Упс! Не вдала спроба:(
Будь ласка, спробуйте ще раз.

Як росія веде кібервійну проти України та НАТО

Христина Коновалова
Христина Коновалова journalist, editor
17 лютого 2023 7 хвилин читання

Google опублікував звіт «Туман війни: як український конфлікт змінив ландшафт кіберзагроз». Автори виявили, як росія та її кіберугруповання проводять кампанії проти України та країн НАТО. SPEKA розповідає про головне.

Кібератаки росії проти України та країн НАТО Кібератаки росії проти України та країн НАТО

Як росія намагається отримати перевагу у кіберпросторі

Фішингові кампанії активізувалися ще у 2021 році.  За два роки (2020-2022) фішинг проти України зріс на 250%, проти країн НАТО — на 300%.

За цей час ворожі кібергрупи організували низку кампаній в Україні, щоб покращити збір розвідданих, розгорнути атаки на державні та військові установи й критичну інфраструктуру, а також трансформувати інформаційне середовище на користь москви.

Які хакерські групи атакують Україну

Frozenlake

  • Псевдоніми: APT28, Sofacy, Fancy Bear, Strontium, Sednit. 
  • Атрибуція: головне розвідувальне управління (гру) росії. 
  • Активна від 2004 року.
  • Кібершпигунство проти урядів, військових, ЗМІ, технологічних організацій. 
  • Хакери атакували національний комітет Демократичної партії під час виборів у США (2016), а також ядерні та хімічні об'єкти США та ЄС (2014-2018).

Frozenbarents

  • Псевдоніми: Sandworm, Voodoo Bear, Iridium. 
  • Атрибуція: збройні сили росії, гру росії. 
  • Активна від 2009 року.
  • Займається кібершпигунством, деструктивними атаками. Хакери працюють по цілях в Україні, часто разом з Frozenlake. 
  • Група атакувала енергосектор України (2015-2016), запускала вірус NotPetya (2017).

Coldriver

  • Псевдоніми: Gossamer bear, Callisto Group, Seaborgium, TA446. 
  • Атрибуція: росія. 
  • Активна від 2015 року.
  • Проводить фішингові кампанії проти оборонного сектору, неурядових організацій, аналітичних центрів. 
  • Хакери націлені на країни НАТО, український уряд та організації, які підтримують Україну.

Frozenvista 

  • Псевдонім: UNC2589. 
  • Атрибуція: росія. 
  • TAG вперше помітила Frozenvista на початку 2021 року. Тоді група надсилала фішингові листи про COVID-19 фармацевтичним компаніям і державним організаціям по всьому світу.
  • Організовувала фішингові кампанії в Україні та поширювала шкідливе ПЗ

Pushcha

  • Псевдонім: UNC1151. 
  • Атрибуція: білорусь
  • Активна від 2016 року.
  • Займається кібершпигунством. 
  • Націлена на журналістів, медіа та політиків в Україні, Литві, Латвії, Польщі та Німеччині. Також просуває російські інтереси.

Summit 

  • Псевдоніми: Turla Team, Snake, Uroburos, Venomou, Venomous Bear, UNC4210. 
  • Атрибуція: федеральна служба безпеки росії. 
  • Активна від 2006 року.
  • Працює проти військових, оборонних і державних організацій. Основні цілі — в Європі, на Близькому Сході, у Центральній Азії та США. 
  • Проводила кампанію проти армії США з використанням шпигунського ПЗ Agent.BTZ (2008). 

Дві схеми хакерів проти України:

  • 1
    Запускають хвилю шкідливого програмного забезпечення. Більшість атак сталася у січні-квітні 2022 року. 
  • 2
    Намагаються отримати максимальний доступ до мереж жертви, щоб викрасти конфіденційну інформацію та оприлюднити її, провести деструктивні кібератаки чи інформ-операції.

Які цілі атакують російські кіберзлочинці

Кібергрупи часто використовують фішинг проти користувачів Gmail та облікових записів із кодом домену верхнього рівня. В Україні це @gov.ua.

