W dniu 24 lutego 2023 r roku przypadła pierwsza rocznica inwazji Rosji na Ukrainę, która według danych ONZ doprowadziła do przesiedlenia ponad 14 milionów ludzi w ciągu ostatniego roku. Wojna prowadzona przez Rosję z Ukrainą to nie tylko wojna militarna. Trwa także cyberwojna między obydwoma krajami. Wraz z kontynuacją konfliktu zbrojnego na Ukrainie, tak samo będzie towarzyszyć mu cyberwojna. Oczekuje się, że intensywność i liczba cyberataków Rosji na Ukrainę będzie wzrastać w ciągu najbliższego roku – przewiduje Ray Canzanese, Dyrektor Działu Analiz Ds. Cyberataków z firmy Netskope.
Spis treści:
Cyberataki skierowane głównie na agencje rządowe i infrastrukturę krytyczną
Phishing to główna technika infiltracji wykorzystywana w większości cyberataków
Szpiegostwo i sabotaż są głównymi celami
15% cyberataków skierowanych jest przeciwko innym państwom, głównie sojusznikom
Można ograniczyć skutki cyberwojny
Cyberwojna będzie bardziej intensywna
Cyberataki skierowane głównie na agencje rządowe i infrastrukturę krytyczną
Większość rosyjskich cyberataków w ciągu ostatniego roku skierowana była na agencje wojskowe i rządowe oraz na infrastrukturę krytyczną, zwłaszcza na dostawców usług telekomunikacyjnych oraz firmy energetyczne. Inne ataki były bardziej ogólnie skierowane na firmy i osoby w Ukrainie oraz ich sojuszników na całym świecie. Tymczasem większość ukraińskich ataków skierowana była na rosyjskie instytucje rządowe, przy czym ataki skupiały się na wyłączaniu stron internetowych Rosji, zakłócaniu usług finansowych i zakłócaniu kampanii dezinformacyjnych.
Phishing to główna technika infiltracji wykorzystywana w większości cyberataków
Najczęstszą techniką infiltracji stosowaną w cyberwojnie jest phishing, przy czym obie strony stosują ukierunkowane kampanie phishingowe, często z towarzyszącymi im exploitami plikowymi lub innymi szkodliwymi ładunkami. Exploit to kod programu służący do przeprowadzenia ataku wykorzystujący luki w zabezpieczeniach powszechnie wykorzystywanych aplikacji. Phishing jest popularny w cyberwojnie, ponieważ jest prosty, mało ryzykowny, skuteczny i wszechstronny. Dobrze opracowana i ukierunkowana wiadomość phishingowa dostarczona za pośrednictwem aplikacji do wiadomości, SMS-ów, poczty e-mail, mediów społecznościowych lub innego kanału może być stosowana przeciwko praktycznie każdemu typowi celu. Po skutecznym phishingu ataki zwykle skupiają się na szpiegostwie lub sabotażu.
Szpiegostwo i sabotaż są głównymi celami
W cyberwojnie głównymi celami są szpiegostwo i sabotaż. W ostatnim roku szpiegostwo zwykle przybierało formę RAT-ów i infostealerów. RAT to forma złośliwego oprogramowania wykorzystywana do przejęcia kontroli nad zainfekowanym komputerem. Infostealer służy zaś do wykradzenia cennych informacji ze stacji roboczej po skutecznym dostaniu się do komputera. Sabotaż zwykle przybierał formę ataków DDoS ( atak na serwery np .obsługujący strony Web tak by zapchać je sztucznym ruchem i w ten sposób przeciążyć serwery by nie mogły działać) oraz ransomwarów ( to atak za pomocą kodu szyfrującego dane na dysku twardym komputera, jedyny sposób na odzyskanie danych, jeżeli nie ma backup’ to zapłacenie okupu by uzyskać klucz deszyfrujący) oraz wiperów (złośliwe oprogramowanie, które niszczy dane). W ciągu roku wiele rosyjskich wiperów pojawiło się, aby zaatakować Ukrainę, w tym WhisperGate, HermeticWiper, IsaacWiper i inne. W jednym z ostatnich ataków użyto nowej rodziny ransomware’u, Prestige, aby zaatakować sektory logistyczne i transportowe w Ukrainie a także w Polsce.
15% cyberataków skierowanych jest przeciwko innym państwom, głównie sojusznikom
Podczas gdy około 85% ataków było skierowanych przeciwko osobom lub organizacjom w Rosji lub w Ukrainie, pozostałe 15% to akcje głównie przeciwko sojusznikom na całym świecie. Podobnie jak ataki w Rosji i w Ukrainie, cyberataki na cele w innych krajach skierowane były również przeciwko krytycznej infrastrukturze i agencjom rządowym.
Największym cyfrowym atakiem rosyjsko-ukraińskiej wojny był NotPetya z 2017 roku, rosyjski wiper skierowany przeciwko Ukrainie, który zainfekował systemy na całym świecie, w tym firm Maersk i Merck, powodując szacowane szkody w wysokości 10 miliardów dolarów. W ciągu roku od rosyjskiej inwazji na Ukrainę nie widzieliśmy jeszcze cyfrowego ataku o takiej skali. Dotychczasowe cyberataki poza Rosją i Ukrainą były przeprowadzone bardzo kierunkowo. Niektóre ataki, w tym wcześniejszy atak na Viasat, były mniej precyzyjne. Ta akcja w zamierzeniu miała na celu przerwanie łączności sieciowej w Ukrainie, atak na Viasat spowodował jednak przerwy w dostawach sygnału w całej Europie.
Można ograniczyć skutki cyberwojny
Kontrole anty-phishingowe i szkolenia są niezbędnymi obronami podczas cyberwojny. Przerywanie prób phishingowych może pomóc zatrzymać cyberatak, zanim spowoduje jakiekolwiek szkody. Agencje rządowe i infrastruktura krytyczna są najbardziej narażone podczas cyberwojny, co uzasadnia dodatkowe inwestycje w obronę cybernetyczną oraz wprowadzenie bardziej rygorystycznych kontroli bezpieczeństwa, aby zredukować zakres ataku. Obrona przed ransomware, zwłaszcza solidne i dobrze przetestowane kopie zapasowe, może również być skuteczną obroną przed niektórymi destrukcyjnymi wiperami, które są typowo używane podczas cyberwojny.
Cyberwojna będzie bardziej intensywna
Wraz z kontynuacją konfliktu zbrojnego na Ukrainie, tak samo będzie towarzyszyć mu cyberwojna. Oczekuje się, że intensywność fizycznych ataków Rosji na Ukrainę będzie wzrastać w ciągu najbliższego roku, a liczba cyberataków będzie rosła. Im dłużej konflikt będzie trwał, tym bardziej prawdopodobne jest, że sojusznicy na całym świecie zostaną celami ataków, a także bardziej prawdopodobne jest wystąpienie kolejnych zmasowanych ataków.
Dlatego ważne jest, aby jednostki i organizacje pozostały czujne i kontynuowały inwestowanie w solidne środki zapobiegawcze w dziedzinie cyberbezpieczeństwa, aby chronić się przed potencjalnymi cyberatakami. Ponadto, międzynarodowa współpraca i koordynacja mogą być konieczne, aby pomóc w zapobieganiu i łagodzeniu skutków cyberataków w czasach konfliktów.
Autor: Ray Canzanese, Dyrektor Działu Analiz Ds. Cyberataków z firmy Netskope.