Min??o 100 dni od rozpocz?cia inwazji wojsk rosyjskich na Ukrain?. Walce militarnej towarzyszy tak?e wojna w cyberprzestrzeni. Starcia w sferze cybernetycznej stanowi? nieodzowny element obecnego konfliktu. Wed?ug ekspertów cyberbezpiecze?stwa z ESET przygotowania do rosyjskich ataków w sieci prawdopodobnie si?ga?y na d?ugo przed wkroczeniem si? rosyjskich na teren Ukrainy.
Chocia? inwazja wojsk rosyjskich na Ukrain? nast?pi?a 24 lutego br., to wrogie dzia?ania prowadzone przez Rosj? w przestrzeni cybernetycznej mia?y miejsce du?o wcze?niej. Ju? 13 stycznia 2022 roku wiele ukrai?skich agencji rz?dowych i organizacji pozarz?dowych zosta?o zaatakowanych przez WhisperGate, z?o?liwe oprogramowanie, które wed?ug firmy Microsoft zosta?o zaprojektowane tak, aby wygl?da?o jak oprogramowanie ransomware, ale nie posiada?o standardowego mechanizmu przywrócenia danych po zap?aceniu okupu. Badacze ESET okre?lili ten rodzaj zagro?enia jako uniemo?liwiaj?cy prawid?owe dzia?anie urz?dze?, co mo?e raczej sugerowa? powi?zanie z podmiotami pa?stwowymi, ni? przejaw dzia?alno?ci gangów cybernetycznych, dla których zysk jest g?ówn? motywacj? dzia?alno?ci.
14 stycznia ofiarami ataków pad?y strony internetowe ukrai?skich ministerstw i agencji rz?dowych. Atakuj?cy wykorzystywali przej?te serwisy m.in. do wy?wietlania antyukrai?skich komunikatów i obrazów. Zarówno rz?d, jak i prywatne podmioty, w tym przedsi?biorstwa z bran?y IT, by?y celem ataków w dniach poprzedzaj?cych inwazj?. Jednym z wrogich dzia?a? by?y ataki DDoS, które spowodowa?y niedost?pno?? kilku istotnych stron internetowych w Ukrainie. W tym samym czasie klienci du?ego ukrai?skiego banku otrzymywali z?o?liwe wiadomo?ci SMS, informuj?ce o fa?szywych zak?óceniach sieci bankomatów. Natomiast zaledwie godzin? przed inwazj? nast?pi? powa?ny cyberatak na satelit? Viasat KA-SAT, który zak?óci? szerokopasmowy dost?p do Internetu tysi?com Ukrai?ców, a tak?e innym europejskim odbiorcom. Zarówno Stany Zjednoczone, jak i Unia Europejska, pot?pi?y ataki i przypisa?y je Rosji, która ich zdaniem zamierza?a w ten sposób os?abi? zdolno?ci komunikacyjne ukrai?skiego dowództwa w pierwszych godzinach inwazji.
Pierwsze godziny inwazji na Ukrain?
Cyberataki w styczniu i na pocz?tku lutego by?y jedynie wst?pem do tego, co mia?o nadej??. Wieczorem 23 lutego, po atakach DDoS, które zablokowa?y dzia?anie kilku wa?nych ukrai?skich stron internetowych, firma ESET wykry?a nowe z?o?liwe oprogramowanie do wymazywania danych – HermeticWiper. Zosta?o ono wykryte na setkach maszyn w kilku ró?nych organizacjach na Ukrainie. Dane zawarte w pliku wskazywa?y, ?e z?o?liwy wiper zosta? skompilowany 28 grudnia 2021 roku, co mo?e ?wiadczy?, ?e atak móg? by? przygotowywany od d?u?szego czasu.
Telemetria ESET dostrzeg?a jeszcze wi?cej szkodliwych programów do wymazywania danych w ukrai?skich systemach. Jednym z nich by? IssacWiper, znacznie mniej wyrafinowany od HermeticWiper. Oba programy nie posiada?y podobie?stw w kodzie i ostatecznie IssacWiper okaza? si? mniej skuteczny w usuwaniu danych na docelowych urz?dzeniach – t?umaczy Kamil Sadkowski, starszy specjalista ds. cyberbezpiecze?stwa ESET – W tym samym czasie, co HermeticWiper, by? u?ywany jeszcze inny program – HermeticRansom, którego dzia?anie zosta?o zg?oszone we wczesnych godzinach 24 lutego. Program ten to przyk?ad fa?szywego ransomware, który nie mia? motywów finansowych i zosta? prawdopodobnie u?yty jedynie dla odwrócenia uwagi, podczas gdy prawdziwy wiper powodowa? realne szkody – dodaje.
