Погляд назад на шість місяців війни в Україні: яку стратегію виконували російські кібератаки та наскільки вони були ефективними досі? Кібервійна велася за 4 стратегіями: знищення, дезінформація, хактивізм та електронне шпигунство. Коментар Честера Вишневського, головного наукового співробітника Sophos.
Коли Росія вторглася в Україну 24 лютого 2022 року, попри численні спроби оцінити, ніхто з нас не знав, яку роль можуть відіграти кібератаки в повномасштабному вторгненні. Росія здійснювала кібератаки на Україну з моменту окупації Криму в 2014 році, і здавалося неминучим, що ці інструменти продовжуватимуть відігравати свою роль, особливо після атак на українську енергомережу і всесвітнє поширення хробака NotPetya.
Однією з проблем оцінки ефективності або впливу кібератак є те, як вони вписуються в «загальну картину». Коли ми перебуваємо у розпалі конфлікту, «інформаційний туман» війни часто затьмарює та спотворює наше уявлення про ефективність тієї чи іншої дії. Зараз, після більш ніж шести місяців війни, давайте поглянемо назад і спробуємо визначити роль кіберзброї до того моменту.
Понад 1.100 кібератак на Україну
Як повідомляє Державна служба спеціального зв’язку та захисту інформації України (ДСЗЗІ). З початку війни Україна атакувала 1.123 рази. 36,9% цілей були урядом/обороною, а атаки складалися з 23,7% шкідливого коду та 27,2% збору розвідданих.
Кіберскладова війни почалася майже за 24 години до наземного вторгнення. У своєму щоденнику конфлікту я зазначив, що DDoS-атаки та атаки wiper почалися близько 23:16 за місцевим часом 00 лютого. Відразу після цього стало дуже заплутано, оскільки паралельно використовувалася велика кількість атак і прийомів. Щоб краще проаналізувати інтенсивність, ефективність і цілі, я розділив ці атаки на чотири категорії: руйнування, дезінформація, хактивізм і шпигунство.
Стратегія 1: Знищення
Оскільки війна для Росії не просувалася за планом, деякі з цих методів використовувалися по-різному на різних етапах війни. Першим і найбільш очевидним був етап деструктивного шкідливого програмного забезпечення. За даними SSSCIP, станом на січень 2022 року російські та проросійські зловмисники почали випускати зловмисне програмне забезпечення, що змінює склоочисники та завантажувальний сектор, спрямоване на видалення вмісту системи або виведення її з ладу. Вони націлені насамперед на українських постачальників послуг, критичну інфраструктуру та державні установи.
Ці атаки тривали протягом перших шести тижнів конфлікту, а потім ослабли. Більшість цієї діяльності була зосереджена між 22 і 24 лютого, тобто безпосередньо напередодні та під час вторгнення. Ці дії справді вплинули на різні системи в Україні, але зрештою не мали позитивного впливу на успіх російського наземного вторгнення.
Однією з причин може бути те, що за кілька днів до цих атак український уряд переніс багато своїх офіційних онлайн-функцій у хмарну інфраструктуру, якою керують і контролюють треті сторони, не залучені до бойових дій. Це дозволило уникнути перешкод і дозволило Україні підтримувати багато сервісів і спілкуватися зі світом. Це нагадує подібний крок, коли Грузія перемістила ключові державні веб-сайти в треті країни під час російських DDoS-атак на країну в 2008 році.
Атака Viasat була дуже ефективною і також вплинула на німецькі вітрові турбіни
Іншою нищівною атакою стала атака на модеми супутникового зв’язку Viasat, розміщені в Центральній та Східній Європі саме на початку вторгнення. За словами Reuters Рафаеля Саттера, високопоставленого українського чиновника з кібербезпеки, це призвело до «справді величезної втрати зв’язку прямо на початку війни». Ця атака також завдала побічної шкоди членам НАТО порушив, серед іншого, роботу понад 5.800 вітрових турбін у Німеччині.
