Mgła wojny: jak inwazja Rosji na Ukrainę zmieniła krajobraz zagrożeń cybernetycznych

Odkąd niemal rok temu Rosja najechała Ukrainę, nieustannie widzimy, jak ogromną rolę w tej wojnie odgrywają operacje cybernetyczne. Aby przybliżyć znaczenie tych działań w dzisiejszych czasach, publikujemy raport „Fog of War: How the Ukraine Conflict Transformed the Cyber Threat Landscape” (Mgła wojny: jak konflikt między Rosją i Ukrainą zmienił krajobraz zagrożeń cybernetycznych), który opracowaliśmy na podstawie analizy przeprowadzonej przez funkcjonującą w Google grupę analizującą zagrożenia Threat Analysis Group (TAG) oraz platformę Mandiant i organizację Trust & Safety. Raport uwzględnia nowe wnioski oraz analizy retrospektywne dotyczące ataków hakerów wspieranych przez rząd, operacji informacyjnych (IO) oraz podmiotów stwarzających zagrożenie z ekosystemu cyberprzestępczego. Obejmuje także szczegółowe dane na temat wybranych kampanii z 2022 r. realizowanych przez podmioty stwarzające zagrożenie.

Solidarność we wspieraniu Ukrainy 
Od początku wojny rządy, firmy, organizacje obywatelskie i rzesze innych podmiotów pracują bez wytchnienia, wspierając naród ukraiński oraz instytucje tego kraju. Google wspiera te działania i nieustannie ogłasza nowe zobowiązania w ramach pomocy Ukrainie. Przykładem może być przekazanie 50 000 licencji Google Workspace administracji państwowej, udostępnienie systemu szybkiego ostrzegania o nalotach na telefonach z Androidem w regionie, wsparcie dla uchodźców, firm oraz przedsiębiorców, a także podjęcie działań zmierzających do wstrzymania na czas nieokreślony możliwości zarabiania przez rosyjskie państwowe media informacyjne i ograniczenia ich zasięgu.
Jednym z najpilniejszych wyzwań jest jednak fakt, że ukraiński rząd podlega niemal nieustannym atakom cyfrowym. Wkrótce po inwazji rozszerzyliśmy kryteria kwalifikacji do korzystania z usługi Project Shield, naszej bezpłatnej ochrony przed atakami typu DDoS, dzięki czemu strony ukraińskiej administracji państwowej oraz jej ambasady na całym świecie mogły pozostać online i realizować swoje zadania. 
Nadal zapewniamy bezpośrednie wsparcie rządowi Ukrainy oraz podmiotom krytycznej infrastruktury w ramach zespołu Cyber Defense Assistance Collaborative. Obejmuje ono ocenę przypadków naruszenia zasad ochrony, usługi reagowania na incydenty, udostępniane mechanizmy analizy zagrożeń cybernetycznych oraz transformację w sektorze bezpieczeństwa – a wszystko to pomaga wykrywać cyberataki, bronić się przed nimi i łagodzić ich skutki. Ponadto kontynuujemy wdrażanie zabezpieczeń dla użytkowników oraz śledzenie i powstrzymywanie zagrożeń cybernetycznych, tym samym budując świadomość tego zagadnienia wśród osób zajmujących się bezpieczeństwem i użytkowników podwyższonego ryzyka oraz dbając o jakość informacji. 
Ten poziom kolektywnej obrony, w którą zaangażowane są instytucje państwowe, firmy i podmioty z sektora bezpieczeństwa na całym świecie, jest zjawiskiem bezprecedensowym. Chcemy podzielić się wnioskami, jakie wyciągnęliśmy ze współpracy z globalną społecznością osób zajmujących się bezpieczeństwem, aby ułatwić przygotowanie lepszych mechanizmów ochronnych na przyszłość.

Najważniejsze wnioski 

1. Hakerzy wspierani przez rząd rosyjski podjęli agresywne, wielotorowe działania, aby zyskać decydującą przewagę w wojnie toczącej się w cyberprzestrzeni, często z różnym skutkiem. 
Chodzi między innymi o wyraźne przeniesienie uwagi w różnych grupach na Ukrainę, znaczący wzrost liczby niszczycielskich ataków na rząd ukraiński, infrastrukturę cywilną i wojskową, wzmożoną aktywność w zakresie „spear-phishingu” ukierunkowaną na kraje NATO, a także zwiększenie natężenia działań cybernetycznych wspierających różne cele Rosji. Zaobserwowaliśmy na przykład wykradanie i upublicznianie informacji poufnych przez podmioty stwarzające zagrożenie z myślą o propagowaniu określonego przekazu.

Hakerzy wspierani przez rząd rosyjski nasilili działania cybernetyczne w 2021 roku – w okresie poprzedzającym inwazję. W 2022 roku, w porównaniu do roku 2020, Rosja zwiększyła liczbę ataków na użytkowników w Ukrainie o 250%. Kierowanie działań na użytkowników w krajach NATO wzrosło w tym samym okresie o ponad 300%. 

W 2022 roku hakerzy wspierani przez rząd rosyjski atakowali użytkowników w Ukrainie częściej niż w jakimkolwiek innym kraju. Hakerzy koncentrują się w dużym stopniu na instytucjach rządowych i jednostkach wojskowych, ale udaremnione przez nas kampanie wskazują na równie mocne skupianie się na krytycznej infrastrukturze, usługach użyteczności publicznej oraz mediach i przestrzeni informacyjnej.

