Cyberbezpieczeństwo

Rosja na pierwszym planie. Microsoft: „90 proc. ataków dotyczyło NATO”

wojsko Ukraina
Fot. Defense of Ukraine (@DefenceU)/Twitter

Wojna w Ukrainie sprawiła, że rozpoczęła się nowa era w cyberprzestrzeni, era wojny hybrydowej – wskazują eksperci w najnowszym rocznym raporcie firmy Microsoft. Za cyberatakami coraz częściej stoją aktorzy państwowi, którzy rozwijają różnorodne techniki, by realizować swoją strategię. Rośnie także skala cyberprzestępczości, a poważnym zagrożeniem są operacje wpływu.

Tegoroczny raport „Microsoft Digital Defense Report” zwraca uwagę na rozpoczęcie nowej ery w cyberprzestrzeni i rosnącą agresję, która często pochodzi ze strony grup powiązanych z autorytarnymi państwami. W oczywisty sposób na pierwszy plan wysuwa się Rosja, która jest agresorem nie tylko wobec Ukrainy, ale także państw ją wspierających oraz UE i NATO.

Ataki dotyczyły w dużej mierze infrastruktury krytycznej (wzrost z 20 proc. do 40 proc., wykrytych przez zespół firmy). Były prowadzone przez aktorów państwowych, co jest jednoznacznie łączone z rosyjską aktywnością i celowaniem w ukraińską infrastrukturę (również wobec innych państw). Przeprowadzano także operacje szpiegowskie wymierzone w m.in. Stany Zjednoczone - jednego z głównych sojuszników Kijowa.

Najczęściej atakowane sektory w Ukrainie przez wrogie działania w cyberprzestrzeni
Najczęściej atakowane sektory w Ukrainie przez wrogie działania w cyberprzestrzeni
Fot. Raport Microsoft/ screen CyberDefence24.pl

Jak podano, Rosja podejmowała także próby włamywania się do systemów firm IT, by zakłócać ich działanie lub uzyskać informacje przydatne do operacji wywiadowczych od ich klientów - agencji rządowych. Aż 90 proc. rosyjskich ataków dotyczyło państw członkowskich NATO, a niemal połowa (dokładnie 48 proc.) – firm informatycznych, które swoje siedziby mają w państwach NATO.

W tym roku rosyjscy aktorzy państwowi przeprowadzali cyberoperacje, by w ten sposób uzupełnić nimi działania wojskowe w czasie inwazji na Ukrainę. Często stosowano taką samą taktykę również wobec celów poza Ukrainą. Cyberprzestępcy powiązani z Rosją atakowali także ministerstwa spraw zagranicznych państw NATO.

Grupy cyberprzestępcze, powiązane z Rosją kierowały w tym roku cyberoperacje przeciwko Ukrainie, jej sojusznikom i innym celom, których informacje mogły stanowić wartość wywiadowczą. Wykorzystywano do tego takie metody jak m.in.: spear-phishing (zawierający linki lub załączniki ze złośliwym oprogramowaniem); używanie aplikacji dostępnych publicznie, by uzyskać dostęp do sieci; posługiwanie się łańcuchem dostaw usług IT w celu wywierania wpływu na dalszych klientów.

Państwa i sektory przemysłu najczęściej atakowane przez Rosję
Państwa i sektory przemysłu najczęściej atakowane przez Rosję
Fot. Raport Microsoft/ screen CyberDefence24

Skąd pochodzą złośliwe cyberataki?

