Ця стаття описує більш ніж 15-річну кіберактивність Росії, пов'язану із конфліктом. Вона доповнюється поточним оглядом розвитку кібератак, пов'язаних із російсько-українською війною 2022 року.
У зв'язку з тим, що російські війська націлені на Україну, а розподілені атаки на кшталт «відмова в обслуговуванні» (DDoS) час від часу порушують роботу українських державних веб-сайтів та постачальників фінансових послуг, багато говорять про готовність до кіберконфлікту.
Хоча будь-які організації завжди повинні бути готові до атаки з будь-якого напрямку, можливо корисно знати, на що звертати увагу при збільшенні ризику атаки. Я вирішив переглянути історію відомих чи передбачуваних дій російської держави в кіберпросторі, щоб оцінити, яких видів діяльності очікувати і як організації можуть бути готові до цього.
Найраніша відома активність датується 26 квітня 2007 року, коли естонський у1ряд переніс статую на згадку про звільнення Естонії Радянським Союзом від нацистів на менш помітне місце. Ця акція розлютила російськомовне населення Естонії і дестабілізувала відносини з Москвою. Незабаром після цього відбулися вуличні заворушення, акції протесту біля посольства Естонії в Москві та хвиля виснажливих DDoS-атак на естонські урядові та фінансові сайти.
Повністю готові інструменти та інструкції щодо участі в DDoS-атаках з'явилися на російських форумах практично відразу після перенесення статуї. Ці атаки були спрямовані на веб-сайти, що належать президенту, парламенту, поліції, політичним партіям та великим ЗМІ.
Заклик до «російських патріотів» допомогти покарати Естонію навряд чи був спонтанний. Це був масовий рух, що виник з нуля з інструментами та списком цілей напоготові. Та ж тактика була пізніше застосована Anonymous для захисту Wikileaks з використанням інструменту, званого LOIC (акронім від англ. Low Orbit Ion Cannon - укр. Низькоорбітальна іонна зброя) - програма з відкритим вихідним кодом, призначена для здійснення DoS-атак, написана мовою програмування C#).
4 травня 2007 р. атаки посилилися, стали завдаватися додаткових ударів по банках. Рівно через сім днів напади припинилися опівночі так само раптово, як і почалися.
Усі відразу ж звинуватили Росію, але визначити, хто виробляє розподілені атаки на кшталт «відмова в обслуговуванні» на практиці майже неможливо. В даний час широко поширена думка, що ці DDoS-атаки були справою рук Russian Business Network (RBN), сумно відомого в Росії організованого злочинного угруповання, пов'язаного зі спамом, ботнетами, крадіжкою персональних даних. Схоже, їхні послуги було «придбано» рівно на тиждень для проведення цих атак.
19 липня 2008 р. розпочалася нова хвиля DDoS-атак, націлених на новинні та урядові сайти в Грузії. Ці атаки таємниче різко посилилися 8 серпня 2008 року, коли російські війська вторглися в сепаратистську провінцію Південна Осетія. Спочатку вони були націлені на грузинські новинні та урядові сайти, а потім перейшли до фінансових установ, підприємств, освіти, західних ЗМІ.
Як і у випадку з попередніми атаками на Естонію, з'явився веб-сайт зі списком цілей, а також набором інструментів з інструкціями щодо їх використання. У цьому випадку також намагалися приписати атаки «патріотам», що захищаються від грузинської агресії, проте більша частина фактичного трафіку атак виходила від відомого великого ботнету, який, як вважається, контролюється RBN
Атаки на Грузію також включали псування веб-сайтів та масові спам-кампанії, спрямовані на засмічення поштових скриньок грузинів. Все це, здавалося, було спрямоване на те, щоб навіяти невпевненість у здатності Грузії захищати себе та керувати собою та завадити уряду ефективно спілкуватися зі своїми громадянами та зовнішнім світом.
