Кибервойна рф против Украины: как воюют хакеры врага и украинское кибервойско
Сегодня война идет не только в украинских городах и селах. Полномасштабное вторжение россии в нашу страну сопровождается активным распространением враждебных хакеров дезинформации, пропаганды, проведением информационно-психологических операций, кибератаками на объекты критической инфраструктуры нашей страны.
The Page выяснил, как воюют украинские кибервойска и как российские и пророссийские хакеры атакуют Украину с января 2022 года.
Сколько кибератак на Украине осуществила россия
С начала 2022 года Служба безопасности Украины нейтрализовала более 4,5 тыс. кибератак в Украине. Если в 2020 году было зафиксировано почти 800 кибератак, в 2021 – 1400, то уже в прошлом году их количество выросло более трех раз.
Правительственная команда реагирования на компьютерные чрезвычайные происшествия CERT-UA, действующая при Госспецсвязи, зарегистрировала и исследовала в течение 2022 года 2,1 тыс. киберинцидентов и кибератак. А с начала полномасштабного военного вторжения рф в Украину – более 1,5 тыс.
Чаще всего вражеские хакеры атакуют государственный сектор: на него приходится около четверти всех исследованных случаев.
Среди главных целей вражеских хакеров приводят следующие:
- шпионаж (получение разведданных по логистике, вооружению, планам и операциям Сил безопасности и обороны);
- попытки выведения из строя объектов критической информационной инфраструктуры;
- лишение доступа граждан к государственным услугам и сервисам, банковскому обслуживанию и т.п.
А также – информационно-психологические операции и дезинформационные вбросы с целью подрыва доверия к органам государственной власти, Сил безопасности и обороны, распространение панических настроений среди населения.
Под особым вниманием российских хакеров остается энергетический сектор. Кибератаки на предприятия энергетики отличаются сложностью проведения и подготовки, их труднее выявлять. Также под постоянным прицелом — компании, являющиеся поставщиками услуг, аппаратного и программного обеспечения для энергокомпаний.
Украинская киберзащита: как Украина защищается от кибератак
Сегодня Security Operation Center МОУ в режиме 24/7 проводит мониторинг событий безопасности на всех уровнях – от инфраструктурного до аппликационного. Также на ежедневной основе анализируется киберпространство и прорабатываются гипотезы по актуальным тактикам и техникам, присущим спецслужбам врага.
«Пока вражеским хакерам не удалось достичь каких-либо стратегических целей. Но, несмотря на нашу достаточно эффективную деятельность по предупреждению кибератак, враг продолжает искать возможности и использовать их для того, чтобы получить доступ к информационно-коммуникационным сетям объектов критической инфраструктуры. Более того, с большой вероятностью агрессия в киберпространстве со стороны россии будет продолжаться даже после нашей победы», – отмечает заместитель председателя Госспецсвязи Виктор Жора.
К киберзащите украинских информационных систем присоединились лучшие отечественные и мировые специалисты. Нам помогают правительства и коммерческие компании большинства демократических стран.
Государство также активно набирает киберволонтеров и, например, с помощью смс рассылки приглашает в кибервойско Украины.
Впрочем, Константин Корсун, автор цифрового контента в Facebook, отмечает:
«Нет в Украине вообще ни одного кибервойска. Не существует в природе. Именно как «войска», а не волонтерско-партизанские айти-группировок, которые могут называть себя как угодно. И за участие в них после нашей победы не исключены проблемы юридического характера. Если бы в киберполиции знали хотя бы основы кибергигиены – ни за что не отправляли бы массовых смс с приглашением в «кибервойско» в рашистском Телеграмме. Это просто табу для более или менее образованного кибербезопасника».
Владимир Кондрашов, спикер в Государственной службе специальной связи и защиты информации Украины, подчеркивает, что использование того или иного мессенджера определяется задачами коммуникации каждого пользователя, имеющимся функционалом, необходимой степенью защиты:
«Нужно понимать, что не бывает абсолютно безопасных или защищенных систем. По-прежнему мы рекомендуем использовать проверенные мессенджеры с открытым кодом».
