«Туман війни» – як війна в Україні змінила ландшафт кіберзагроз

Майже рік минув з повномасштабного вторгнення Росії в Україну, і ми продовжуємо спостерігати, як кібероперації відіграють помітну роль у війні. Щоб краще зрозуміти роль кіберзагроз, сьогодні ми презентуємо наш звіт Fog of War («Туман війни») щодо того, як війна в Україні змінила ландшафт кіберзагроз, який створено на основі аналізу Google Threat Analysis Group (TAG), Mandiant і команди Google Trust & Safety. Звіт охоплює нові висновки та ретроспективну інформацію щодо зловмисників, яких підтримує уряд, інформаційних операцій (IO) та суб’єктів загроз екосистеми кіберзлочинців. Він також включає детальні аналізи суб’єктів загроз, на прикладі конкретних кампаній в 2022 році.

Об’єднання заради підтримки України

З початку війни уряди, компанії, спілки громадянського суспільства та незліченна кількість інших активістів цілодобово працюють задля підтримки українського народу та його установ. У Google ми підтримуємо ці зусилля та продовжуємо оголошувати про нові зобов’язання та підтримку України. Це включає в себе надання 50 000 ліцензій Google Workspace для уряду, систему швидкого сповіщення про повітряну тривогу для Android-смартфонів у регіоні, підтримку біженців, бізнесу та підприємців, а також заходи щодо призупинення монетизації на невизначений термін і обмеження охоплення російських державних ЗМІ.

Проте одна з найактуальніших проблем полягає в тому, що український уряд майже постійно зазнає цифрових атак. Незабаром після вторгнення ми розширили доступність Project Shield, нашого безкоштовного захисту від розподілених атак на відмову в обслуговуванні (DDoS), щоб українські урядові веб-сайти та посольства в усьому світі могли залишатися онлайн і надалі пропонувати важливі послуги.

Ми продовжуємо надавати пряму допомогу українському уряду та суб’єктам критичної інфраструктури в рамках платформи Cyber Defense Assistance Collaborative (Співпраця з підтримки кіберзахисту), включно із компромісною оцінкою, послугами з реагування на інциденти, спільною розвідкою щодо кіберзагроз та послугами з трансформації безпеки, щоб виявляти й пом’якшувати кібератаки та захищатися від них. Крім того, ми продовжуємо впроваджувати засоби захисту для користувачів, відстежувати та знищувати кіберзагрози задля підвищення обізнаності серед спільноти та користувачів, а також підтримки якості інформації.

Цей рівень колективного захисту між урядами, компаніями та зацікавленими сторонами в галузі безпеки по всьому світу безпрецедентний за своїми масштабами. Ми хотіли поділитися своїми висновками з глобальною спільнотою безпеки, щоб допомогти підготувати кращий захист у майбутньому.

Ключові висновки

Перший. Зловмисники, що мають підтримку російського уряду, доклали агресивних, багатосторонніх зусиль, щоб отримати вирішальну військову перевагу в кіберпросторі, часто з неоднозначними результатами.

Це включає значне зміщення фокусу різних груп на Україну, різке збільшення використання деструктивних атак на український уряд, військову та цивільну інфраструктуру, сплеск фішингової діяльності, націленої на країни НАТО, і зростання кібероперацій, спрямованих на досягнення кількох цілей Росії. Наприклад, ми спостерігали, як зловмисники зламували та зливали конфіденційну інформацію для просування певного наративу.

Зловмисники, яких підтримує російський уряд, активізували кібероперації, починаючи з 2021 року під час підготовки до вторгнення. У 2022 році Росія збільшила таргетинг на користувачів в Україні на 250% порівняно з 2020 роком. Таргетинг на користувачів у країнах НАТО за той самий період зріс понад 300%.

У 2022 році зловмисники, підтримувані російським урядом, атакували користувачів в Україні більше, ніж у будь-якій іншій країні. Хоча ми бачимо, що ці зловмисники зосереджуються значною мірою на українському уряді та військових структурах; кампанії, які ми зупинили, також демонструють фокус на критичній інфраструктурі, комунальних і державних послугах, а також ЗМІ та інформаційному просторі.

