Майже рік минув з повномасштабного вторгнення росії в Україну. Напередодні річниці компанія Google презентувала звіт Fog of War («Туман війни») щодо того, як війна в Україні змінила ландшафт кіберзагроз. Звіт створено на основі аналізу Google Threat Analysis Group (TAG) і Mandiant. Він охоплює нові висновки та ретроспективну інформацію щодо зловмисників, яких підтримує уряд, інформаційних операцій (IO) та суб’єктів загроз екосистеми кіберзлочинців. Він також включає детальні аналізи суб’єктів загроз, на прикладі конкретних кампаній у 2022 році.
Об’єднання заради підтримки України
З початку війни уряди, компанії, спілки громадянського суспільства та незліченна кількість інших активістів цілодобово працюють задля підтримки українського народу та його установ. У Google підтримали ці зусилля та продовжили оголошувати про нові зобов’язання та підтримку України. Підтримка полягала в наданні 50 000 ліцензій Google Workspace для уряду, систему швидкого сповіщення про повітряну тривогу для Android-смартфонів у регіоні, підтримку біженців, бізнесу та підприємців, а також заходи щодо призупинення монетизації на невизначений термін і обмеження охоплення російських державних ЗМІ.
Проте одна з найактуальніших проблем полягає в тому, що український уряд майже постійно зазнає цифрових атак. Незабаром після вторгнення компанія Google розширила доступність Project Shield, безплатного захисту від розподілених атак на відмову в обслуговуванні (DDoS), щоб українські урядові вебсайти та посольства в усьому світі могли залишатися онлайн і надалі пропонувати важливі послуги.
Компанія продовжує надавати пряму допомогу українському уряду та суб’єктам критичної інфраструктури в рамках платформи Cyber Defense Assistance Collaborative (Співпраця з підтримки кіберзахисту), включно із компромісною оцінкою, послугами з реагування на інциденти, спільною розвідкою щодо кіберзагроз та послугами з трансформації безпеки, щоб виявляти й пом’якшувати кібератаки та захищатися від них. Крім того, компанія Google продовжує впроваджувати засоби захисту для користувачів, відстежувати та знищувати кіберзагрози задля підвищення обізнаності серед спільноти та користувачів, а також підтримки якості інформації.
Цей рівень колективного захисту між урядами, компаніями та зацікавленими сторонами в галузі безпеки по всьому світу безпрецедентний за своїми масштабами. Тому компанія Google вирішила поділитися своїми висновками з глобальною спільнотою безпеки, щоб допомогти підготувати кращий захист у майбутньому.
Ключові висновки
1. Зловмисники, що мають підтримку російського уряду, доклали агресивних, багатосторонніх зусиль, щоб отримати вирішальну військову перевагу в кіберпросторі, часто з неоднозначними результатами.
Це включає значне зміщення фокуса різних груп на Україну, різке збільшення використання деструктивних атак на український уряд, військову та цивільну інфраструктуру, сплеск фішингової діяльності, націленої на країни НАТО, і зростання кібероперацій, спрямованих на досягнення кількох цілей росії. Наприклад, зловмисники зламували та зливали конфіденційну інформацію для просування певного наративу.
Зловмисники, яких підтримує російський уряд, активізували кібероперації, починаючи з 2021 року під час підготовки до вторгнення. У 2022 році росія збільшила таргетинг на користувачів в Україні на 250% порівняно з 2020 роком. Таргетинг на користувачів у країнах НАТО за той самий період зріс понад 300%.
У 2022 році зловмисники, підтримувані російським урядом, атакували користувачів в Україні більше, ніж у будь-якій іншій країні. Хоча ці зловмисники зосереджуються значною мірою на українському уряді та військових структурах; кампанії, які компанія Google зупинила, також демонструють фокус на критичній інфраструктурі, комунальних і державних послугах, а також ЗМІ та інформаційному просторі.
Під час роботи з реагування на інциденти Mandiant спостерігав більше руйнівних кібератак в Україні протягом перших чотирьох місяців 2022 року, ніж за попередні вісім років, причому пік атак припав на початок вторгнення. Попри значну активність після цього періоду, темпи атак уповільнилися та були менш скоординовані, ніж початкова хвиля в лютому 2022 року. Зокрема, деструктивні атаки часто відбувалися швидше після того, як зловмисник отримав або відновив доступ, часто через скомпрометовану прикордонну інфраструктуру. Багато операцій свідчать про спробу Головного управління Генерального штабу збройних сил росії (ГРУ) збалансувати на кожному етапі діяльності пріоритети доступу, збору та знищення, що інколи конкурують між собою.
