Minęło 100 dni od rozpoczęcia inwazji wojsk rosyjskich na Ukrainę. Walce militarnej towarzyszy także wojna w cyberprzestrzeni. Starcia w sferze cybernetycznej stanowią nieodzowny element obecnego konfliktu. Według ekspertów cyberbezpieczeństwa z ESET przygotowania do rosyjskich ataków w sieci prawdopodobnie sięgały na długo przed wkroczeniem sił rosyjskich na teren Ukrainy. Chociaż inwazja wojsk rosyjskich na Ukrainę nastąpiła 24 lutego br., to wrogie działania prowadzone przez Rosję w przestrzeni
cybernetycznej miały miejsce dużo wcześniej.
Już 13 stycznia 2022 roku wiele ukraińskich agencji rządowych i organizacji pozarządowych zostało zaatakowanych przez WhisperGate, złośliwe oprogramowanie, które według firmy Microsoft zostało zaprojektowane tak, aby wyglądało jak oprogramowanie ransomware, ale nie posiadało standardowego mechanizmu przywrócenia danych po zapłaceniu okupu. Badacze ESET określili ten rodzaj zagrożenia jako uniemożliwiający prawidłowe działanie urządzeń, co może raczej sugerować powiązanie z podmiotami państwowymi, niż przejaw działalności gangów cybernetycznych, dla których zysk jest główną motywacją działalności.
14 stycznia ofiarami ataków padły strony internetowe ukraińskich ministerstw i agencji rządowych. Atakujący wykorzystywali przejęte serwisy m.in. do wyświetlania antyukraińskich komunikatów i obrazów. Zarówno rząd, jak i prywatne podmioty, w tym przedsiębiorstwa z branży IT, były celem ataków w dniach poprzedzających inwazję. Jednym z wrogich działań były ataki DDoS, które spowodowały niedostępność kilku istotnych stron internetowych w Ukrainie. W tym samym czasie klienci dużego ukraińskiego banku otrzymywali złośliwe wiadomości SMS, informujące o fałszywych zakłóceniach sieci bankomatów. Natomiast zaledwie godzinę przed inwazją nastąpił poważny cyberatak na satelitę Viasat KA-SAT, który zakłócił szerokopasmowy dostęp do Internetu tysiącom Ukraińców, a także innym europejskim odbiorcom. Zarówno Stany Zjednoczone, jak i Unia Europejska, potępiły ataki i przypisały je Rosji, która ich zdaniem zamierzała w ten sposób osłabić zdolności komunikacyjne ukraińskiego dowództwa w pierwszych godzinach inwazji.
Pierwsze godziny inwazji na Ukrainę
Cyberataki w styczniu i na początku lutego były jedynie wstępem do tego, co miało nadejść. Wieczorem 23 lutego, po atakach DDoS, które zablokowały działanie kilku ważnych ukraińskich stron internetowych, firma ESET wykryła nowe złośliwe oprogramowanie do wymazywania danych – HermeticWiper. Zostało ono wykryte na setkach maszyn w kilku różnych organizacjach na Ukrainie. Dane zawarte w pliku wskazywały, że złośliwy wiper został skompilowany 28 grudnia 2021 roku, co może świadczyć, że atak mógł być przygotowywany od dłuższego czasu.
– Telemetria ESET dostrzegła jeszcze więcej szkodliwych programów do wymazywania danych w ukraińskich systemach. Jednym z nich był IssacWiper, znacznie mniej wyrafinowany od HermeticWiper. Oba programy nie posiadały podobieństw w kodzie i ostatecznie IssacWiper okazał się mniej skuteczny w usuwaniu danych na docelowych urządzeniach – tłumaczy Kamil Sadkowski, starszy specjalista ds. cyberbezpieczeństwa ESET – W tym samym czasie, co HermeticWiper, był używany jeszcze inny program – HermeticRansom, którego działanie zostało zgłoszone we wczesnych godzinach 24 lutego. Program ten to przykład fałszywego ransomware, który nie miał motywów finansowych i został prawdopodobnie użyty jedynie dla odwrócenia uwagi, podczas gdy prawdziwy wiper powodował realne szkody – dodaje.
