До російської атаки на Україну існувала низка кіберзагроз: розподілені атаки на відмову в обслуговуванні (DDoS), які спорадично порушували роботу українських державних веб-сайтів і постачальників фінансових послуг. Що ми можемо навчитися з історії, щоб бути готовими? Хронологія з 2007 по 2022 рік. Коментар Честера Вишневського, головного наукового співробітника Sophos.
«Всі компанії завжди повинні бути готові до атак з усіх боків. Але може бути корисно знати, на що звертати увагу, коли ризик нападу зростає. Я вирішив переглянути історію відомої або підозрюваної діяльності російської держави в кіберсередовищі та оцінити, яких видів діяльності очікувати та як організації можуть бути готові». Честер Вишневський, Sophos.
Дестабілізуючі атаки на відмову в обслуговуванні
Найперша відома дія датується 26 квітня 2007 року, коли уряд Естонії переніс статую на честь визволення Радянським Союзом Естонії від нацистів на менш помітне місце. Ця акція розлютила російськомовне населення Естонії та дестабілізувала відносини з Москвою. Незабаром після цього відбулися вуличні заворушення, протести перед посольством Естонії в Москві та хвиля DDoS-атак на урядові та фінансові сайти Естонії.
Повністю готові інструменти та інструкції, як брати участь у DDoS-атаках, з’явилися на російських форумах практично відразу після закладки статуї. Ці атаки були спрямовані на веб-сайти президента, парламенту, поліції, політичних партій і головних ЗМІ.
Хоча інших «російських патріотів» закликали допомогти покарати Естонію, це навряд чи був масовий рух*, який виник нізвідки з інструментами та списком цілей. Пізніше ця тактика була використана Anonymous для захисту Wikileaks за допомогою інструменту під назвою Low Orbit Ion Canon (LOIC).
Дії з 2007 року
4 травня 2007 року атаки посилилися і були спрямовані також на банки. Рівно через сім днів, опівночі, атаки закінчилися так само раптово, як і почалися. Усі відразу звинуватили Росію, але приписати це розподіленим атакам типу «відмова в обслуговуванні» майже неможливо. Зараз поширена думка, що ці DDoS-атаки були результатом роботи російської ділової мережі (РБН), сумнозвісної організованої злочинної групи в Росії, пов’язаної з розсиланням спаму, бот-мережами та партнерськими фармацевтичними програмами. Очевидно, їхні служби були «задіяні» рівно на тиждень для здійснення цих атак.
19 липня 2008 року почалася нова хвиля DDoS-атак, націлені на новинні та урядові веб-сайти в Грузії. Ці напади таємничим чином різко посилилися 8 серпня 2008 року, коли російські війська вторглися в сепаратистську провінцію Південна Осетія. Спочатку атаки були спрямовані проти грузинських новинних та урядових сайтів, а пізніше також проти фінансових установ, компаній, навчальних закладів, західних ЗМІ та грузинського хакерського веб-сайту.
Як і під час попередніх атак на Естонію, з’явився сайт зі списком цілей і набором інструментів з інструкціями щодо їх використання. Тут теж намагаються списати напади на «патріотів», які протистояли грузинській агресії. Проте більша частина фактичного трафіку атаки надходила від відомої великої бот-мережі, яка, як вважають, контролюється RBN.
Цифрова псування та спам
Атаки на Грузію також включали псування веб-сайтів і масові спам-кампанії, спрямовані на засмічення грузинських скриньок. Усе це, вочевидь, похитнуло впевненість у здатності Грузії захищати та керувати собою, а також завадило уряду ефективно спілкуватися зі своїми громадянами та зовнішнім світом.
Менш ніж через рік, у січні 2009 року, в Киргизстані почалася чергова серія DDoS-атак. Це сталося в той же час, коли уряд Киргизстану вирішив продовжити оренду військово-повітряної бази США в їхній країні. Аварія? Схоже, що акцію знову вживає RBN, але цього разу це не була витівка «патріотів», які висловлюють свою цифрову думку.
Це підводить нас до останнього кінетичного конфлікту, вторгнення в Крим у 2014 році.
дезінформація та ізоляція
Проти України з 2009 року ведеться інформаційна війна низького рівня, багато нападів збіглися з подіями, які можна трактувати як загрозу інтересам Росії, такими як саміт НАТО та переговори Україна-ЄС щодо угоди про асоціацію.