Хакери атакують користувачів Gmail та власників пошт на доменах @gov.ua Хакери атакують користувачів Gmail та власників пошт на доменах @gov.ua

З 2021 по 2022 рік росія атакувала понад 150 військових і державних структур на доменах gov.ua та mil.gov.ua. Цілями були військові та дипломатичні організації, державні органи, критична інфраструктура. 

Хакери використовують проти українців шпигуньскі програми та фішинг Хакери використовують проти українців шпигуньскі програми та фішинг

Приклади фішингу та поради із захисту

  • У березні 2022 року хакери надіслали хвилю фішингових листів користувачам ukr.net, які містили посилання на домени, що контролювали зловмисники.
  • У травні 2022 року кіберзлочинці використали для атаки на українських користувачів новий варіант шкідливого ПЗ. Хакери розіслали листи з zip-файлами (наприклад, ua_report.zip), який міг красти збережені паролі з Chrome, Edge, Firefox.

Команда Google намагається попередити такі кампанії. Одного разу вона ідентифікувала шкідливі вебсайти та домени і додала їх у режим безпечного перегляду. Google (за потреби) сповіщає користувачів Gmail і Workspace, що вони були жертвами атаки. 

Автори звіту рекомендують вмикати Google Account Level Enhanced, а також нагадують вчасно оновлювати ПЗ.

Як росія здійснює інформаційні операції

Ворог використовує державні ЗМІ, таємні платформи та акаунти, щоб:

  • Підірвати довіру до українського уряду;
  • Позбавити Україну міжнародної підтримки;
  • Посилити підтримку війни в росії.

Зокрема, створює сюжети або статті, що містять дезінформацію, на платформах YouTube та «Новини Google». Команда Google відстежує і регулярно вимикає облікові записи, що пов'язані із скоординованою публікацією дезінформації та відповідними коментарями, зокрема зупиняє YouTube-канали, блоги, облікові записи AdSense та видаляє домени зі сторінок новин.

Як кіберзлочинці відреагували на війну в Україні

24 лютого зруйнувалася екосистема кіберзлочинців, оскільки вони почали висловлювати політичні погляди, а саме:

  • Деякі групи заявили про прихильність до України або до росії;
  • Інші поділилися за геополітичними ознаками; інші поділилися за геополітичними ознаками;
  • Відомі оператори припинили роботу.

Наприклад, група Conti, що заробляла на використанні програм-вимагачів, розкололася за політичними та географічними ознаками. Вона оголосила про підтримку росії та погрожувала вдарити по критичній інфраструктурі країн, які виступили проти росії. Але заява призвела до внутрішніх розбіжностей у Conti, витоку вихідного коду, а згодом і до закриття групи.

Згодом колишні учасники групи Conti у межах проєкту UAC-0098 атакували українські державні та приватні організації, а також європейські гуманітарні та некомерційні організації. 

 Фішингові кампанії  UAC-0098 в Україні у 2022 році:

 Команда Google зірвала кампанію з понад 10 тис. спам-листів, які нібито надсилала Державна податкова служба України.

19 травня

Фішингові листи від імені Starlink та представників Ілона Маска.

23 травня

Фальшива кампанія оновлень Microsoft, спрямована на широке коло українських організацій, що працюють у технологічному, роздрібному та державному секторах.

19-21 червня

Команда Google зірвала кампанію з понад 10 тис. спам-листів, які нібито надсилала Державна податкова служба України.

0
Прокоментувати
Інші матеріали

Google планує інтегрувати Gemini в Android

Артем Житкевич 13 годин тому

Google тестувала приховування вкладки «Новини» у результатах пошуку

Богдан Камінський 18 годин тому

У ЗСУ представили короткометражний фільм про 10 років війни для дітей — відео

Юлія Мирська 25 лютого 2024 15:53

Вірус-вимагач LockBit почали розповсюджувати через вразливість у ConnectWise

Артем Житкевич 23 лютого 2024 23:14

Google Chrome навчився писати відгуки та проходити опитування за користувача

Артем Житкевич 23 лютого 2024 21:09