Rosja to jednak nie jedyne państwo, które prowadzi wrogie działania w cyberprzestrzeni. W raporcie Microsoft wskazano również na innych grupy cyberprzestępcze powiązane z państwami:

  • Iran - destrukcyjne ataki były m.in. wymierzone w Izrael, USA (amerykańska infrastruktura krytyczna - red.) i państwa UE;
  • Korea Północna – grupy powiązane z państwem atakowały m.in. firmy kryptowalutowe, lotnicze, naukowców na całym świecie czy agencje informacyjne;
  • Chiny – aktorzy powiązani z tym państwem skupili się na operacjach szpiegowskich i wykradaniu informacji, celując głównie w Stany Zjednoczone, ale też w podmioty w regionie Azji Południowo-Wschodniej; wiele ataków opierało się na luce zero-day.
Aktywność w cyberprzestrzeni złośliwych aktorów, powiązanych z państwami
Aktywność w cyberprzestrzeni złośliwych aktorów, powiązanych z państwami
Fot. Raport Microsoft/ screen CyberDefence24.pl
Sektory przemysłowe atakowane przez aktorów powiązanych z państwami
Sektory przemysłowe atakowane przez aktorów powiązanych z państwami
Fot. Microsoft/ screen CyberDefence24

Cyberprzestępczość przynosi zyski

Rośnie skala cyberprzestępczości – wskazano w raporcie. Dostęp do narzędzi i infrastruktury jest coraz większy, a jednocześnie potrzebne są coraz mniejsze umiejętności, by prowadzić działalność cyberprzestępczą ponad granicami państw.

W ciągu ostatniego roku szacowana liczba ataków na sekundę w celu zdobycia dostępu do danych (hack-and-leak) wzrosła o 74 proc. To napędzało ataki ransomware (atak dla okupu), których skala wzrosła dwukrotnie, choć w Ameryce Północnej i Europie spadła ogólna liczba przypadków zgłaszanych zespołom reagowania w Microsoft. Wzrost zanotowano za to w Ameryce Łacińskiej.

Zaobserwowano również rosnącą skalę ataków phishingowych, a po wykorzystaniu do tego tematu najpierw pandemii COVID-19, wiadomości phishingowe głównie dotyczyły później wojny w Ukrainie.

Czytaj też

Operacje wpływu

W raporcie bardzo ważnym punktem są operacje wpływu – wskazano na fakt prowadzenia takich działań szczególnie przez Rosję, która „bardzo ciężko pracowała, aby przekonać swoich obywateli i wiele innych krajów, że jej inwazja na Ukrainę była uzasadniona”.

Innym dezinformacyjnym trendem była propaganda na temat szczepionki na COVID-19. Coraz częściej cyberataki i operacje wpływu były ze sobą skoordynowane.

Wrogie działanie często zakładało trzy etapy: następuje rozpowszechnianie fałszywych narracji w domenie publicznej, a dodatkowo atak za pomocą złośliwego oprogramowania na sieć wybranej firmy/organizacji; rozpoczyna się etap skoordynowanej kampanii, by propagować fałszywe narracje za pośrednictwem wspieranych przez rząd mediów oraz mediów społecznościowych; na koniec następuje wzmacnianie narracji przez państwowe media i kanały wspierające (trolle, boty, tzw. pożytycznych idiotów – red.).

Jak przypomniano, taka operacja wpływu została przeprowadzona np. pod koniec 2021 roku przez Rosję i dotyczyła „broni biologicznej” i „laboratoriów biologicznych”, a narracja ta była wspierana przez Chiny i Iran.

Czytaj też

Istotna cyberhigiena

Microsoft w swoim raporcie przypomina, że - w niespokojnych czasach, w których żyjemy - najlepszą obroną jest cyberhigiena. Najważniejsze jest przede wszystkim stosowanie uwierzytelnienia dwuskładnikowego; aktualizowanie oprogramowania zawierającego poprawki bezpieczeństwa, wdrażanie nowoczesnych rozwiązań oraz określanie, kto i dlaczego ma dostęp do danego systemu. Istotne – zdaniem ekspertów firmy – jest wczesne wykrywanie ataków.

„Jak pokazuje tegoroczny raport, nie możemy ignorować aspektu ludzkiego. Brakuje nam specjalistów ds. bezpieczeństwa – to problem, który musi rozwiązać zarówno sektor prywatny, jak i rządy – a organizacje muszą uczynić bezpieczeństwo częścią swojej kultury” – wskazali specjaliści.

Czytaj też

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected]

Komentarze

    Czytaj także