独立系メディアの使用を全面的に禁止し、ソーシャル メディアへのアクセスをブロックし、ウクライナ侵攻に関連する「戦争」という言葉の使用を犯罪化した。 これらの行動が一般大衆に与える影響を実際に測定することは困難ですが、世論調査ではプロパガンダが機能していることを示唆していますが、少なくとも公に表明できる唯一の意見は「軍事特殊作戦」への支持です.
戦争が長引くにつれ、偽情報の第 XNUMX の標的は世界の他の地域です。 インド、エジプト、インドネシアなどの非同盟国に影響を与えようとすると、国連の投票でロシアに反対票を投じるのを思いとどまらせ、ロシアを支持するよう説得する可能性があります。
世界中のメディアのプロパガンダ
米国の生物兵器研究所、非ナチ化、ウクライナ軍によるジェノサイド疑惑に関する報道は、西側メディアによる紛争の描写に異議を唱えることを目的としています。 この活動の多くは、侵害されたアカウントやあらゆる種類のマルウェアではなく、既存の人々が偽情報を生成したことによるものと思われます。
偽情報には明らかに影響がありますが、破壊的な攻撃と同様に、戦争の結果に直接影響を与えることはありません。 民間人はロシア軍を解放者として歓迎せず、ウクライナ軍は武器を置いたり降伏したりしません。 米国とヨーロッパは依然としてウクライナを支持しており、ロシア国民は用心深いが反抗的ではないようだ。 最も注目に値するのは、最近、ウクライナ軍がロシアの支配下にある地域を奪還し、ハリコフ近郊の一部の民間人から解放者として歓迎されたことです。
戦略 3: ハクティビズム
🔎 ソフォスのプリンシパル リサーチ サイエンティスト、Chester Wisniewski (画像: Sophos)。
ロシアとウクライナの有名で経験豊富なハッカーは、サイバー兵器を手に入れ、悪意のある攻撃の波を解き放ち、それぞれが自分の側をサポートしますか? 戦争の初期にはそれが当てはまるように見えました。 Conti や Lockbit などの一部の有名なサイバー犯罪グループは、すぐにどちらか一方の側にいると宣言しましたが、ほとんどのグループは気にしないと言い、通常どおり続行すると述べました。 しかし、最初の侵入から約 XNUMX 週間で、ランサムウェア攻撃が大幅に減少しました。 XNUMX 月初旬に通常の攻撃量が再開されたことは、犯罪者が私たちと同様にサプライ チェーンの混乱を経験していたことを示唆しています。
最も悪名高いグループの XNUMX つであるコンティは、リーク サイトで西側諸国に対する脅迫的な声明を発表しました。これにより、ウクライナの研究者が彼らの身元と慣行を明らかにし、最終的には解散に至りました。
コンティでの内戦により解散
一方、両陣営のハクティビストは、戦争の初期に暴走しました。 Web 改ざん、DDoS 攻撃、およびその他の些細なハッキングは、脆弱であり、ロシア人またはウクライナ人として明確に識別できるほぼすべてのものを標的としていました。 しかし、この段階は長くは続かず、持続的な効果はないようです。 調査によると、これらのグループはすぐに飽きて、次の気晴らしに移りました。 ここでも、活動は戦争に実質的な影響を与えませんでしたが、それぞれのハクティビストが祝った可能性のある悪ふざけにつながりました。 たとえば、最近、あるグループが Yandex Taxi をハッキングし、すべてのタクシーをモスクワ中心部に向かわせ、交通渋滞を引き起こしたとされています。
カテゴリ 4: 電子スパイ活動
最後のカテゴリは、本質的にあいまいなものの影響を評価することは本質的に複雑であるため、定量化が最も困難です。 この戦争でスパイ活動がどれほど広範に行われたかを推定する最も有望な方法は、その試みが発見された時期を調べることです。 次に、試行が成功しなかった頻度を考慮して、試行が成功した可能性のある頻度を推測することを開始できます。
破壊的な攻撃とは異なり、電子スパイ攻撃は、ウクライナだけでなく、すべての敵の標的に対して有用です。これは、その秘密の性質と、それに伴う識別の困難さによるものです。 偽情報と同様に、ウクライナの支持者を標的とするこの分野での活動は、米国と NATO の同盟国が地上戦に投入できる他の種類の攻撃よりもはるかに多い。
戦争を動機とするサイバー攻撃の増加
ウクライナ以外の企業に対する攻撃の申し立ては、慎重に検討する必要があります。 ロシアがマルウェア、フィッシング攻撃、データ盗難で米国、欧州連合、およびその他の NATO 加盟国を標的にしていることは新しいことではありませんが、場合によっては、攻撃がウクライナでの戦争によって明確に動機付けられているという説得力のある証拠があります。
2022 年 XNUMX 月、Google の脅威分析グループ (TAG) は、米国に本拠を置く NGO やシンクタンク、バルカン諸国の軍隊、ウクライナの防衛請負業者を標的としたロシアとベラルーシのフィッシング攻撃に焦点を当てたレポートを公開しました。 Proofpoint はまた、難民支援に取り組んでいる EU 当局者が、以前にロシアの諜報機関によって侵害されたとされるウクライナの電子メール アカウントから開始されたフィッシング キャンペーンの標的になったことを示す調査結果を発表しました。
ウクライナを標的とするロシアの攻撃は、過去 2022 か月間衰えることがなく、常に最新の脆弱性が公開されるとすぐにそれを利用しています。 たとえば、XNUMX 年 XNUMX 月には、ロシアを拠点とするサイバー犯罪グループが主要なプレーヤーの XNUMX つでした。彼らは、「Follina」と呼ばれる Microsoft Office の新しい脆弱性を広く悪用しました。. このキャンペーンにおける悪意のあるドキュメントの標的の XNUMX つは、戦争中の重要なツールであるメディア組織であったようです。
詳細は Sophos.com をご覧ください
ソフォスについて ソフォスは、100 か国の 150 億人を超えるユーザーから信頼されています。 複雑な IT の脅威とデータ損失に対する最高の保護を提供します。 当社の包括的なセキュリティ ソリューションは、導入、使用、管理が簡単です。 業界で最も低い総所有コストを提供します。 ソフォスは、受賞歴のある暗号化ソリューション、エンドポイント、ネットワーク、モバイル デバイス、電子メール、および Web 向けのセキュリティ ソリューションを提供しています。 また、独自の分析センターのグローバル ネットワークである SophosLabs からのサポートもあります。 ソフォスの本社は、米国のボストンと英国のオックスフォードにあります。