Як росія веде кібервійну проти України та НАТО
Google опублікував звіт «Туман війни: як український конфлікт змінив ландшафт кіберзагроз». Автори виявили, як росія та її кіберугруповання проводять кампанії проти України та країн НАТО. SPEKA розповідає про головне.
Як росія намагається отримати перевагу у кіберпросторі
Фішингові кампанії активізувалися ще у 2021 році. За два роки (2020-2022) фішинг проти України зріс на 250%, проти країн НАТО — на 300%.
Які хакерські групи атакують Україну
Frozenlake
- Псевдоніми: APT28, Sofacy, Fancy Bear, Strontium, Sednit.
- Атрибуція: головне розвідувальне управління (гру) росії.
- Активна від 2004 року.
- Кібершпигунство проти урядів, військових, ЗМІ, технологічних організацій.
- Хакери атакували національний комітет Демократичної партії під час виборів у США (2016), а також ядерні та хімічні об'єкти США та ЄС (2014-2018).
Frozenbarents
- Псевдоніми: Sandworm, Voodoo Bear, Iridium.
- Атрибуція: збройні сили росії, гру росії.
- Активна від 2009 року.
- Займається кібершпигунством, деструктивними атаками. Хакери працюють по цілях в Україні, часто разом з Frozenlake.
- Група атакувала енергосектор України (2015-2016), запускала вірус NotPetya (2017).
Coldriver
- Псевдоніми: Gossamer bear, Callisto Group, Seaborgium, TA446.
- Атрибуція: росія.
- Активна від 2015 року.
- Проводить фішингові кампанії проти оборонного сектору, неурядових організацій, аналітичних центрів.
- Хакери націлені на країни НАТО, український уряд та організації, які підтримують Україну.
Frozenvista
Підписуйтеся на наші соцмережі
- Псевдонім: UNC2589.
- Атрибуція: росія.
- TAG вперше помітила Frozenvista на початку 2021 року. Тоді група надсилала фішингові листи про COVID-19 фармацевтичним компаніям і державним організаціям по всьому світу.
- Організовувала фішингові кампанії в Україні та поширювала шкідливе ПЗ.
Pushcha
Summit
- Псевдоніми: Turla Team, Snake, Uroburos, Venomou, Venomous Bear, UNC4210.
- Атрибуція: федеральна служба безпеки росії.
- Активна від 2006 року.
- Працює проти військових, оборонних і державних організацій. Основні цілі — в Європі, на Близькому Сході, у Центральній Азії та США.
- Проводила кампанію проти армії США з використанням шпигунського ПЗ Agent.BTZ (2008).
Дві схеми хакерів проти України:
-
1
Запускають хвилю шкідливого програмного забезпечення. Більшість атак сталася у січні-квітні 2022 року.
-
2
Намагаються отримати максимальний доступ до мереж жертви, щоб викрасти конфіденційну інформацію та оприлюднити її, провести деструктивні кібератаки чи інформ-операції.
Які цілі атакують російські кіберзлочинці
Кібергрупи часто використовують фішинг проти користувачів Gmail та облікових записів із кодом домену верхнього рівня. В Україні це @gov.ua.
З 2021 по 2022 рік росія атакувала понад 150 військових і державних структур на доменах gov.ua та mil.gov.ua. Цілями були військові та дипломатичні організації, державні органи, критична інфраструктура.
Приклади фішингу та поради із захисту
- У березні 2022 року хакери надіслали хвилю фішингових листів користувачам ukr.net, які містили посилання на домени, що контролювали зловмисники.
-
У травні 2022 року кіберзлочинці використали для атаки на українських користувачів новий варіант шкідливого ПЗ. Хакери розіслали листи з zip-файлами (наприклад, ua_report.zip), який міг красти збережені паролі з Chrome, Edge, Firefox.
Команда Google намагається попередити такі кампанії. Одного разу вона ідентифікувала шкідливі вебсайти та домени і додала їх у режим безпечного перегляду. Google (за потреби) сповіщає користувачів Gmail і Workspace, що вони були жертвами атаки.
Як росія здійснює інформаційні операції
Ворог використовує державні ЗМІ, таємні платформи та акаунти, щоб:
- Підірвати довіру до українського уряду;
- Позбавити Україну міжнародної підтримки;
- Посилити підтримку війни в росії.
Зокрема, створює сюжети або статті, що містять дезінформацію, на платформах YouTube та «Новини Google». Команда Google відстежує і регулярно вимикає облікові записи, що пов'язані із скоординованою публікацією дезінформації та відповідними коментарями, зокрема зупиняє YouTube-канали, блоги, облікові записи AdSense та видаляє домени зі сторінок новин.
Як кіберзлочинці відреагували на війну в Україні
24 лютого зруйнувалася екосистема кіберзлочинців, оскільки вони почали висловлювати політичні погляди, а саме:
- Деякі групи заявили про прихильність до України або до росії;
-
Інші поділилися за геополітичними ознаками; інші поділилися за геополітичними ознаками;
-
Відомі оператори припинили роботу.
Наприклад, група Conti, що заробляла на використанні програм-вимагачів, розкололася за політичними та географічними ознаками. Вона оголосила про підтримку росії та погрожувала вдарити по критичній інфраструктурі країн, які виступили проти росії. Але заява призвела до внутрішніх розбіжностей у Conti, витоку вихідного коду, а згодом і до закриття групи.
Фішингові кампанії UAC-0098 в Україні у 2022 році:
Команда Google зірвала кампанію з понад 10 тис. спам-листів, які нібито надсилала Державна податкова служба України.
Фішингові листи від імені Starlink та представників Ілона Маска.
Фальшива кампанія оновлень Microsoft, спрямована на широке коло українських організацій, що працюють у технологічному, роздрібному та державному секторах.
Команда Google зірвала кампанію з понад 10 тис. спам-листів, які нібито надсилала Державна податкова служба України.