Киберугрозы во время российско-украинской войны: чему мы можем научиться из истории, чтобы быть готовыми?

Киберугрозы во время российско-украинской войны: чему мы можем научиться из истории, чтобы быть готовыми?

Эта статья описывает более чем 15-летнюю киберактивность России, связанную с конфликтом. Она  дополняется текущим обзором развития кибератак, связанных с российско-украинской войной 2022 года.

В связи с тем, что российские войска нацелены на Украину, а распределенные атаки типа «отказ в обслуживании» (DDoS) время от времени нарушают работу украинских государственных веб- сайтов и поставщиков финансовых услуг, много говорят о готовности к киберконфликту.

Хотя любые организации всегда должны быть готовы к атаке с любого направления, может быть полезно знать, на что обращать внимание при увеличении риска атаки. Я решил просмотреть историю известных или предполагаемых действий российского государства в киберпространстве, чтобы оценить, каких видов деятельности ожидать и как организации могут быть к этому готовы.

Дестабилизирующие атаки типа «отказ в обслуживании»

Самая ранняя известная активность датируется 26 апреля 2007 года, когда эстонское правительство перенесло статую в память об освобождении Эстонии Советским Союзом от нацистов на менее заметное место. Эта акция привела в ярость русскоязычное население Эстонии и дестабилизировала отношения с Москвой. Вскоре после этого произошли уличные беспорядки, акции протеста у посольства Эстонии в Москве и волна изнурительных DDoS-атак на эстонские правительственные и финансовые сайты.

Полностью готовые инструменты и инструкции по участию в DDoS-атаках появились на российских форумах практически сразу после переноса статуи. Эти атаки были направлены на веб-сайты, принадлежащие президенту, парламенту, полиции, политическим партиям и крупным СМИ.

Призыв к «российским патриотам» помочь наказать Эстонию вряд ли был спонтанен. Это было массовое движение, возникшее с нуля с инструментами и списком целей наготове. Та же тактика была позже применена Anonymous для защиты Wikileaks с использованием инструмента, называемого LOIC (акроним от англ. Low Orbit Ion Cannon — рус. Низкоорбитальное ионное орудие) — программа с открытым исходным кодом, предназначенная для осуществления DoS- атак, написанная на языке программирования C#).

4 мая 2007 г. атаки усилились, стали наноситься дополнительные удары по банкам. Ровно через семь дней приступы прекратились в полночь так же внезапно, как и начались.

Все сразу же обвинили Россию, но определить кто производит распределенные атаки типа «отказ в обслуживании» на практике почти невозможно. В настоящее время широко распространено мнение, что эти DDoS-атаки были делом рук Russian Business Network (RBN), печально известной в России организованной преступной группировки, связанной со спамом, ботнетами, кражей персональных данных. Похоже, их услуги были «приобретены» ровно на неделю для проведения этих атак.

19 июля 2008 г. началась новая волна DDoS-атак, нацеленных на новостные и правительственные сайты в Грузии. Эти атаки таинственным образом резко усилились 8 августа 2008 года, когда российские войска вторглись в сепаратистскую провинцию Южная Осетия. Первоначально они были нацелены на грузинские новостные и правительственные сайты, а затем перешли к финансовым учреждениям, предприятиям, образованию, западным СМИ.

Как и в случае с предыдущими атаками на Эстонию, появился веб-сайт со списком целей, а также набором инструментов с инструкциями по их использованию. В этом случае также пытались приписать атаки «патриотам», защищающимся от грузинской агрессии, однако большая часть фактического трафика атак исходила от известного крупного ботнета, который, как считается, контролируется RBN

Подмена адресов и спам

Атаки на Грузию также включали порчу веб-сайтов и массовые спам-кампании, направленные на засорение почтовых ящиков грузин. Все это, казалось, было направлено на то, чтобы внушить неуверенность в способности Грузии защищать себя и управлять собой и помешать правительству эффективно общаться со своими гражданами и внешним миром.

