W 2022 roku hakerzy wspierani przez rząd rosyjski atakowali użytkowników w Ukrainie częściej niż w jakimkolwiek innym kraju. Hakerzy koncentrują się w dużym stopniu na instytucjach rządowych i jednostkach wojskowych, ale udaremnione przez nas kampanie wskazują na równie mocne skupianie się na krytycznej infrastrukturze, usługach użyteczności publicznej oraz mediach i przestrzeni informacyjnej.
W zakresie reagowania na incydenty platforma Mandiant odnotowała w pierwszych 4 miesiącach 2022 roku więcej niszczycielskich cyberataków w Ukrainie niż w ciągu 8 wcześniejszych lat, przy czym szczyt ataków miał miejsce na początku inwazji. Po tym okresie obserwowano dużą aktywność, jednak wolumen ataków się zmniejszył, a ich przebieg wydawał się mniej skoordynowany niż w pierwszej fali z lutego 2022 roku. W szczególności ataki niszczycielskie następowały szybciej, gdy hakerzy przejęli lub odzyskali kontrolę, często w wyniku przejęcia infrastruktury brzegowej. W wielu operacjach dało się dostrzec próby godzenia przez Sztab Generalny Sił Zbrojnych Federacji Rosyjskiej (GRU) konkurujących priorytetów: uzyskiwania dostępu, zbierania danych i zakłócania usług w każdej fazie działań.
2. Moskwa prowadzi operacje informacyjne na całej szerokości – od mediów otwarcie sprzyjających rządowi po ukryte platformy i konta – w celu kształtowania publicznego odbioru wojny.
Te działania nastawione są na 3 cele:
- Osłabienie pozycji rządu ukraińskiego
- Naruszenie systemu międzynarodowego wsparcia dla Ukrainy
- Utrzymanie w Rosji wewnętrznego poparcia dla wojny
Nasilenie działań wiąże się zawsze z istotnymi punktami w przebiegu konfliktu, takimi jak przygotowanie, inwazja i mobilizacja w Rosji. W Google prowadzimy agresywne działania na poziomie produktów, usług, zespołów i regionów w celu przeciwdziałania tym operacjom, jeśli naruszają nasze zasady, i niszczymy jawne i ukryte kampanie IO, ale wciąż spotykamy się z bezwzględnymi próbami obejścia zasad.
Niejawne rosyjskie operacje informacyjne, które udaremniamy w usługach Google, koncentrują się przede wszystkim na utrzymywaniu w Rosji wewnętrznego poparcia dla wojny w Ukrainie (ponad 90% przypadków w języku rosyjskim).
3. Inwazja spowodowała we wschodnioeuropejskim ekosystemie cyberprzestępczym wyraźną zmianę, która prawdopodobnie będzie miała długofalowy wpływ zarówno na koordynację między grupami przestępczymi, jak i na skalę cyberprzestępczości na świecie.
Niektóre grupy podzieliły się w zależności od przynależności politycznej i kwestii geopolitycznych, inne utraciły ważnych graczy, a to wpłynie na nasz sposób myślenia o tych grupach i tradycyjne postrzeganie ich możliwości. Widzimy też trend polegający na specjalizacji w ekosystemie ransomware, w którym podmioty łączą różne taktyki, utrudniając jednoznaczną identyfikację. Wojnę w Ukrainie definiują też nasze przewidywania, które jednak się nie sprawdziły – na przykład nie nastąpił zmasowany atak na krytyczną infrastrukturę poza Ukrainą.
Grupa TAG obserwuje również taktykę ściśle powiązaną z podmiotami stwarzającymi zagrożenie, które działają z pobudek finansowych, wykorzystywanymi w kampaniach ukierunkowanych na cele typowo powiązane z hakerami wspieranymi przez rząd. We wrześniu 2022 roku grupa TAG donosiła o
podmiocie stwarzającym zagrożenie, którego działalność pokrywała się z celami obserwowanej przez agencję CERT-UA grupy hakerskiej
UAC-0098. Grupa ta w przeszłości opublikowała trojana bankowego IcedID, co doprowadziło do kierowanych przez człowieka ataków typu ransomware. Naszym zdaniem niektórzy członkowie UAC-0098 należeli wcześniej do grupy Conti i obecnie wykorzystują swoje techniki do ataków na Ukrainę.
Co dalej
Z dużą dozą pewności twierdzimy, że hakerzy wspierani przez rząd rosyjski będą kontynuować cyberataki na Ukrainę i partnerów z NATO, wspierając realizację rosyjskich celów strategicznych.
Z dużą dozą pewności twierdzimy, że Moskwa nasili ataki o charakterze destabilizującym i niszczycielskim w odpowiedzi na przebieg działań na froncie, który fundamentalnie zmienia układ sił – realny lub wyobrażony – na korzyść Ukrainy (chodzi między innymi o straty ludzkie, nowe międzynarodowe deklaracje wsparcia politycznego lub wojskowego itp.). Takie ataki będą głównie ukierunkowane na Ukrainę, ale ich zasięg będzie się coraz bardziej rozszerzał na partnerów z NATO.
- Z umiarkowaną dozą pewności twierdzimy, że Rosja będzie utrzymywała tempo i zasięg działań IO, aby osiągnąć cele opisane wyżej, szczególnie w odniesieniu do kluczowych aspektów, takich jak finansowanie międzynarodowe, pomoc wojskowa, referenda wewnętrzne itd. Mniej jasne jest, czy te działania wywrą zamierzony wpływ, czy tylko będą wzmacniały opozycję wobec rosyjskiej agresji.
Jest oczywiste, że obszar cybernetyczny będzie nadal odgrywał istotną rolę w przyszłych konfliktach zbrojnych, uzupełniając tradycyjne formy sztuki wojennej. Mamy nadzieję, że ten raport zostanie odczytany jako wezwanie do przygotowania się do tego, co nas czeka. W Google jesteśmy gotowi działać, współpracując z innymi partnerami na rzecz kolektywnej obrony, a także nieustannego rozwijania i wspierania organizacji, firm, instytucji państwowych oraz użytkowników w bezpiecznym korzystaniu z internetu.
Kliknij
tutaj, aby zapoznać się z całym raportem. Specjaliści ds. bezpieczeństwa zainteresowani szkoleniem internetowym mogą zarejestrować się na nie
tutaj.
Shane Huntley, Senior Director, Threat Analysis Group (TAG), Google