Менш ніж через рік у Киргизстані у січні 2009 року розпочалася ще одна серія DDoS-атак. Це збіглося з процесом ухвалення рішення, до якого вступав уряд Киргизстану, щоб вирішити, чи продовжувати оренду авіабазу США на своїй території. Збіг обставин?
Виявилося, що його знову проводить RBN, але цього разу це не прийом «патріотів», які висловлюють свою цифрову думку.
Це підводить нас до одного з останніх конфліктів, вторгнення до Криму 2014 року.
Дезінформація та ізоляція
Інформаційна війна на різних рівнях ведеться проти України з 2009 року, при цьому багато атак співпали з подіями, які можуть бути витлумачені як такі, що загрожують інтересам Росії, такі як саміт НАТО та переговори між Україною та ЄС щодо угоди про асоціацію.
У березні 2014 року газета New York Times повідомила, що шкідливе програмного забезпечення «Snake» проникло до канцелярії прем'єр-міністра України та кількох віддалених посольств одночасно з початком антиурядових протестів в Україні. Наприкінці 2013 та на початку 2014 року ESET також публікувала дослідження, що документують напади на військові об'єкти та засоби масової інформації, що отримали назву «Операція Potao Express».
Як і раніше, самозвана кібергрупа, відома як «Cyber Berkut», проводила DDoS-атаки та веб-дефейс, не завдавши особливої реальної шкоди. Однак це створило багато плутанини, і це має значення під час конфлікту.
На початку конфлікту солдати без розбіжностей захопили контроль над телекомунікаційними мережами Криму та єдиною в регіоні інтернет-станцією, що призвело до відключення інформації. Зловмисники використали доступ до мережі мобільного зв'язку для ідентифікації учасників антиросійських протестів та надсилання їм СМС-повідомлень зі словами: «Шановний абонент, ви зареєстровані як учасник масових заворушень».
Після ізоляції зв'язку Криму зловмисники також зламали мобільні телефони депутатів українського парламенту, позбавивши можливості ефективно реагувати на вторгнення. Як зазначається в журналі Military Cyber Affairs, кампанії з дезінформації розгорнулися на повний хід:
«В одному випадку Росія заплатила одній людині за те, щоб вона володіла декількома різними веб-ідентифікаційними даними. Одна акторка із Санкт-Петербурга повідомила, що вона виступала в ролі трьох різних блогерів із десятьма блогами, а також коментувала інші сайти. Іншу людину було найнято, щоб просто коментувати новини та соціальні мережі 126 разів кожні дванадцять годин»
23 грудня 2015 р. було раптово відключено електрику приблизно половині мешканців Івано-Франківська, Україна. Широко поширена думка, що це справа рук спонсорованих державою російських хакерів. Початкові атаки почалися більш ніж за 6 місяців до відключення електроенергії, коли співробітники трьох центрів розподілу електроенергії відкрили шкідливий документ Microsoft Office з макросом, призначеним для встановлення шкідливого програмного забезпечення під назвою BlackEnergy.
Зловмисники змогли отримати облікові дані віддаленого доступу до мережі диспетчерського управління та збору даних (SCADA) та отримати контроль над елементами керування підстанцією, щоб розпочати вимкнення автоматичних вимикачів. Потім зловмисники заблокували ці пульти, щоб запобігти дистанційному перемиканню вимикачів для відновлення живлення. Крім того, зловмисники розгорнули шкідливе програмне забезпечення типу “wiper”, щоб заблокувати комп'ютери, що використовуються для управління мережею, і одночасно провели атаку відмови в обслуговуванні (TDoS) телефоном, заблокувавши номери служби підтримки клієнтів, щоб позбавити доступ клієнтів, які намагаються повідомити про відключення.
Майже через рік, 17 грудня 2016 року, в Києві знову погасло світло. Збіг обставин? Скоріше за все ні.
Цього разу відповідальним за це шкідливим програмним забезпеченням було Industroyer/CrashOverride, і воно було набагато складнішим. Шкідлива програма була розроблена з використанням модульних компонентів, які могли сканувати мережу у пошуках контролерів SCADA, а також говорила їхньою мовою. Це ПЗ також видаляла обслуговувальну систему. Атака не була пов'язана з BlackEnergy або відомим інструментом KillDisk, але сумнівів, хто за нею стоїть, не було.