Kolejne 99 dni
Badacze ESET uwa?aj?, ?e ró?nego rodzaju cyberataki, w tym te z wykorzystaniem CaddyWiper, który wykryto 14 marca, mia?y na celu os?abienie zdolno?ci do reagowania na inwazj? ukrai?skich organizacji. G?ównymi ofiarami by?y podmioty z sektorów finansowego, medialnego i administracji publicznej. ESET przypisa? HermeticWiper oraz CaddyWiper grupie Sandworm, zidentyfikowanej przez Stany Zjednoczone jako cz??? rosyjskiej agencji wywiadu wojskowego. Ta sama grupa by?a równie? odpowiedzialna za prób? rozmieszczenia Industroyer2 w ataku na podstacj? wysokiego napi?cia w Ukrainie. Dzia?anie grupy zosta?o jednak wykryte dzi?ki wspó?pracy firmy ESET i ukrai?skiego CERT-u. Zagro?enie to jest now? wersj? Industroyera, niebezpiecznego i szkodliwego oprogramowania wykorzystanego w ataku na ukrai?sk? sie? energetyczn? w 2016 roku, który przyczyni? si? do pozostawienia tysi?cy ludzi bez pr?du.
W ci?gu ostatnich 100 dni wojny mia?y miejsce ró?ne wrogie dzia?ania, w tym ataki DDoS, rozpowszechnianie z?o?liwego oprogramowania wycelowanego w sieci medialne, organizacje pozarz?dowe i dostawców us?ug telekomunikacyjnych, jak i podmioty rz?dowe. Z ca?? pewno?ci? rosyjska inwazja na Ukrain? mia?a znaczny wp?yw na krajobraz zagro?e? cybernetycznych, nie tylko na Ukrainie – komentuje Kamil Sadkowski.
Rosja równie? na celowniku
W pierwszych miesi?cach 2022 roku, wed?ug danych telemetrycznych ESET, Rosja by?a krajem najcz??ciej atakowanym przez oprogramowanie ransomware, z wynikiem na poziomie 12% wszystkich wykrytych przypadków. Taki rozwój wydarze? wyra?nie ró?ni si? od sytuacji, która mia?a miejsce przed inwazj?. Wówczas Rosja i niektórzy cz?onkowie Wspólnoty Niepodleg?ych Pa?stw unikn?li wielu ataków ransomware, prawdopodobnie z powodu przest?pców mieszkaj?cych w tych krajach lub obawiaj?cych si? zemsty ze strony Rosji. Natomiast cz??? obecnych ataków by?a skierowana w rosyjskie podmioty, m.in. agencj? kosmiczn? Roscosmos i pa?stwow? sie? telewizyjno-radiow? VGTRK. Za ataki odpowiedzialna by?a grupa hakerska NB65, wykorzystuj?ca pochodz?cy z wycieku kod oprogramowania ransomware Conti przypisywany rosyjskiej grupie cyberprzest?pczej. Jak wskazuje ekspert ESET, a? 40% wszystkich incydentów z udzia?em oprogramowania ransomware blokuj?cym ekrany urz?dze? by?o wycelowanych w Rosj?. Niektóre z tych ataków obejmowa?y wy?wietlanie na urz?dzeniach ukrai?skiego pozdrowienia narodowego „Slava Ukraini”.
Cyberprzest?pcy korzystaj? z sytuacji w Ukrainie
Nie tylko kraje bior?ce udzia? w wojnie odnotowa?y gwa?towny wzrost detekcji zagro?e? cybernetycznych, w tym spamu ze wzrostem o niemal 6% do kwietnia br. Tu? po rozpocz?ciu konfliktu firma ESET ostrzega?a przed coraz cz?stszymi dzia?aniami oszustów wykorzystuj?cych ?wiatowe zaanga?owanie w dzia?ania wspieraj?ce Ukrain?. Wówczas w przestrzeni wirtualnej pojawi?y si? fikcyjne organizacje charytatywne i fa?szywe apele o przekazanie darowizny.
Wojna sprawi?a, ?e Ukrai?cy martwili si? o dost?p do swoich pieni?dzy, a Rosjanie za granic? nie mogli korzysta? ze swoich kart p?atniczych, jednocze?nie odnotowano zwi?kszone rozprzestrzenianie si? szkodliwego oprogramowania zwi?zanego z kryptowalutami – mówi ekspert ESET.
Wnioski
Najnowszy raport ESET Threat Report rzuca ?wiat?o na krajobraz zagro?e? w pierwszych czterech miesi?cach 2022 roku. Przede wszystkim opisane w raporcie ataki pokazuj? destrukcyjny potencja? cyberwojny w po??czeniu z konwencjonaln? wojn? kinetyczn?. Jednocze?nie nasilenie cyberzagro?e?, z jakimi boryka si? Ukraina od stycznia, jest jednocze?nie sygna?em ostrzegawczym przed ewentualn? eskalacj? przysz?ych konfliktów.
Spodziewamy si?, ?e ataki wspieraj?ce konkretn? stron? b?d? kontynuowane w nadchodz?cych miesi?cach, a nawet nasil? si?, poniewa? ideologia i propaganda wojenna staj? si? g?ównymi si?ami nap?dowymi ich rozprzestrzeniania si? – ostrzega Igor Kabina, in?ynier ds. wykrywania zagro?e? w ESET.