Менее чем через год в Кыргызстане в январе 2009 года началась еще одна серия DDoS-атак. Это совпало с процессом принятия решения, в которое вступало правительство Кыргызстана, чтобы решить, продлевать ли аренду авиабазу США на своей территории. Стечение обстоятельств?

Оказалось, что его снова проводит RBN, но на этот раз это не уловка «патриотов», выражающих свое цифровое мнение.

Это подводит нас к одному из последних конфликтов, вторжению в Крым в 2014 году.

Дезинформация и изоляция

Информационная война на различных уровнях ведется против Украины с 2009 года, при этом многие атаки совпали с событиями, которые могут быть истолкованы как угрожающие интересам России, такие как саммит НАТО и переговоры между Украиной и ЕС по соглашению об ассоциации.

В марте 2014 года газета New York Times сообщила, что вредоносное ПО «Snake» проникло в канцелярию премьер-министра Украины и несколько отдаленных посольств одновременно с началом антиправительственных протестов в Украине. В конце 2013 и начале 2014 года ESET также публиковала исследования, документирующие нападения на военные объекты и средства массовой информации, получившие название «Операция Potao Express».

Как и прежде, самозванная кибергруппа, известная как «Cyber Berkut», проводила DDoS-атаки и веб-дефейс, не причинив особого реального вреда. Однако это создало много путаницы, и только это имеет значение во время конфликта.

В начале конфликта солдаты без знаков различия захватили контроль над телекоммуникационными сетями Крыма и единственной в регионе интернет-станцией, что привело к отключению информации. Злоумышленники использовали доступ к сети мобильной связи для идентификации участников антироссийских протестов и отправки им СМС-сообщений со словами: «Уважаемый абонент, вы зарегистрированы как участник массовых беспорядков».

После изоляции связи Крыма злоумышленники также взломали мобильные телефоны депутатов украинского парламента, лишив их возможности эффективно реагировать на вторжение. Как отмечается в журнале Military Cyber Affairs, кампании по дезинформации развернулись полным ходом:

«В одном случае Россия заплатила одному человеку за то, чтобы он владел несколькими разными веб-идентификационными данными. Одна актриса из Санкт-Петербурга сообщила, что она выступала в роли трех разных блогеров с десятью блогами, а также комментировала другие сайты. Другой человек был нанят, чтобы просто комментировать новости и социальные сети 126 раз каждые двенадцать часов»

Атаки на объекты энергетики

23 декабря 2015 г. было внезапно отключено электричество примерно половине жителей Ивано- Франковска, Украина. Широко распространено мнение, что это дело рук спонсируемых государством российских хакеров. Первоначальные атаки начались более чем за 6 месяцев до отключения электроэнергии, когда сотрудники трех центров распределения электроэнергии открыли вредоносный документ Microsoft Office с макросом, предназначенным для установки вредоносного ПО под названием BlackEnergy.

Злоумышленники смогли получить учетные данные удаленного доступа к сети диспетчерского управления и сбора данных (SCADA) и получить контроль над элементами управления подстанцией, чтобы начать отключение автоматических выключателей. Затем злоумышленники заблокировали эти пульты, чтобы предотвратить дистанционное переключение выключателей для восстановления питания. Кроме того, злоумышленники развернули вредоносное ПО типа “wiper”, чтобы заблокировать компьютеры, используемые для управления сетью, и одновременно провели атаку отказа в обслуживании (TDoS) по телефону, заблокировав номера службы поддержки клиентов, чтобы лишить доступа клиентов, пытающихся сообщить об отключениях.

Спустя почти год, 17 декабря 2016 года, в Киеве снова погас свет. Стечение обстоятельств? Скорее всего нет.