У червні 2016 року, під час напруженої президентської виборчої кампанії між Хілларі Клінтон та Дональдом Трампом, на сцені з'явився новий персонаж на ім'я Guccifer 2.0, який стверджував, що зламав Національний комітет Демократичної партії та почав передавати свої електронні листи Wikileaks. Хоча офіційно це не приписується Росії, воно з'явилося поряд з іншими кампаніями з дезінформації під час виборів 2016 року, і багато хто вважає, що це робота Кремля.
Наполегливі атаки Росії на Україну ще не закінчилися, і 27 червня 2017 року вони посилили напруження, випустивши нову шкідливу програму, яка отримала назву NotPetya.
NotPetya був замаскований під новий різновид програми-здирника і розгорнутий через зламаний ланцюжок поставок українського постачальника програмного забезпечення для бухгалтерського обліку. Насправді це був зовсім не здирник. Хоча він шифрував комп'ютери, його було неможливо розшифрувати, ефективно видаляв інформацію та роблячи марним будь-яке обладнання.
Перелік постраждалих не обмежився українськими компаніями. Протягом кількох годин шкідливе ПЗ поширилося світом, в основному вражаючи організації, що працювали в Україні, де використовувалося програмне забезпечення для бухгалтерського обліку.
За оцінками, NotPetya завдала збитків у всьому світі не менш ніж на 10 мільярдів доларів США.
Коли 9 лютого 2018 року в Пхенчхані відкрилися зимові Олімпійські ігри, на світ ось-ось мала бути ще одна атака. Шкідлива атака відключила всі контролери домену у всій олімпійській мережі, внаслідок чого все, від Wi-Fi до квиткових кас, не працювало належним чином. Якимось дивом ІТ-команда змогла ізолювати мережу, відновити та видалити шкідливе ПЗ із систем, а наступного ранку все запрацювало, практично не пропускаючи жодної секунди.
Потім настав час провести аналіз шкідливих програм, щоб спробувати визначити, хто захоче атакувати та вивести з ладу всю олімпійську мережу? Ідентифікація шкідливих програм складна, але були залишені деякі підказки, які могли допомогти, або вони могли бути хибними прапорами, які намагаються вказати пальцем на третю сторону.
«Докази», здавалося, вказували на Північну Корею та Китай, але вони були надто очевидними, щоб намагатися звинуватити Північну Корею. Зрештою, блискуча детективна робота Ігоря Суменкова з «Лабораторії Касперського» виявила незаперечні докази, спрямовані прямо на Москву.
Декілька років потому, незадовго до святкових днів наприкінці 2020 року, поширилася інформація про атаку на ланцюжок поставок, націленої на програмне забезпечення SolarWinds Orion, що використовується для управління мережевою інфраструктурою для великих і середніх організацій по всьому світу, включаючи багато агентств федерального уряду США. Механізми оновлення програмного забезпечення були зламані та використані для розгортання бекдору.
Відомий характер жертв у поєднанні з доступом, наданим через потай розгорнутий бекдор, може зробити цю атаку однією з найбільших і найбільш руйнівних атак кібершпигунства в сучасній історії. Федеральне бюро розслідувань США (ФБР), Агентство кібербезпеки та безпеки інфраструктури (CISA), Управління директора національної розвідки (ODNI) та Агентство національної безпеки (АНБ) опублікували спільну заяву, в якій йдеться, що їх розслідування показало, що:
«…суб'єкт Advanced Persistent Threat, ймовірно, російський за походженням, несе відповідальність за більшість або всі нещодавно виявлені кіберкомпрометації як державних, так і недержавних мереж. Нині ми вважаємо, що це була і залишається спроба збирання розвідувальної інформації».