Kolejne 99 dni
Badacze ESET uważają, że różnego rodzaju cyberataki, w tym te z wykorzystaniem CaddyWiper, który wykryto 14 marca, miały na celu osłabienie zdolności do reagowania na inwazję ukraińskich organizacji. Głównymi ofiarami były podmioty z sektorów finansowego, medialnego i administracji publicznej. ESET przypisał HermeticWiper oraz CaddyWiper grupie Sandworm, zidentyfikowanej przez Stany Zjednoczone jako część rosyjskiej agencji wywiadu wojskowego. Ta sama grupa była również odpowiedzialna za próbę rozmieszczenia Industroyer2 w ataku na podstację wysokiego napięcia w Ukrainie. Działanie grupy zostało jednak wykryte dzięki współpracy firmy ESET i ukraińskiego CERT-u. Zagrożenie to jest nową wersją Industroyera, niebezpiecznego i szkodliwego oprogramowania wykorzystanego w ataku na ukraińską sieć energetyczną w 2016 roku, który przyczynił się do pozostawienia tysięcy ludzi bez prądu.
– W ciągu ostatnich 100 dni wojny miały miejsce różne wrogie działania, w tym ataki DDoS, rozpowszechnianie złośliwego oprogramowania wycelowanego w sieci medialne, organizacje pozarządowe i dostawców usług telekomunikacyjnych, jak i podmioty rządowe. Z całą pewnością rosyjska inwazja na Ukrainę miała znaczny wpływ na krajobraz zagrożeń cybernetycznych, nie tylko na Ukrainie – komentuje Kamil Sadkowski.
Rosja również na celowniku
W pierwszych miesiącach 2022 roku, według danych telemetrycznych ESET, Rosja była krajem najczęściej atakowanym przez oprogramowanie ransomware, z wynikiem na poziomie 12% wszystkich wykrytych przypadków. Taki rozwój wydarzeń wyraźnie różni się od sytuacji, która miała miejsce przed inwazją. Wówczas Rosja i niektórzy członkowie Wspólnoty Niepodległych Państw uniknęli wielu ataków ransomware, prawdopodobnie z powodu przestępców mieszkających w tych krajach lub obawiających się zemsty ze strony Rosji. Natomiast część obecnych ataków była skierowana w rosyjskie podmioty, m.in. agencję kosmiczną Roscosmos i państwową sieć telewizyjno-radiową VGTRK. Za ataki odpowiedzialna była grupa hakerska NB65, wykorzystująca pochodzący z wycieku kod oprogramowania ransomware Conti przypisywany rosyjskiej grupie cyberprzestępczej. Jak wskazuje ekspert ESET, aż 40% wszystkich incydentów z udziałem oprogramowania ransomware blokującym ekrany urządzeń było wycelowanych w Rosję. Niektóre z tych ataków obejmowały wyświetlanie na urządzeniach ukraińskiego pozdrowienia narodowego „Slava Ukraini”.
Cyberprzestępcy korzystają z sytuacji w Ukrainie
Nie tylko kraje biorące udział w wojnie odnotowały gwałtowny wzrost detekcji zagrożeń cybernetycznych, w tym spamu ze wzrostem o niemal 6% do kwietnia br. Tuż po rozpoczęciu konfliktu firma ESET ostrzegała przed coraz częstszymi działaniami oszustów wykorzystujących światowe zaangażowanie w działania wspierające Ukrainę. Wówczas w przestrzeni wirtualnej pojawiły się fikcyjne organizacje charytatywne i fałszywe apele o przekazanie darowizny.
Wojna sprawiła, że Ukraińcy martwili się o dostęp do swoich pieniędzy, a Rosjanie za granicą nie mogli korzystać ze swoich kart płatniczych, jednocześnie odnotowano zwiększone rozprzestrzenianie się szkodliwego oprogramowania związanego z kryptowalutami – mówi ekspert ESET.
Wnioski
Najnowszy raport ESET Threat Report rzuca światło na krajobraz zagrożeń w pierwszych czterech miesiącach 2022 roku. Przede wszystkim opisane w raporcie ataki pokazują destrukcyjny potencjał cyberwojny w połączeniu z konwencjonalną wojną kinetyczną. Jednocześnie nasilenie cyberzagrożeń, z jakimi boryka się Ukraina od stycznia, jest jednocześnie sygnałem ostrzegawczym przed ewentualną eskalacją przyszłych konfliktów.
Spodziewamy się, że ataki wspierające konkretną stronę będą kontynuowane w nadchodzących miesiącach, a nawet nasilą się, ponieważ ideologia i propaganda wojenna stają się głównymi siłami napędowymi ich rozprzestrzeniania się – ostrzega Igor Kabina, inżynier ds. wykrywania zagrożeń w ESET.