2. Москва використала весь спектр інформаційних операцій — від ЗМІ, які відверто підтримуються державою, до закритих платформ і акаунтів — щоби сформувати суспільне сприйняття війни.
Ці операції мають три цілі:
- Підірвати українську владу
- Зламати міжнародну підтримку України
- Посилювати підтримку росії у війні всередині країни
Компанія Google спостерігала сплески активності, пов’язані з ключовими подіями війни, такими як нарощування військових сил, вторгнення та мобілізація у росії. В Google активно працювали над продуктами, з командами та в регіонах, щоби протистояти цій діяльності та зривати відкриті та приховані інформаційні операції, але продовжують стикатися з постійними спробами обходу.
Приховані російські інформаційні операції, головним чином зосереджувалися на збереженні підтримки росіянами війни в Україні, причому понад 90% цих кампаній були російською мовою.
3. Вторгнення спричинило помітні зміни в східноєвропейській кіберзлочинній екосистемі, що, ймовірно, матиме довгострокові наслідки як для координації між злочинними групами, так і для масштабів кіберзлочинності в усьому світі.
Деякі групи розділилися через політичну прихильність і геополітику, тоді як інші втратили провідних операторів. Компанія Google також спостерігала тенденцію щодо спеціалізації в екосистемі програм-вимагачів, яка поєднує тактики різних зловмисників, що ускладнює остаточне визначення кінцевого автора. Війна в Україні також визначається тим, чого компанія Google очікувала, але не побачила – наприклад, не спостерігався сплеск атак на критичну інфраструктуру за межами України.
TAG також спостерігає тактики, тісно пов’язані з фінансово вмотивованими зловмисниками, які використовуються в кампаніях із метою, яка, як правило, пов’язана зі зловмисниками, яких підтримує уряд. У вересні 2022 року TAG повідомила про зловмисника, діяльність якого схожа на групу UAC-0098, яка історично пов’язана з банківським трояном IcedID, що призводить до атак програм-вимагачів, керованих людьми. Google вважає, що деякі члени UAC-0098 є колишніми членами групи Conti, які перепрофільовують свої методи для атаки на Україну.
Прогнози
Компанія Google з високою впевненістю оцінює, що зловмисники, що мають підтримку російського уряду, продовжуватимуть проводити кібератаки проти України та партнерів НАТО для досягнення стратегічних цілей росії.
Компанія Google переконана, що москва посилить руйнівні атаки у відповідь на події на полі бою, які докорінно змінюють баланс сил — реальний чи ймовірний — в Україні (наприклад, військові втрати, нові зобов’язання іноземних держав стосовно політичної чи військової підтримки тощо). Ці атаки насамперед будуть спрямовані на Україну, але все більше поширюватимуться на партнерів НАТО.
Компанія Google вважає, що росія продовжуватиме нарощувати темпи та масштаб інформаційних операцій для досягнення наведених вище цілей, особливо з наближенням до таких ключових етапів, як міжнародне фінансування, військова допомога, внутрішні референдуми тощо. Менш зрозумілим є те, чи ця діяльність досягне бажаного ефекту, чи просто з часом посилить протидію російській агресії.
Цілком очевидно, що інформаційні технології продовжуватимуть відігравати невіддільну роль у майбутніх збройних конфліктах, доповнюючи традиційні форми війни. У Google прагнуть зробити свій внесок у підтримку колективної оборони та сподіваються на співпрацю з іншими, щоби сприяти подальшому розвитку та допомагати організаціям, компаніям, урядам і користувачам залишатися в безпеці в Інтернеті.
Натисніть тут, щоб переглянути повний звіт.
БІЛЬШЕ ЦІКАВОГО:
- 5 порад від Google, які допоможуть вам залишатися в безпеці в Інтернеті
- Як ефективно захистити персональні дані в інтернеті
- Новий сайт від Google з порадами для батьків щодо використання технологій
Джерело: GoogleBlog