Це, мабуть, найефективніша з усіх атак, здійснених досі під час війни. З огляду на те, що більшість експертів припускали, що Росія планувала 72-годинну війну, якщо ця стратегія спрацює, збій у військових комунікаціях міг би мати значний негативний вплив на Україну. Крім того, українське командування змогло перегрупуватися та встановити альтернативні з’єднання, щоб мінімізувати зрив. У довгостроковій перспективі Росія довела, що бореться з системою командування набагато більше, ніж Україна. Можливо, частково завдяки підтримці таких технологічних компаній, як Microsoft і ESET, а також спецслужб США, успіх України у відбитті руйнівних атак був вражаючим.
Зловмисне програмне забезпечення Industroyer2 атакувало українську енергетику
Одну з найскладніших шкідливих програм, націлених на критичну інфраструктуру, було розпізнано та нейтралізовано, коли її було виявлено в мережі українського комунального підприємства. Шкідлива програма, відома як Industroyer2 було поєднанням традиційних очищувачів, націлених на Windows, Linux і Solaris, і специфічного для ICS зловмисного програмного забезпечення, націленого на операційну технологію (OT), яка використовується для контролю та моніторингу електромережі.
У нещодавньому звіті Microsoft зазначила, що багато російських кібератак, схоже, координувалися зі звичайними атаками на Дніпро, Київ та аеропорт Вінниці. Але досі немає доказів того, що кіберкомпонент сприяв очевидному прогресу в російському наступі. За моєю оцінкою, руйнівні кібероперації поки що майже не вплинули на результат реальних військових подій. Вони дали багатьом людям додаткову роботу і зробили багато заголовків, але чого вони не зробили, так це справді змінили війну.
Стратегія 2: дезінформація
Стратегія дезінформації була спрямована на три групи: український народ, саму Росію та решту світу. Росії не чуже використання дезінформації як зброї для досягнення політичних результатів. Схоже, початкова місія передбачала швидку перемогу та використання маріонеткового уряду. З цим планом дезінформація буде критичною спочатку у двох сферах впливу, а потім у трьох сферах впливу, коли вона просуватиметься.
Найочевиднішою мішенню є український народ – його треба (повинно) переконати, що Росія є визволителем, і зрештою прийняти прокремлівського лідера. Незважаючи на те, що росіяни, здається, спробували численні форми впливу через SMS і традиційні соціальні мережі, все більш патріотична Україна з самого початку зробила цю спробу малоймовірною.
Дезінформація всередині Росії
Росія досягла набагато більшого успіху з дезінформацією вдома, її другою за важливістю мішенню. Він значною мірою заборонив іноземні та незалежні ЗМІ, заблокував доступ до соціальних мереж і криміналізував використання слова «війна» у зв’язку з вторгненням в Україну. Важко фактично оцінити вплив цих дій на широке населення, хоча опитування показують, що пропаганда працює – або, принаймні, єдина думка, яку можна висловити публічно, це підтримка «військових спеціальних операцій».
Третім об’єктом дезінформації в міру затягування війни є решта світу. Спроба вплинути на країни, що не приєдналися, як Індія, Єгипет та Індонезія, може допомогти відбити у них бажання голосувати проти Росії під час голосування в ООН і потенційно переконати їх підтримати Росію.
Пропаганда для світових ЗМІ
Поширені історії про американські лабораторії біозброї, денацифікацію та ймовірний геноцид українською армією мають на меті кинути виклик зображенню конфлікту західними ЗМІ. Значна частина цієї активності, схоже, походить від уже існуючих людей, які створюють дезінформацію, а не від скомпрометованих облікових записів чи будь-якого типу зловмисного програмного забезпечення.
Дезінформація явно має вплив, але так само, як і руйнівні атаки, вона жодним чином не впливає безпосередньо на результат війни. Цивільне населення не вітає російських військ як визволителів, а українські сили не складають зброї і не здаються. США та Європа все ще підтримують Україну, а російський народ виглядає обережним, але не бунтівним. Найпомітніше те, що останніми днями українські війська відвоювали території під контролем Росії, а деякі мирні жителі поблизу Харкова навіть зустріли їх як визволителів.
Стратегія 3: Хактивізм
🔎 Честер Вишневскі, головний науковий співробітник Sophos (Зображення: Sophos).