На этот раз ответственным за это вредоносным ПО было Industroyer/CrashOverride, и оно было гораздо более сложным. Вредоносная программа была разработана с использованием модульных компонентов, которые могли сканировать сеть в поисках контроллеров SCADA, а также говорила на их языке. Это ПО также стирала обслуживающую систему. Атака не была связана с BlackEnergy или известным инструментом KillDisk, но сомнений в том, кто за ней стоит, не было.

Электронная почта

В июне 2016 года, во время напряженной президентской избирательной кампании между Хиллари Клинтон и Дональдом Трампом, на сцене появился новый персонаж по имени Guccifer 2.0, который утверждал, что взломал Национальный комитет Демократической партии, и начал передавать свои электронные письма Wikileaks. Хотя официально это не приписывается России, оно появилось наряду с другими кампаниями по дезинформации во время выборов 2016 года, и многие считают, что это работа Кремля.

Aтаки на цепочку поставок: NotPetya

Настойчивые атаки России на Украину еще не закончились, и 27 июня 2017 года они усилили накал, выпустив новую вредоносную программу, получившую название NotPetya.

NotPetya был замаскирован под новую разновидность программы-вымогателя и развернут через взломанную цепочку поставок украинского поставщика программного обеспечения для бухгалтерского учета. На самом деле это был вовсе не вымогатель. Хотя он шифровал компьютеры, его было невозможно расшифровать, эффективно стирал информацию и делая бесполезным любое оборудование.

Пострадавшие не ограничились украинскими компаниями. В течение нескольких часов вредоносное ПО распространилось по миру, в основном поражая организации, работавшие в Украине, где использовалось программное обеспечение для бухгалтерского учета.

По оценкам, NotPetya нанесла ущерб по всему миру не менее чем на 10 миллиардов долларов США.

Ложные флаги

Когда 9 февраля 2018 года в Пхенчхане открылись зимние Олимпийские игры, на мир вот-вот должна была обрушиться еще одна атака. Вредоносная атака отключила все контроллеры домена во всей олимпийской сети, в результате чего все, от Wi-Fi до билетных касс, не работало должным образом. Каким-то чудом ИТ-команда смогла изолировать сеть, восстановить и удалить вредоносное ПО из систем, а на следующее утро все заработало, практически не пропуская ни секунды.

Затем пришло время провести анализ вредоносных программ, чтобы попытаться определить, кто захочет атаковать и вывести из строя всю олимпийскую сеть? Идентификация вредоносных программ сложна, но были оставлены некоторые подсказки, которые могли помочь, или они могли быть ложными флагами, пытающимися указать пальцем на невовлеченную третью сторону.

«Доказательства», казалось, указывали на Северную Корею и Китай, но они были слишком очевидны, чтобы пытаться обвинить Северную Корею. В конце концов, блестящая детективная работа Игоря Суменкова из «Лаборатории Касперского» нашла неопровержимые доказательства, направленные прямо на Москву.

Несколько лет спустя, незадолго до праздничных дней в конце 2020 года, распространилась информация об атаке на цепочку поставок, нацеленной на программное обеспечение SolarWinds Orion, используемое для управления сетевой инфраструктурой для крупных и средних организаций по всему миру, включая многие агентства федерального правительства США. Механизмы обновления программного обеспечения были взломаны и использованы для развертывания бэкдора.

Известный характер жертв в сочетании с доступом, предоставляемым через скрытно развернутый бэкдор, может сделать эту атаку одной из крупнейших и наиболее разрушительных атак кибершпионажа в современной истории. Федеральное бюро расследований США (ФБР), Агентство кибербезопасности и безопасности инфраструктуры (CISA), Управление директора национальной разведки (ODNI) и Агентство национальной безопасности (АНБ) опубликовали совместное заявление, в котором говорится, что их расследование показало, что:

«…субъект Advanced Persistent Threat, вероятно, российский по происхождению, несет ответственность за большинство или все недавно обнаруженные продолжающиеся киберкомпрометации как государственных, так и негосударственных сетей. В настоящее время мы считаем, что это была и остается попытка сбора разведывательной информации».