W zakresie reagowania na incydenty platforma Mandiant odnotowała w pierwszych 4 miesiącach 2022 roku więcej niszczycielskich cyberataków w Ukrainie niż w ciągu 8 wcześniejszych lat, przy czym szczyt ataków miał miejsce na początku inwazji. Po tym okresie obserwowano dużą aktywność, jednak wolumen ataków się zmniejszył, a ich przebieg wydawał się mniej skoordynowany niż w pierwszej fali z lutego 2022 roku. W szczególności ataki niszczycielskie następowały szybciej, gdy hakerzy przejęli lub odzyskali kontrolę, często w wyniku przejęcia infrastruktury brzegowej. W wielu operacjach dało się dostrzec próby godzenia przez Sztab Generalny Sił Zbrojnych Federacji Rosyjskiej (GRU) konkurujących priorytetów: uzyskiwania dostępu, zbierania danych i zakłócania usług w każdej fazie działań.

2. Moskwa prowadzi operacje informacyjne na całej szerokości – od mediów otwarcie sprzyjających rządowi po ukryte platformy i konta – w celu kształtowania publicznego odbioru wojny. 

Te działania nastawione są na 3 cele: 

• Osłabienie pozycji rządu ukraińskiego 
• Naruszenie systemu międzynarodowego wsparcia dla Ukrainy 
• Utrzymanie w Rosji wewnętrznego poparcia dla wojny 

Nasilenie działań wiąże się zawsze z istotnymi punktami w przebiegu konfliktu, takimi jak przygotowanie, inwazja i mobilizacja w Rosji. W Google prowadzimy agresywne działania na poziomie produktów, usług, zespołów i regionów w celu przeciwdziałania tym operacjom, jeśli naruszają nasze zasady, i niszczymy jawne i ukryte kampanie IO, ale wciąż spotykamy się z bezwzględnymi próbami obejścia zasad.

Niejawne rosyjskie operacje informacyjne, które udaremniamy w usługach Google, koncentrują się przede wszystkim na utrzymywaniu w Rosji wewnętrznego poparcia dla wojny w Ukrainie (ponad 90% przypadków w języku rosyjskim).

3. Inwazja spowodowała we wschodnioeuropejskim ekosystemie cyberprzestępczym wyraźną zmianę, która prawdopodobnie będzie miała długofalowy wpływ zarówno na koordynację między grupami przestępczymi, jak i na skalę cyberprzestępczości na świecie. 

Niektóre grupy podzieliły się w zależności od przynależności politycznej i kwestii geopolitycznych, inne utraciły ważnych graczy, a to wpłynie na nasz sposób myślenia o tych grupach i tradycyjne postrzeganie ich możliwości. Widzimy też trend polegający na specjalizacji w ekosystemie ransomware, w którym podmioty łączą różne taktyki, utrudniając jednoznaczną identyfikację. Wojnę w Ukrainie definiują też nasze przewidywania, które jednak się nie sprawdziły – na przykład nie nastąpił zmasowany atak na krytyczną infrastrukturę poza Ukrainą. 
Grupa TAG obserwuje również taktykę ściśle powiązaną z podmiotami stwarzającymi zagrożenie, które działają z pobudek finansowych, wykorzystywanymi w kampaniach ukierunkowanych na cele typowo powiązane z hakerami wspieranymi przez rząd. We wrześniu 2022 roku grupa TAG donosiła o podmiocie stwarzającym zagrożenie, którego działalność pokrywała się z celami obserwowanej przez agencję CERT-UA grupy hakerskiej UAC-0098. Grupa ta w przeszłości opublikowała trojana bankowego IcedID, co doprowadziło do kierowanych przez człowieka ataków typu ransomware. Naszym zdaniem niektórzy członkowie UAC-0098 należeli wcześniej do grupy Conti i obecnie wykorzystują swoje techniki do ataków na Ukrainę.

Co dalej 

• Z dużą dozą pewności twierdzimy, że hakerzy wspierani przez rząd rosyjski będą kontynuować cyberataki na Ukrainę i partnerów z NATO, wspierając realizację rosyjskich celów strategicznych. 
  
• Z dużą dozą pewności twierdzimy, że Moskwa nasili ataki o charakterze destabilizującym i niszczycielskim w odpowiedzi na przebieg działań na froncie, który fundamentalnie zmienia układ sił – realny lub wyobrażony – na korzyść Ukrainy (chodzi między innymi o straty ludzkie, nowe międzynarodowe deklaracje wsparcia politycznego lub wojskowego itp.). Takie ataki będą głównie ukierunkowane na Ukrainę, ale ich zasięg będzie się coraz bardziej rozszerzał na partnerów z NATO. 
  
• Z umiarkowaną dozą pewności twierdzimy, że Rosja będzie utrzymywała tempo i zasięg działań IO, aby osiągnąć cele opisane wyżej, szczególnie w odniesieniu do kluczowych aspektów, takich jak finansowanie międzynarodowe, pomoc wojskowa, referenda wewnętrzne itd. Mniej jasne jest, czy te działania wywrą zamierzony wpływ, czy tylko będą wzmacniały opozycję wobec rosyjskiej agresji.

Jest oczywiste, że obszar cybernetyczny będzie nadal odgrywał istotną rolę w przyszłych konfliktach zbrojnych, uzupełniając tradycyjne formy sztuki wojennej. Mamy nadzieję, że ten raport zostanie odczytany jako wezwanie do przygotowania się do tego, co nas czeka. W Google jesteśmy gotowi działać, współpracując z innymi partnerami na rzecz kolektywnej obrony, a także nieustannego rozwijania i wspierania organizacji, firm, instytucji państwowych oraz użytkowników w bezpiecznym korzystaniu z internetu.
Kliknij tutaj, aby zapoznać się z całym raportem. Specjaliści ds. bezpieczeństwa zainteresowani szkoleniem internetowym mogą zarejestrować się na nie tutaj.