Кібератаки росії на Україну змінились: від якості перейшли до кількості

Кібервійна, яку Україна переживає останній рік, за деякими показниками є найактивнішим цифровим конфліктом в історії. Ніде на планеті за один рік не використовували більше коду, що знищує дані.

Публікуємо скорочений переклад матеріалу The Wired.

Напередодні річниці повномасштабного вторгнення росії дослідники кібербезпеки зі словацької фірми з кібербезпеки ESET, компанії з мережевої безпеки Fortinet і компанії з реагування на інциденти Mandiant, що належить Google, незалежно один від одного з’ясували, що у 2022 році в Україні виявлено набагато більше зразків шкідливого програмного забезпечення типу «wiper», ніж за будь-який інший рік де завгодно. >

Це не обов’язково означає, що Україна сильніше постраждала від російських кібератак, ніж у минулі роки; у 2017 році хакери російської військової розвідки, відомі як Sandworm, випустили руйнівний вірус NotPetya. Але зростаючий обсяг деструктивного коду вказує на новий вид кібервійни, яка супроводжувала фізичне вторгнення росії в Україну, з безпрецедентними темпами та різноманітністю кібератак.

Дослідники кажуть, що російські державні хакери закидають в Україну дуже різне шкідливе програмне забезпечення, що знищує дані: зразки wiper, націлені не лише на комп’ютери з Windows, але й на пристрої Linux і навіть менш поширені операційні системи, такі як Solaris і FreeBSD.

Загалом Fortinet нарахував 16 різних «сімейств» шкідливого програмного забезпечення в Україні за останні 12 місяців, порівняно з одним або двома в попередні роки. Це різноманіття може бути ознакою величезної кількості розробників шкідливого програмного забезпечення, яким росія доручила націлитися на Україну.

Атаки перестали бути ефективними?

Оскільки деякі зразки шкідливого програмного забезпечення з’явилися в сховищах VirusTotal та навіть Github, інші хакери повторно використовують ці програми проти цілей у 25 країнах світу.

Незважаючи на такий величезний обсяг шкідливого програмного забезпечення, кібератаки росії проти України в 2022 році в деяких аспектах здавалися відносно неефективними порівняно з попередніми роками.

росія неодноразово проводила кампанії кібервійни проти України після Революції Гідності, і все мало на меті послабити рішучість України боротися, посіяти хаос і зробити так, щоб Україна виглядала державою-невдахою. З 2014 по 2017 рік, наприклад, російська військова розвідка ГРУ здійснила серію безпрецедентних кібератак: вони зірвали, а потім спробували підробити результати президентських виборів в Україні 2014 року, спричинивши відключення електроенергії, спричинені хакерами, і, нарешті, запустили NotPetya, що знищив дані у мережах державних установ, банків, лікарнях та аеропортах, а потім поширився по всьому світу та спричинив досі незрівнянні 10 мільярдів доларів збитків.

Не якістю, а кількістю

Але з початку 2022 року кібератаки росії проти України змінились. Замість «шедеврів», на створення та розгортання яких потрібні були місяці, кібератаки кремля трансформувалися в швидкі, повторювані та відносно прості акти саботажу.

HermeticWiper, один із перших інструментів стирання даних, який вразив Україну напередодні вторгнення в лютому 2022 року, використовував викрадений цифровий сертифікат, щоб виглядати легітимни, що є ознакою складного планування перед вторгненням. Але HermeticRansom, варіант того ж сімейства шкідливого програмного забезпечення, призначеного для того, щоб виглядати як програма-вимагач для своїх жертв, містив неохайні помилки програмування. HermeticWizard, супровідний інструмент, розроблений для поширення HermeticWiper від системи до системи, також був на диво недоробленим. Він був розроблений для зараження нових машин, намагаючись увійти на них за допомогою жорстко закодованих облікових даних, але він спробував лише вісім імен користувачів і лише три паролі: 123, Qaz123 і Qwerty123.

Мабуть, найвпливовішою з усіх російських атак шкідливого програмного забезпечення на Україну у 2022 році був AcidRain, спрямований на супутникові модеми Viasat. Ця атака вивела з ладу частину українського військового зв’язку і навіть поширилася на супутникові модеми за межами країни, порушивши можливість моніторингу даних з тисяч вітрових турбін у Німеччині. Спеціальне кодування, необхідне для націлювання на Linux, яка використовується на цих модемах, свідчить, як і викрадений сертифікат, який використовується в HermeticWiper, що хакери ГРУ, які запустили AcidRain, ретельно підготували його перед вторгненням росії.

Але в міру того, як війна прогресувала — і оскільки росія дедалі більше виявлялася неготовою до довгострокового конфлікту, в якому вона загрузла — її хакери переключилися на більш короткострокові атаки, можливо, намагаючись відповідати темпу фізичної війни з постійними змінами лінії фронту. У травні та червні ГРУ все більше віддавало перевагу повторному використанню інструменту для знищення даних CaddyWiper. За словами Mandiant, ГРУ розгортало CaddyWiper п’ять разів за ці два місяці та ще чотири рази в жовтні, змінюючи його код лише настільки, щоб уникнути виявлення антивірусними засобами.

👍ПодобаєтьсяСподобалось0
До обраногоВ обраному1
LinkedIn
Дозволені теги: blockquote, a, pre, code, ul, ol, li, b, i, del.
Ctrl + Enter
Дозволені теги: blockquote, a, pre, code, ul, ol, li, b, i, del.
Ctrl + Enter

Підписатись на коментарі