Какие российские и пророссийские хакеры атакуют Украину
По информации Государственной службы специальной связи и защиты информации Украины, в период с сентября по декабрь 2022 года в Украине действовали следующие российские и пророссийские хакерские группировки:
- ARMAGEDDON/GAMAREDON/PRIMITIVE BEAR (ФСБ рф, активность отслеживается по идентификатору UAC-0010).
- SANDWORM (ГУ ГШ ВС рф (ГРУ), активность отслеживается по идентификатору UAC-0082).
- APT28/FANCY BEAR (ГУ ГШ ВС рф (ГРУ), активность отслеживается по идентификатору UAC-0028).
- АРТ29/COZY BEAR (СВР рф, активность отслеживается по идентификатору UAC-0029).
- UNC1151/ GHOSTWRITER (Министерство обороны РБ, активность отслеживается по идентификатору UAC-0051).
- XAKNET, KILLNET, Z-TEAM, CYBERARMYOFRUSSIA_REBORN (пророссийские кибертеррористы, активность отслеживается по идентификаторам UAC-0106, UAC-0108, UAC-0109, UAC-0107 соответственно).
С начала 2022 года россия запустила по меньшей мере несколько семейств вредоносного программного обеспечения в Украине:
- WhisperGate/WhisperKill;
- CaddyWiper;
- Hermetic Wiper;
- Industroyer2;
- DoubleZero
и другие.
Виды кибератак в 2022 году:
- сканирование (сбор информации о системах или сетях);
- попытки эксплуатации уязвимости (попытки вторжения с использованием уязвимости в системе, компоненте или сети);
- вредоносное подключение (попытки соединения от/до IP/URL — адреса, связанного с известным ШПЗ, например C2C или ресурсом распространения компонентов, связанных с активностью бот-сети);
- попытки авторизации или входа в систему (попытка входа в службы или механизмы доступа, неудачная попытка подбора аутентификационных данных или использование ранее скомпроментированных (уже неактуальных данных);
- атаки на отказы в обслуживании Dos/Doss (воздействие на нормальное функционирование системы или сервиса, достигаемое направлением из одного или многих источников в целевой ресурс запросов для перенасыщения пропускной способности или системных ресурсов).
(По данным ОО «Платформа прав человека»).
Примеры кибератак: маскировка под ГСЧС и Генштаб
Специалисты CERT-UA 21 октября обнаружили факт распространения электронных писем, якобы от имени пресс-службы Генштаба ВСУ. В сообщениях содержалась ссылка на загрузку «приказа», перейдя по которой жертва попадала на страницу с сообщением о необходимости обновления программного обеспечения (PDF Reader). Нажатие на кнопку «Загрузка» приводило к загрузке вредоносной программы RomCom.11.
Также российские хакеры маскировались под ГСЧС, рассылая письма с темой «Как распознать дрон-камикадзе». Таким образом, они пытались распространять вредоносную программу DolphinCape, среди функций которой — сбор информации, запуск EXE/DLL файлов, отображение списка файлов и их выгрузка, а также создание и эксфильтрация снимков экрана.
В киберпространстве россия атакует Украину с такой же интенсивностью, как бьет по нам ракетами. Виртуальные атаки противника чаще всего направлены на гражданскую инфраструктуру, энергетику, связь, базы данных и реестры, правительственные сайты. Они намерены создать панику и гуманитарный кризис в Украине, взорвать оборонную способность ВСУ. Российские хакеры имеют большой опыт социальной инженерии, точные данные по «горячим» темам в стране и мастерски все это используют для дезинформации всего мира.
У нас уже есть мощная армия киберволонтеров, профессиональные специалисты кибербезопасности государственного сектора и высокий уровень государственно-частного партнерства благодаря поддержке бизнеса. Вместе с тем необходимо как можно быстрее принять закон о создании и функционировании в системе Минобороны кибервойск, который должен стать основой в сфере киберобороны, вовлечение в эту деятельность киберволонтеров и создание киберрезерва.
Кибератаки на Украину в 2022 году. Информация Государственной службы спецсвязи и защиты информации Украины