Rosja na pierwszym planie. Microsoft: „90 proc. ataków dotyczyło NATO”

Tegoroczny raport „Microsoft Digital Defense Report” zwraca uwagę na rozpoczęcie nowej ery w cyberprzestrzeni i rosnącą agresję, która często pochodzi ze strony grup powiązanych z autorytarnymi państwami. W oczywisty sposób na pierwszy plan wysuwa się Rosja, która jest agresorem nie tylko wobec Ukrainy, ale także państw ją wspierających oraz UE i NATO.

Ataki dotyczyły w dużej mierze infrastruktury krytycznej (wzrost z 20 proc. do 40 proc., wykrytych przez zespół firmy). Były prowadzone przez aktorów państwowych, co jest jednoznacznie łączone z rosyjską aktywnością i celowaniem w ukraińską infrastrukturę (również wobec innych państw). Przeprowadzano także operacje szpiegowskie wymierzone w m.in. Stany Zjednoczone - jednego z głównych sojuszników Kijowa.

Jak podano, Rosja podejmowała także próby włamywania się do systemów firm IT, by zakłócać ich działanie lub uzyskać informacje przydatne do operacji wywiadowczych od ich klientów - agencji rządowych. Aż 90 proc. rosyjskich ataków dotyczyło państw członkowskich NATO, a niemal połowa (dokładnie 48 proc.) – firm informatycznych, które swoje siedziby mają w państwach NATO.

W tym roku rosyjscy aktorzy państwowi przeprowadzali cyberoperacje, by w ten sposób uzupełnić nimi działania wojskowe w czasie inwazji na Ukrainę. Często stosowano taką samą taktykę również wobec celów poza Ukrainą. Cyberprzestępcy powiązani z Rosją atakowali także ministerstwa spraw zagranicznych państw NATO.

Grupy cyberprzestępcze, powiązane z Rosją kierowały w tym roku cyberoperacje przeciwko Ukrainie, jej sojusznikom i innym celom, których informacje mogły stanowić wartość wywiadowczą. Wykorzystywano do tego takie metody jak m.in.: spear-phishing (zawierający linki lub załączniki ze złośliwym oprogramowaniem); używanie aplikacji dostępnych publicznie, by uzyskać dostęp do sieci; posługiwanie się łańcuchem dostaw usług IT w celu wywierania wpływu na dalszych klientów.

Skąd pochodzą złośliwe cyberataki?

Rosja to jednak nie jedyne państwo, które prowadzi wrogie działania w cyberprzestrzeni. W raporcie Microsoft wskazano również na innych grupy cyberprzestępcze powiązane z państwami:

• Iran - destrukcyjne ataki były m.in. wymierzone w Izrael, USA (amerykańska infrastruktura krytyczna - red.) i państwa UE;
• Korea Północna – grupy powiązane z państwem atakowały m.in. firmy kryptowalutowe, lotnicze, naukowców na całym świecie czy agencje informacyjne;
• Chiny – aktorzy powiązani z tym państwem skupili się na operacjach szpiegowskich i wykradaniu informacji, celując głównie w Stany Zjednoczone, ale też w podmioty w regionie Azji Południowo-Wschodniej; wiele ataków opierało się na luce zero-day.

Cyberprzestępczość przynosi zyski

Rośnie skala cyberprzestępczości – wskazano w raporcie. Dostęp do narzędzi i infrastruktury jest coraz większy, a jednocześnie potrzebne są coraz mniejsze umiejętności, by prowadzić działalność cyberprzestępczą ponad granicami państw.

W ciągu ostatniego roku szacowana liczba ataków na sekundę w celu zdobycia dostępu do danych (hack-and-leak) wzrosła o 74 proc. To napędzało ataki ransomware (atak dla okupu), których skala wzrosła dwukrotnie, choć w Ameryce Północnej i Europie spadła ogólna liczba przypadków zgłaszanych zespołom reagowania w Microsoft. Wzrost zanotowano za to w Ameryce Łacińskiej.

Zaobserwowano również rosnącą skalę ataków phishingowych, a po wykorzystaniu do tego tematu najpierw pandemii COVID-19, wiadomości phishingowe głównie dotyczyły później wojny w Ukrainie.

Operacje wpływu

W raporcie bardzo ważnym punktem są operacje wpływu – wskazano na fakt prowadzenia takich działań szczególnie przez Rosję, która „bardzo ciężko pracowała, aby przekonać swoich obywateli i wiele innych krajów, że jej inwazja na Ukrainę była uzasadniona”.

Innym dezinformacyjnym trendem była propaganda na temat szczepionki na COVID-19. Coraz częściej cyberataki i operacje wpływu były ze sobą skoordynowane.

Wrogie działanie często zakładało trzy etapy: następuje rozpowszechnianie fałszywych narracji w domenie publicznej, a dodatkowo atak za pomocą złośliwego oprogramowania na sieć wybranej firmy/organizacji; rozpoczyna się etap skoordynowanej kampanii, by propagować fałszywe narracje za pośrednictwem wspieranych przez rząd mediów oraz mediów społecznościowych; na koniec następuje wzmacnianie narracji przez państwowe media i kanały wspierające (trolle, boty, tzw. pożytycznych idiotów – red.).

Jak przypomniano, taka operacja wpływu została przeprowadzona np. pod koniec 2021 roku przez Rosję i dotyczyła „broni biologicznej” i „laboratoriów biologicznych”, a narracja ta była wspierana przez Chiny i Iran.

Istotna cyberhigiena

Microsoft w swoim raporcie przypomina, że - w niespokojnych czasach, w których żyjemy - najlepszą obroną jest cyberhigiena. Najważniejsze jest przede wszystkim stosowanie uwierzytelnienia dwuskładnikowego; aktualizowanie oprogramowania zawierającego poprawki bezpieczeństwa, wdrażanie nowoczesnych rozwiązań oraz określanie, kto i dlaczego ma dostęp do danego systemu. Istotne – zdaniem ekspertów firmy – jest wczesne wykrywanie ataków.

„Jak pokazuje tegoroczny raport, nie możemy ignorować aspektu ludzkiego. Brakuje nam specjalistów ds. bezpieczeństwa – to problem, który musi rozwiązać zarówno sektor prywatny, jak i rządy – a organizacje muszą uczynić bezpieczeństwo częścią swojej kultury” – wskazali specjaliści.

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].