Чи візьмуться відомі та досвідчені хакери в Росії та Україні в руки кіберзброї та розв’яжуть хвилі зловмисних атак, підтримуючи кожен свою сторону? Здавалося, що це могло бути на початку війни. Деякі відомі групи кіберзлочинців, такі як Conti та Lockbit, одразу заявили, що вони за ту чи іншу сторону, але більшість із них заявили, що їм байдуже, і вони продовжуватимуть, як зазвичай. Але ми спостерігали значне зниження атак програм-вимагачів протягом приблизно шести тижнів після початкового вторгнення. Звичайний обсяг атак відновився на початку травня, що свідчить про те, що злочинці, як і всі ми, відчували збої в ланцюжках поставок.
Одна з найвідоміших груп, Conti, зробила погрозливі заяви проти Заходу на своєму сайті витоку інформації, що призвело до того, що український дослідник розкрив їх особу та практику, що зрештою призвело до їх розпуску.
Внутрішня війна в Конті спричинила їх розпуск
З іншого боку, хактивісти з обох сторін почали активно працювати на перших днях війни. Веб-пошкодження, DDoS-атаки та інші тривіальні хакерські атаки були спрямовані практично на будь-що вразливе, що було б чітко ідентифіковано як російське чи українське. Однак фаза тривала недовго і, здається, не мала тривалого ефекту. Дослідження показують, що ці групи швидко набридають і переходять до наступного відволікання. Тут також діяльність призвела не до матеріальних наслідків для війни, а до витівок, за які відповідні хактивісти, можливо, відзначилися. Наприклад, нещодавно група нібито зламала Яндекс таксі і замовила всім таксі в центр Москви, спричинивши пробку.
Категорія 4: Електронне шпигунство
Останню категорію найважче піддати кількісній оцінці, оскільки оцінка впливу чогось незрозумілого за своєю суттю складна. Найбільш багатообіцяючий спосіб оцінити масштаби шпигунства в цій війні — подивитися на час, коли спроби були виявлені. Потім ви можете спробувати екстраполювати, як часто спроби могли бути успішними, враховуючи, як часто вони не були.
На відміну від деструктивних атак, атаки електронного шпигунства корисні проти всіх ворожих цілей, а не лише проти України, через їх прихований характер і пов’язану з цим складність їх ідентифікації. Як і у випадку з дезінформацією, у цій сфері набагато більше активності, націленої на прихильників України, ніж інших типів атак, які союзники США та НАТО можуть ввести в наземну війну.
Більше кібератак, мотивованих війною
Заяви про напади на неукраїнські компанії мають бути ретельно розглянуті. Те, що Росія націлює на Сполучені Штати, Європейський Союз та інші країни-члени НАТО зловмисне програмне забезпечення, фішингові атаки та крадіжки даних, не є чимось новим, але в деяких випадках є переконливі докази того, що атаки конкретно мотивовані війною в Україні.
У березні 2022 року Група аналізу загроз (TAG) Google опублікувала звіт, в якому висвітлюються російські та білоруські фішингові атаки, націлені на американські неурядові організації та аналітичні центри, армію балканської країни та українського військового підрядника. Proofpoint також опублікував дослідження, яке показує, що чиновники ЄС, які працюють на підтримку біженців, були ціллю фішингових кампаній, запущених з українського облікового запису електронної пошти, який нібито раніше був зламаний російською розвідкою.
Російські атаки на українські цілі не вщухають протягом останніх шести місяців, завжди використовуючи новітні вразливості, щойно вони оприлюднюються. Наприклад, у липні 2022 року серед ключових гравців було російське кіберзлочинне угруповання, тобтоВони активно використовували нову вразливість Microsoft Office під назвою «Follina».. Схоже, що однією з мішеней для шкідливих документів у цій кампанії були медіа - важливий інструмент під час війни.
Більше на Sophos.com
Про Софос Sophos довіряють понад 100 мільйонів користувачів у 150 країнах. Ми пропонуємо найкращий захист від складних ІТ-загроз і втрати даних. Наші комплексні рішення безпеки прості в розгортанні, використанні та керуванні. Вони пропонують найнижчу сукупну вартість володіння в галузі. Sophos пропонує відзначені нагородами рішення для шифрування, рішення безпеки для кінцевих точок, мереж, мобільних пристроїв, електронної пошти та Інтернету. Також є підтримка від SophosLabs, нашої глобальної мережі власних аналітичних центрів. Штаб-квартири Sophos знаходяться в Бостоні, США, та Оксфорді, Великобританія.