У 2022 році, коли політична напруженість перед війною загострилася, багато українських урядових веб-сайтів було пошкоджено, а системи були заражені шкідливим ПЗ, замаскованим під атаку програм-вимагачів.
Декілька компонентів цих атак повторили минуле. Шкідливе програмне забезпечення насправді не було програмою-вимагачем, це був просто витончений wiper, як це було видно в атаках NotPetya. Крім того, було залишено багато фальшивих прапорів, які передбачають, що це може бути робота українських чи польських хакерів.
У міру того, як конфлікт перейшов у лютий, зрозуміли, що діє стандартний російський сценарій конфлікту: відвернути, заплутати, заперечувати і спробувати розділити.
У вівторок 15 лютого 2022 р. було здійснено серію великих DDoS-атак на українські урядові та військові веб-сайти, а також на три найбільші банки України.
Безпрецедентним кроком Білий дім уже розсекретив деякі розвіддані та поклав відповідальність за атаки на російське ГРУ.
Війна розпочалася 24 лютого 2022 року. Sophos постійно оновлює інформацію про розвиток кібератак у міру їхнього розвитку.
Що тепер? Незалежно від того, чи загострюватиметься ситуація, кібероперації обов'язково триватимуть. Україна перебуває під постійним шквалом атак з різним ступенем піків та спадів з моменту повалення Віктора Януковича у 2014 році.
В офіційній російській «Військовій доктрині Російської Федерації» від 2010 року йдеться:
«завчасне здійснення заходів інформаційного протиборства задля досягнення політичних цілей без застосування військової сили й у подальшому у сфері формування сприятливої реакції світової спільноти застосування військової сили».
Це передбачає продовження попередньої поведінки до конфлікту і робить DDoS-атаки потенційною ознакою неминучої поведінки під час війни.
Інформаційна війна це те, як Кремль може спробувати контролювати реакцію решти світу на дії в Україні або будь-який інший об'єкт атаки.
Фальшиві прапори, підміна адрес, порушення зв'язку та маніпулювання соціальними мережами — це ключові компоненти російської стратегії ведення інформаційної війни. Їм не потрібно створювати постійне прикриття для дій на землі та в інших місцях, їм просто потрібно викликати достатню затримку, замішання та суперечність, щоб дозволити іншим одночасним операціям досягти своїх цілей.
Цікаво, що Сполучені Штати та Великобританія намагаються попередити деякі кампанії з дезінформації, і це може обмежити їхню ефективність. Однак ми не повинні припускати, що зловмисники перестануть намагатися, тому нам потрібно залишатися готовими та пильними.
Наприклад, організації в країнах, що межують з Україною, мають бути готовими до того, що вони будуть залучені до будь-яких онлайн-активностей, навіть якщо вони не діють безпосередньо в Україні. Попередні атаки і дезінформація просочувалися в Естонію, Польщу та інші держави, що межують, нехай навіть як побічні збитки.
З глобальної точки зору слід очікувати, що ціла низка «патріотичних» фрілансерів у Росії, під якими я маю на увазі злочинців-вимагачів, фіш-письменників та операторів ботнетів, будуть з ще більшим завзяттям, ніж зазвичай, накидатися на цілі, які, як вважається, спрямовані проти Батьківщини.
Малоймовірно, що Росія безпосередньо атакуватиме членів НАТО і ризикне застосувати Статтю V. Проте її недавні жести щодо приборкання злочинців, що діють з території Російської Федерації та їхніх партнерів зі Співдружності Незалежних Держав (СНД), ймовірно, припиняться, і натомість ми побачимо, як загрози множаться.
Хоча ешелонований інформаційний захист має бути нормальним завданням і у звичайні часи, він особливо важливий, якщо ми очікуємо збільшення частоти та серйозності атак.
Дезінформація і пропаганда скоро досягнуть апогею, ми повинні відстежувати ворога, блокувати дезінформацію і стежити за чимось незвичайним у наших мережах у міру того, як війна то спалахує, то затихає і навіть коли вона закінчиться
за матеріалами компанії Sophos