Під час роботи з реагування на інциденти Mandiant спостерігав більше руйнівних кібератак в Україні протягом перших чотирьох місяців 2022 року, ніж за попередні вісім років, причому пік атак припав на початок вторгнення. Незважаючи на значну активність після цього періоду, темпи атак уповільнилися та були менш скоординовані, ніж початкова хвиля в лютому 2022 року. Зокрема, деструктивні атаки часто відбувалися швидше після того, як зловмисник отримав або відновив доступ, часто через скомпрометовану прикордонну інфраструктуру. Багато операцій свідчать про спробу Головного управління Генерального штабу збройних сил Росії (ГРУ) збалансувати на кожному етапі діяльності пріоритети доступу, збору та знищення, що інколи конкурують між собою.

Другий. Москва використала весь спектр інформаційних операцій – від ЗМІ, які відверто підтримуються державою, до закритих платформ і акаунтів – щоби сформувати суспільне сприйняття війни.

Ці операції мають три цілі:

1. Підірвати українську владу
2. Зламати міжнародну підтримку України
3. Посилювати підтримку Росії у війні всередині країни

Ми спостерігали сплески активності, пов’язані з ключовими подіями війни, такими як нарощування військових сил, вторгнення та мобілізація у Росії. Ми в Google активно працюємо над продуктами, з командами та в регіонах, щоби протистояти цій діяльності, яка порушує наші правила, та зривати відкриті та приховані інформаційні операції, але продовжуємо стикатися з постійними спробами обійти наші правила.

Приховані російські інформаційні операції, яким ми запобігли в продуктах Google, головним чином зосереджувалися на збереженні підтримки росіянами війни в Україні, причому понад 90% цих кампаній були російською мовою.

Третій. Вторгнення спричинило помітні зміни в східноєвропейській кіберзлочинній екосистемі, що, ймовірно, матиме довгострокові наслідки як для координації між злочинними групами, так і для масштабів кіберзлочинності в усьому світі.

Деякі групи розділилися через політичну прихильність і геополітику, тоді як інші втратили провідних операторів, що вплине на те, як ми думаємо про ці групи та наше традиційне розуміння їхніх можливостей. Ми також спостерігаємо тенденцію щодо спеціалізації в екосистемі програм-вимагачів, яка поєднує тактики різних зловмисників, що ускладнює остаточне визначення кінцевого автора. Війна в Україні також визначається тим, чого ми очікували, але не побачили – наприклад, ми не спостерігали сплеск атак на критичну інфраструктуру за межами України.

TAG також спостерігає тактики, тісно пов’язані з фінансово вмотивованими зловмисниками, які використовуються в кампаніях із метою, яка, як правило, пов’язана зі зловмисниками, яких підтримує уряд. У вересні 2022 року TAG повідомила про зловмисника, діяльність якого схожа на групу UAC-0098, яка історично пов'язана з банківським трояном IcedID, що призводить до атак програм-вимагачів, керованих людьми. Ми вважаємо, що деякі члени UAC-0098 є колишніми членами групи Conti, які перепрофільовують свої методи для атаки на Україну.

Прогнози

• Ми з високою впевненістю оцінюємо, що зловмисники, що мають підтримку російського уряду, продовжуватимуть проводити кібератаки проти України та партнерів НАТО для досягнення стратегічних цілей Росії.
• Ми переконані, що Москва посилить руйнівні атаки у відповідь на події на полі бою, які докорінно змінюють баланс сил – реальний чи ймовірний – в Україні (наприклад, військові втрати, нові зобов'язання іноземних держав стосовно політичної чи військової підтримки тощо). Ці атаки насамперед будуть спрямовані на Україну, але все більше поширюватимуться на партнерів НАТО.
• Ми вважаємо, що Росія продовжуватиме нарощувати темпи та масштаб інформаційних операцій для досягнення наведених вище цілей, особливо з наближенням до таких ключових етапів, як міжнародне фінансування, військова допомога, внутрішні референдуми тощо. Менш зрозумілим є те, чи ця діяльність досягне бажаного ефекту, чи просто з часом посилить протидію російській агресії.

Цілком очевидно, що інформаційні технології продовжуватимуть відігравати невід’ємну роль у майбутніх збройних конфліктах, доповнюючи традиційні форми війни, і сподіваємося, що цей звіт слугуватиме закликом до дій при підготовці до того, що чекає попереду. У Google ми прагнемо зробити свій внесок у підтримку колективної оборони та сподіваємося на співпрацю з іншими, щоби сприяти подальшому розвитку та допомагати організаціям, компаніям, урядам і користувачам залишатися в безпеці в Інтернеті.

Натисніть тут, щоб переглянути повний звіт. Спеціалісти з безпеки, зацікавлені у вебінарі, можуть зареєструватися тут.