У березні 2014 року The New York Times повідомила, що шкідливе програмне забезпечення Snake проникло в офіс прем’єр-міністра України та кілька віддалених посольств, коли в Україні почалися антиурядові протести. Наприкінці 2013 та на початку 2014 року ESET також оприлюднила розслідування, в яких задокументовано атаки на військові цілі та засоби масової інформації, які отримали назву Operation Potao Express.
Як і раніше, місцеве кіберугруповання під назвою «Кібер Беркут» здійснювало DDoS-атаки та веб-дефейс, але без серйозних збитків. Однак це створило велику плутанину, і лише це має наслідки під час конфлікту.
На початку конфлікту військові без розпізнавальних знаків захопили під контроль телекомунікаційні мережі Криму та єдиний інтернет-хаб у регіоні, спричинивши зависання інформації. Зловмисники зловживали доступом до мережі стільникового зв'язку, щоб ідентифікувати учасників антиросійських акцій і розсилати їм смс-повідомлення: «Шановний абоненте, Ви зареєстровані як учасник масових заворушень».
Після ізолювання можливості зв’язку в Криму зловмисники також підробляли мобільні телефони депутатів українського парламенту, не даючи їм можливості ефективно реагувати на вторгнення. Як зазначають у Military Cyber Affairs, кампанії з дезінформації були в розпалі:
«В одному випадку Росія заплатила одній людині за кілька різних веб-ідентифікацій. Один актор із Санкт-Петербурга заявив, що вони діяли як три різних блогери з десятьма блогами та одночасно коментували на інших веб-сайтах. Ще одну людину найняли, щоб коментувати новини та соціальні мережі 126 разів кожні XNUMX годин».
Паралельний блок живлення
23 грудня 2015 року близько половини жителів Івано-Франківська (Україна) раптово відключили світло. Поширена думка, що це була робота російських державних хакерів. Перші атаки почалися більш ніж за шість місяців до відключення електроенергії, коли працівники трьох центрів розподілу електроенергії відкрили заражений документ Microsoft Office, який містив макрос BlackEnergy, призначений для встановлення шкідливого програмного забезпечення.
Зловмисникам вдалося отримати віддалений доступ до даних для мережі SCADA (системи диспетчерського контролю та збору даних) і взяти під контроль елементи керування підстанцією, щоб розімкнути автоматичні вимикачі. Потім вони скомпрометували пульт дистанційного керування, щоб запобігти замиканню вимикачів для відновлення живлення. Крім того, зловмисники використовували "склоочник", щоб знищити комп'ютери, які використовувалися для контролю мережі, одночасно здійснюючи телефонну атаку на відмову в обслуговуванні (TDoS), переповнюючи номери служби підтримки клієнтів, і таким чином клієнти, які намагалися повідомити про збої, отримали розчарований.
Майже через рік, 17 грудня 2016 року, в Києві знову вимкнули світло. Аварія? Напевно ні.
Цього разу зловмисне програмне забезпечення називалося Industroyer/CrashOverride і було набагато складнішим. Зловмисне програмне забезпечення було оснащено модульними компонентами, які могли сканувати мережу, щоб знайти контролери SCADA та розмовляти їхньою мовою. Він також мав компонент склоочисника для стирання системи. Здавалося, що ця атака не пов’язана з BlackEnergy чи добре відомим інструментом стирання KillDisk, але не було сумнівів, хто за нею стоїть.
Розкриття електронною поштою
У червні 2016 року, під час тісної президентської кампанії між Гілларі Клінтон і Дональдом Трампом, з’явилася нова фігура під назвою Guccifer 2.0, яка стверджувала, що зламала Національний комітет Демократичної партії та переслала його електронні листи до Wikileaks. Хоча це офіційно не приписувалося Росії, воно спливло разом з іншими кампаніями дезінформації під час виборів 2016 року, і багато хто вважає, що це рука Кремля.
Атаки на ланцюг поставок: NotPetya
Ще не закінчилися наполегливі атаки Росії на Україну, а 27 червня 2017 року вона ще більше загострила ситуацію, випустивши нову шкідливу програму під назвою NotPetya. Замасковане під нову програму-вимагач NotPetya поширювалося через зламаний ланцюжок поставок українського постачальника програмного забезпечення для бухгалтерського обліку. Насправді це зовсім не було програмне забезпечення-вимагач. Він зашифрував комп’ютер, але не міг бути розшифрований, фактично знищуючи пристрій і роблячи його непридатним для використання.