Российский киберконфликт в 2022 году

В 2022 году, когда политическая напряженность перед войной обострилась, многие украинские правительственные веб-сайты были повреждены, а системы были заражены вредоносным ПО, замаскированным под атаку программ-вымогателей.

Несколько компонентов этих атак повторили прошлое. Вредоносное ПО на самом деле не было программой-вымогателем, это был просто изощренный wiper, как это было видно в атаках NotPetya. Кроме того, было оставлено много фальшивых флагов, подразумевающих, что это может быть работа украинских или польских хакеров.

По мере того, как конфликт перешел в февраль, стало ясно, что действует стандартный российский сценарий конфликта: отвлечь, запутать, отрицать и попытаться разделить.

Во вторник 15 февраля 2022 г. была совершена серия крупных DDoS-атак на украинские правительственные и военные веб-сайты, а также на три крупнейших банка Украины.

Беспрецедентным шагом Белый дом уже рассекретил некоторые разведданные и возложил ответственность за атаки на российское ГРУ.

Война началась 24 февраля 2022 года. Sophos постоянно обновляет информацию о развитии кибератак по мере их развития.

Российский учебник по кибервойне

Что теперь? Независимо от того, будет ли обостряться ситуация, кибероперации обязательно будут продолжаться. Украина находится под постоянным шквалом атак с разной степенью пиков и спадов с момента свержения Виктора Януковича в 2014 году.

В официальной российской «Военной доктрине Российской Федерации» от 2010 года говорится:

«заблаговременное осуществление мер информационного противоборства для достижения политических целей без применения военной силы и в последующем в интересах формирования благоприятной реакции мирового сообщества на применение военной силы».

Это предполагает продолжение предыдущего поведения до конфликта и делает DDoS-атаки потенциальным признаком неизбежного поведения во время войны

Информационная война — это то, как Кремль может попытаться контролировать реакцию остального мира на действия в Украине или любой другой объект атаки.

Фальшивые флаги, подмена адресов, нарушение связи и манипулирование социальными сетями — все это ключевые компоненты российской стратегии ведения информационной войны. Им не нужно создавать постоянное прикрытие для действий на земле и в других местах, им просто нужно вызвать достаточную задержку, замешательство и противоречие, чтобы позволить другим одновременным операциям достичь своих целей.

Подготовить и защитить

Интересно, что Соединенные Штаты и Великобритания пытаются упредить некоторые кампании по дезинформации, и это может ограничить их эффективность. Однако мы не должны предполагать, что злоумышленники перестанут пытаться, поэтому нам нужно оставаться готовыми и бдительными.

Например, организации в странах, граничащих с Украиной, должны быть готовы к тому, что они будут вовлечены в любые онлайн-активности, даже если они не действуют непосредственно в Украине. Предыдущие атаки и дезинформация просачивались в Эстонию, Польшу и другие граничащие государства, пусть даже в качестве побочного ущерба.

С глобальной точки зрения следует ожидать, что целый ряд «патриотических» фрилансеров в России, под которыми я подразумеваю преступников-вымогателей, фиш-писателей и операторов ботнетов, будут с еще большим рвением, чем обычно, набрасываться на цели, которые, как считается, направлены против Родины.

Маловероятно, что Россия будет напрямую атаковать членов НАТО и рискнет применить Статью V. Однако ее недавние жесты по обузданию преступников, действующих с территории Российской Федерации и их партнеров по Содружеству Независимых Государств (СНГ), вероятно, прекратятся, и вместо этого мы увидит, как угрозы множатся.

Хотя эшелонированная информационная защита должна быть нормальной задачей и в обычные времена, она особенно важна, если мы ожидаем увеличения частоты и серьезности атак.

Дезинформация и пропаганда скоро достигнут апогея, мы должны отслеживать неприятеля, блокировать дезинформацию и следить за чем-либо необычным в наших сетях по мере того, как война то разгорается, то затихает и даже когда она закончится.