Майже рік минув з повномасштабного вторгнення Росії в Україну. З приводу цього Google презентував новий звіт Fog of War (“Туман війни”) щодо того, як війна в Україні змінила ландшафт кіберзагроз. Звіт створено на основі аналізу Google Threat Analysis Group (TAG), Mandiant і команди Google Trust & Safety. Він охоплює нові висновки та ретроспективну інформацію щодо зловмисників, яких підтримує уряд, інформаійних операцій (IO) та суб’єктів загроз екосистеми кіберзлочинців. Він також включає детальні аналізи суб’єктів загроз, на прикладі конкретних кампаній в 2022 році.
Об’єднання заради підтримки України
З початку війни уряди, компанії, спілки громадянського суспільства та незліченна кількість інших активістів цілодобово працюють задля підтримки українського народу та його установ. Google підтримує ці зусилля та продовжує оголошувати про нові зобов’язання та підтримку України. Це включає в себе надання 50 000 ліцензій Google Workspace для уряду, систему швидкого сповіщення про повітряну тривогу для Android-смартфонів у регіоні, підтримку біженців, бізнесу та підприємців, а також заходи щодо призупинення монетизації на невизначений термін і обмеження охоплення російських державних ЗМІ.
Проте одна з найактуальніших проблем полягає в тому, що український уряд майже постійно зазнає цифрових атак. Незабаром після вторгнення Google розширив доступність Project Shield, безкоштовного захисту від розподілених атак на відмову в обслуговуванні (DDoS), щоб українські урядові веб-сайти та посольства в усьому світі могли залишатися онлайн і надалі пропонувати важливі послуги.
Компанія продовжує надавати пряму допомогу українському уряду та суб’єктам критичної інфраструктури в рамках платформи Cyber Defense Assistance Collaborative (Співпраця з підтримки кіберзахисту), включно із компромісною оцінкою, послугами з реагування на інциденти, спільною розвідкою щодо кіберзагроз та послугами з трансформації безпеки, щоб виявляти й пом’якшувати кібератаки та захищатися від них. Крім того, продовжується впровадження засобів захисту для користувачів, відстежуються та знищуються кіберзагрози задля, підвищується обізнаність серед спільноти та користувачів, підтримується якість інформації.
Цей рівень колективного захисту між урядами, компаніями та зацікавленими сторонами в галузі безпеки по всьому світу безпрецедентний за своїми масштабами. Тепер Google ділиться своїми висновками з глобальною спільнотою безпеки, щоб допомогти підготувати кращий захист у майбутньому.
Ключові висновки
1. Зловмисники, що мають підтримку російського уряду, доклали агресивних, багатосторонніх зусиль, щоб отримати вирішальну військову перевагу в кіберпросторі, часто з неоднозначними результатами.
Це включає значне зміщення фокусу різних груп на Україну, різке збільшення використання деструктивних атак на український уряд, військову та цивільну інфраструктуру, сплеск фішингової діяльності, націленої на країни НАТО, і зростання кібероперацій, спрямованих на досягнення кількох цілей Росії. Наприклад, зловмисники зламували та зливали конфіденційну інформацію для просування певного наративу.
Зловмисники, яких підтримує російський уряд, активізували кібероперації, починаючи з 2021 року під час підготовки до вторгнення. У 2022 році Росія збільшила таргетинг на користувачів в Україні на 250% порівняно з 2020 роком. Таргетинг на користувачів у країнах НАТО за той самий період зріс понад 300%.
У 2022 році зловмисники, підтримувані російським урядом, атакували користувачів в Україні більше, ніж у будь-якій іншій країні. Хоча ці зловмисники зосереджуються значною мірою на українському уряді та військових структурах; кампанії, що було зупинено, також демонструють фокус на критичній інфраструктурі, комунальних і державних послугах, а також ЗМІ та інформаційному просторі.