Жертвами стали не тільки українські компанії. Зловмисне програмне забезпечення поширилося по всьому світу за лічені години, здебільшого вразивши організації, що працюють в Україні, де було розгорнуто міновану бухгалтерську програму. За оцінками, NotPetya завдала збитків у всьому світі щонайменше на 10 мільярдів доларів.
Під фальшивим прапором
Коли 9 лютого 2018 року відкрилися зимові Олімпійські ігри в Пхьончхані, була неминучою ще одна атака, яка привела світ у напруження. Атака зловмисного програмного забезпечення відключила всі контролери домену в олімпійській мережі, завадивши належній роботі всього, від Wi-Fi до квиткових кас. Дивом ІТ-команда змогла ізолювати мережу, відновити та видалити зловмисне програмне забезпечення з систем, і наступного ранку все знову запрацювало без помилок.
Потім настав час провести аналіз зловмисного програмного забезпечення, щоб з’ясувати, хто намагався атакувати та вимкнути всю мережу Olympia. Виявити зловмисне програмне забезпечення важко, але були деякі підказки, які могли бути корисними, або були помилковими підказками, які мали вказувати на непричетну третю сторону. «Докази», здавалося, вказували на Північну Корею та Китай, але це було майже надто очевидно, щоб звинувачувати Північну Корею. Зрештою, Ігор Соуменков з «Лабораторії Касперського», виконавши блискучу детективну роботу, знайшов гарячу слід, яка вказувала прямо на Москву.
Кілька років потому, незадовго до кінця свят 2020 року, стало відомо про атаку на ланцюжок поставок, націлену на програмне забезпечення SolarWinds Orion, яке використовується для керування мережевою інфраструктурою великих і середніх підприємств у всьому світі, включно з багатьма федеральними агентствами США. Механізми оновлення програмного забезпечення були зламані та використані для встановлення бекдору.
Помітність жертв у поєднанні з доступом, наданим непомітно встановленим бекдором, робить цю атаку, можливо, однією з найбільших і найруйнівніших атак кібершпигунства в сучасній історії.
Федеральне бюро розслідувань США (ФБР), Агентство з кібербезпеки та безпеки інфраструктури (CISA), Управління директора національної розвідки (ODNI) і Агентство національної безпеки (АНБ) оприлюднили спільну заяву, в якій зазначено, що їхні розслідування показують, що.. :
«…розвинений постійний загрозливий суб’єкт, ймовірно, російського походження, відповідальний за більшість або всі нещодавно виявлені поточні кібератаки на урядові та неурядові мережі. На даний момент ми вважаємо, що це акція розвідки, і так буде й надалі».
Російський кіберконфлікт у 2022 році
У 2022 році кіберполітична напруга знову зростає і ось-ось піддасться критичному випробуванню. 13-14 січня 2022 року численні урядові сайти України були пошкоджені, а системи заражені шкідливим програмним забезпеченням, замаскованим під програму-вимагач.
Кілька компонентів цих атак нагадують про минуле. Шкідлива програма не була програмою-вимагачем, але лише складний склоочисник, як використовується в атаках NotPetya. Крім того, було залишено багато неправдивих слідів, які припускають, що це могла бути робота українських дисидентів або польських партизанів. Здається, стандартним репертуаром тепер є відволікання, заплутаність, заперечення та спроби розділити.
У вівторок, 15 лютого 2022 року, на українські державні та військові сайти, а також на три найбільші банки України було здійснено серію DDoS-атак. Здійснивши безпрецедентний крок, Білий дім уже розсекретив деякі розвідувальні дані, приписавши атаки російському ГРУ.
The Russian Cyber Warfare Playbook
Що тепер? Незалежно від того, чи загострюватиметься ситуація далі, кібероперації, безумовно, триватимуть. З моменту усунення Віктора Януковича в 2014 році Україна стикається з постійним шквалом атак, які мали злети та падіння різного ступеня.
Згідно з офіційною російською «Воєнною доктриною РФ» від 2010 року: «попереднє проведення операцій інформаційної війни для досягнення політичних цілей без застосування військової сили, а згодом в інтересах позитивної реакції світової спільноти на застосування військової сили».
Це свідчить про продовження попередньої поведінки до конфлікту та робить DDoS-атаки потенційною ознакою неминучої кінетичної відповіді. За допомогою інформаційної війни Кремль може спробувати спрямувати реакцію решти світу на дії в Україні чи інших цілях.
