Cyberbezpieczeństwo
Cyberwojna trwa. Co najmniej pięć rosyjskich grup hakerskich atakuje Ukrainę
Co najmniej pięć powiązanych z Rosją grup hakerskich atakuje Ukrainę. Ich działania wykryto w ciągu ostatnich ośmiu miesięcy. Działalność cyberprzestępców ukierunkowana jest na ataki zarówno na agencje rządowe, jak i prywatne firmy.
W ciągu ostatnich ośmiu miesięcy Ukrainę atakowało co najmniej pięć różnych grup hakerskich powiązanych z Rosją, których celem stały się zarówno agencje rządowe, jak i prywatne firmy.
Działalność hakerów ukierunkowana jest przede wszystkim na wywoływanie zakłóceń w działaniu atakowanych organizacji, jak i wykradanie wrażliwych informacji.
Jakie grupy hakerskie atakują Ukrainę?
Eksperci z firmy Trustwave z branży cyberbezpieczeństwa wskazują, że od lutego tego roku, kiedy to Rosja dokonała inwazji kinetycznej na Ukrainę, wykryto aktywność m.in. takich grup, jak Gamaredon, Sandworm i Fancy Bear. To gangi powiązane z rosyjskim rządem i działające na jego zlecenie, często w oparciu o współpracę z rosyjskim wywiadem wojskowym GRU i federalną służbą bezpieczeństwa FSB.
Czytaj też
Gangi te posługują się m.in. złośliwym oprogramowaniem typu wiper, pozwalającym na trwałe usunięcie z infrastruktury ofiary przechowywanych w sieci i na stacjach roboczych danych. Ataki tego rodzaju to zdaniem Trustwave próby sabotażu, które trwały przez pierwsze trzy miesiące. Furtką dla cyberprzestępców w większości przypadków były wykradzione z użyciem specjalnego złośliwego oprogramowania hasła dostępowe do systemów IT ofiar.
Regularne operacje szpiegowskie
Według Trustwave, wojna w Ukrainie to czas, w którym Rosja prowadzi z wykorzystaniem grup hakerskich regularne działania szpiegowskie ukierunkowane na naszego wschodniego sąsiada.
Celem jest przede wszystkim pozyskanie wrażliwych danych, jak i dostępu do systemów, które są kluczowe z punktu widzenia działań wywiadowczych i wojskowych Kremla. Dostęp taki nie musi być wykorzystywany od razu – zanim hakerzy zaatakują, mogą przebywać w sieci ofiary przez wiele tygodni, a nawet miesięcy.
Czytaj też
Praktyki takie podejmują przede wszystkim dwie grupy hakerskie – Ember Bear (znana również jako UNC2589) i Invisimole. Gangi te również współpracują z rosyjskim rządem – twierdzą specjaliści Trustwave.
Rosja niczego nie udaje
Zdaniem menedżera ds. badań w Trustwave SpiderLabs Karla Siglera, Rosja nie próbuje nawet ukrywać, że to właśnie ona stoi za cyberatakami na Ukrainę. „Chcą, żeby atrybucja była jasna i z tego powodu myślę, że niewiele nas omija" – stwierdził Sigler cytowany przez serwis Dark Reading .
Nowoczesna cyberbroń narzędziem w czasie wojny
Trustwave wskazuje, że analizy wykonane od 24 lutego, kiedy to Rosja napadła na Ukrainę, dowodzą iż nowoczesna cyberbroń jest dziś oczywistym narzędziem do prowadzenia działań militarnych.
„Obserwowane ataki na Ukrainę dowodzą, że instytucje rządowe, infrastruktura krytyczna, media i sektor prywatny to lukratywne cele dla atakujących, a jako broń mogą zostać wykorzystane nawet sprawdzone narzędzia do testów penetracyjnych" – oceniają analitycy spółki.
Rosyjskie taktyki cyberataków zmieniają się
Trustwave podkreśla, że pół roku trwania wojny dowodzi, iż rosyjskie operacje w cyberprzestrzeni zmieniają się pod kątem taktycznym.
Pierwsze miesiące po inwazji to przede wszystkim destrukcyjne cyberataki, których celem było np. niszczenie danych i sabotaż pracy atakowanych organizacji. Pierwszoplanowe działanie należało wówczas do grup Gamaredon i Sandworm posługujących się wiperami.
Czytaj też
Rosjanom, jak spekuluje firma Trustwave, w pierwszych miesiącach najpewniej wydawało się, że szybko wygrają wojnę – destrukcyjne cyberataki były ukierunkowane na złamanie ukraińskiego oporu.
„Skupili się na tym, żeby wyłączyć wiele systemów i mieli nadzieję, że zakłócenia w ich działalności będą wystarczające, aby doprowadzić szybko do końca konfliktu" – powiedział cytowany wcześniej Sigler. „Kiedy konflikt zaczął rozciągać się na wiele miesięcy, (Rosjanie – red.) skupili się na pozyskiwaniu danych wywiadowczych, aby móc lepiej planować kolejne działania" – dodał.
Trustwave wskazuje, że choć destrukcyjne cyberataki już ustały, to operacje cyberszpiegowskie Rosji wciąż trwają i są realizowane przez co najmniej trzy grupy cyberprzestępcze powiązane z rosyjskim wywiadem wojskowym, służbą wywiadu zagranicznego, a także Federalną Służbą Bezpieczeństwa.
Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].