Під час роботи з реагування на інциденти Mandiant спостерігав більше руйнівних кібератак в Україні протягом перших чотирьох місяців 2022 року, ніж за попередні вісім років, причому пік атак припав на початок вторгнення. Незважаючи на значну активність після цього періоду, темпи атак уповільнилися та були менш скоординовані, ніж початкова хвиля в лютому 2022 року. Зокрема, деструктивні атаки часто відбувалися швидше після того, як зловмисник отримав або відновив доступ, часто через скомпрометовану прикордонну інфраструктуру. Багато операцій свідчать про спробу Головного управління Генерального штабу збройних сил Росії (ГРУ) збалансувати на кожному етапі діяльності пріоритети доступу, збору та знищення, що інколи конкурують між собою.
2. Москва використала весь спектр інформаційних операцій — від ЗМІ, які відверто підтримуються державою, до закритих платформ і акаунтів — щоби сформувати суспільне сприйняття війни.
Ці операції мають три цілі:
-
Підірвати українську владу
-
Зламати міжнародну підтримку України
-
Посилювати підтримку Росії у війні всередині країни
Спостерігаються сплески активності, пов’язані з ключовими подіями війни, такими як нарощування військових сил, вторгнення та мобілізація у Росії. Google активно працює над продуктами, з командами та в регіонах, щоби протистояти цій діяльності, яка порушує правила, та зривати відкриті та приховані інформаційні операції, але продовжує стикатися з постійними спробами обійти правила.
Приховані російські інформаційні операції, яким запобіг Google, головним чином зосереджувалися на збереженні підтримки росіянами війни в Україні, причому понад 90% цих кампаній були російською мовою.
3. Вторгнення спричинило помітні зміни в східноєвропейській кіберзлочинній екосистемі, що, ймовірно, матиме довгострокові наслідки як для координації між злочинними групами, так і для масштабів кіберзлочинності в усьому світі.
Деякі групи розділилися через політичну прихильність і геополітику, тоді як інші втратили провідних операторів, що вплине на традиційне розуміння можливостей цих груп. Також спостерігається тенденція щодо спеціалізації в екосистемі програм-вимагачів, яка поєднує тактики різних зловмисників, що ускладнює остаточне визначення кінцевого автора. Війна в Україні також визначається тим, чого можна було очікувати, але чого не побачили – наприклад, не було сплеску атак на критичну інфраструктуру за межами України.
TAG також спостерігає тактики, тісно пов’язані з фінансово вмотивованими зловмисниками, які використовуються в кампаніях із метою, яка, як правило, пов’язана зі зловмисниками, яких підтримує уряд. У вересні 2022 року TAG повідомила про зловмисника, діяльність якого схожа на групу UAC-0098, яка історично пов'язана з банківським трояном IcedID, що призводить до атак програм-вимагачів, керованих людьми. Вважається, що деякі члени UAC-0098 є колишніми членами групи Conti, які перепрофільовують свої методи для атаки на Україну.
Прогнози
-
З високою вірогідністю, зловмисники, що мають підтримку російського уряду, продовжуватимуть проводити кібератаки проти України та партнерів НАТО для досягнення стратегічних цілей Росії.
-
Москва посилить руйнівні атаки у відповідь на події на полі бою, які докорінно змінюють баланс сил — реальний чи ймовірний — в Україні (наприклад, військові втрати, нові зобов'язання іноземних держав стосовно політичної чи військової підтримки тощо). Ці атаки насамперед будуть спрямовані на Україну, але все більше поширюватимуться на партнерів НАТО.
-
Росія продовжуватиме нарощувати темпи та масштаб інформаційних операцій для досягнення наведених вище цілей, особливо з наближенням до таких ключових етапів, як міжнародне фінансування, військова допомога, внутрішні референдуми тощо. Менш зрозумілим є те, чи ця діяльність досягне бажаного ефекту, чи просто з часом посилить протидію російській агресії.
Цілком очевидно, що інформаційні технології продовжуватимуть відігравати невід’ємну роль у майбутніх збройних конфліктах, доповнюючи традиційні форми війни. Експерти Google сподіваються, що цей звіт слугуватиме закликом до дій при підготовці до того, що чекає попереду.
Натисніть тут, щоб переглянути повний звіт. Спеціалісти з безпеки, зацікавлені у вебінарі, можуть зареєструватися тут.