Помилкове відстеження, неправильне приписування, порушення зв’язку та маніпулювання соціальними медіа – все це важливі компоненти російської концепції інформаційної війни. Їм не потрібно забезпечувати постійний камуфляж для діяльності на землі чи деінде, а просто забезпечити достатню затримку, плутанину та протиріччя, щоб дозволити іншим одночасним операціям досягти своїх цілей.
Готуйте і захищайте
Цікаво, що Сполучені Штати та Велика Британія намагаються запобігти деяким кампаніям дезінформації, що може обмежити їхню ефективність. Однак ми не повинні припускати, що зловмисники припинять спроби, тому ми повинні залишатися готовими та пильними.
Наприклад, організації в сусідніх з Україною країнах повинні бути готові бути втягнутими в онлайн-шахрайство, навіть якщо вони не працюють безпосередньо в Україні. Попередні атаки та дезінформація просочилися до Естонії, Польщі та інших прикордонних держав, хоча й лише як супутній збиток. З глобальної точки зору, ми повинні очікувати, що ряд «патріотичних» фрілансерів у Росії, тобто злочинці-вимагачі, автори фішу та оператори ботнетів, діятимуть із ще більшим завзяттям, ніж зазвичай, проти цілей, які сприймаються як антибатьківщина.
Навряд чи Росія атакуватиме членів НАТО безпосередньо та ризикуватиме введенням у дію статті V. Однак нещодавні дії Росії щодо стримування злочинців, які діють з Російської Федерації та її партнерів у Співдружності Незалежних Держав (СНД), швидше за все, закінчаться, а натомість загрози зростуть.
Хоча глибокий захист має бути найнормальнішою справою у світі, він особливо важливий, коли ми стикаємося зі збільшенням частоти та серйозності атак. Незабаром дезінформація та пропаганда досягнуть піку, але ми повинні бути насторожі, закривати люки та стежити за нашими мережами на предмет будь-чого незвичайного, оскільки цикли конфліктів спадають, навіть якщо вони скоро закінчаться. Оскільки, як ми всі знаємо, можуть пройти місяці, перш ніж з’являться докази цифрового вторгнення, пов’язаного з російсько-українським конфліктом.
Честер Вишневскі, головний науковий співробітник Sophos (Зображення: Sophos).
Про автора Честер Вишневскі
Честер Вишневскі є головним науковим співробітником Sophos, провідного постачальника рішень безпеки нового покоління. Має понад 20 років професійного досвіду.
Честер аналізує величезні обсяги даних про атаки, зібрані SophosLabs, щоб відокремити та поділитися відповідною інформацією, щоб дати галузі краще зрозуміти нові загрози, поведінку зловмисників та ефективні заходи безпеки. Він допомагав компаніям розробляти корпоративні стратегії захисту, був технічним керівником у розробці першого пристрою захисту електронної пошти від Sophos і надавав поради щодо планування безпеки для деяких найбільших світових брендів.
Честер живе у Ванкувері та є постійним доповідачем на галузевих заходах, зокрема на конференції RSA, Virus Bulletin, Security BSides (Ванкувер, Лондон, Уельс, Перт, Остін, Детройт, Лос-Анджелес, Бостон і Калгарі) та інших. Його визнають одним із найкращих дослідників у галузі безпеки, і преса регулярно звертається до нього за консультаціями, зокрема BBC News, ABC, NBC, Bloomberg, CNBC, CBC та NPR.
Коли він не бореться з кіберзлочинністю, Честер проводить свій вільний час, готуючи їжу, катаючись на велосипеді та навчаючи новачків у сфері безпеки завдяки своїй волонтерській роботі в InfoSec BC. Честер у Twitter (@chetwisniewski).
Більше на Sophos.com
Про Софос Sophos довіряють понад 100 мільйонів користувачів у 150 країнах. Ми пропонуємо найкращий захист від складних ІТ-загроз і втрати даних. Наші комплексні рішення безпеки прості в розгортанні, використанні та керуванні. Вони пропонують найнижчу сукупну вартість володіння в галузі. Sophos пропонує відзначені нагородами рішення для шифрування, рішення безпеки для кінцевих точок, мереж, мобільних пристроїв, електронної пошти та Інтернету. Також є підтримка від SophosLabs, нашої глобальної мережі власних аналітичних центрів. Штаб-квартири Sophos знаходяться в Бостоні, США, та Оксфорді, Великобританія.