Роман Сологуб, генеральний директор ISSP, в ексклюзивній колонці для NV проаналізував активність російських хакерів в Україні за останній рік, а також оцінив, чи були переоціненими кібер спроможності росії напередодні війни.
Початок повномасштабного вторгнення росії в Україну яскраво продемонстрував, що країна-агресорка продовжує використовувати кібернапади як один із інструментів ведення війни.
За останній рік кібератаки синхронізувалися з інформаційно-психологічними операціями (ІПСО), а також конвенційними атаками ворога.
Кібернапади на критичну інфраструктуру не стали для України чимось новим, адже фактично з 2014 року наша держава перебувала на передовій гібридної війни. У цьому контексті можна згадати каскад атак на три найбільших медіахолдинги України (Starlight Media, ТРК «Україна» та Inter Media Group) в 2015 році, атаку на «Прикарпаттяобленерго» в 2015 році із використанням троянської програми BlackEnergy, кібернапад на «Укренерго» в 2016 році, ну і звичайно кібератаку NotPetya напередодні Дня конституції в 2017 році, що залишається найбільшою за кількістю уражених інформаційних систем атакою на ланцюжок постачання (supply chain attack) за всю історію не лише в Україні, але й у всьому світі.
Разом з тим, чимало західних експертів висловлюють думку, що можливості російських спецслужб та спонсорованих нею проксі-хакерів проводити складні кібероперації напередодні війни були дещо переоцінені. Чи дійсно це так? Давайте розбиратися.
Бої на кіберполях
За підрахунками урядової команди реагування на компʼютерні надзвичайні події CERT-UA, за весь 2022 рік було зафіксовано близько 2,1 тисяч кіберінцидентів. А з початку повномасштабної війни — більше 1,5 тисяч.
Основними об'єктами нападу російських кіберзлочинців залишаються енергетичний та державний сектор, банки, телекомкомпанії та медіа.
В ніч на 15 лютого 2022 російські хакери провели найпотужнішу в історії України DDoS-атаку. За оцінками Держспецзв’язку, вона тривала більше 5 годин і була направлена проти веб-ресурсів 15 українських банків, а також ресурсів Міноборони, Збройних сил та Міністерства з питань реінтеграції тимчасово окупованих територій. 23 лютого відбулася повторна атака на низку банківських сайтів та урядових інтернет-ресурсів.
Крім того, вранці 24 лютого всього за годину до повномасштабного вторгнення росіяни атакували супутникову мережу KA-SAT, що керується одним з найбільших у світі операторів комерційних супутників Viasat. Цей напад призвів не тільки до проблем зі зв’язком в Україні, а й до збоїв у роботі вітрових електростанцій німецької енергетичної компанії Enercon.
Очевидно, що основною ціллю описаних вище атак був не комерційний інтерес, а бажання дестабілізувати роботу ключових банківських установ, посіяти паніку, підірвати довіру до державних органів та показати їх неспроможність виконувати свої функції у кризовій ситуації. Можна припустити, що аналогічні цілі мали й кібератаки 13−14 січня 2022 року, коли загалом постраждали веб-ресурси 22 органів державної влади.
За оцінками Укренерго, пік кібератак проти енергетичного сектора також припав на 23−24 лютого — саме на той момент, коли українські електромережі пілотно підключалися до об'єднаної європейської електромережі ENTSO-E.
Загалом лютий-квітень минулого року стали рекордсменами по кількості кібернападів на Україну. За перший місяць війни, за оцінками експертів ISSP, кількість «алертів», тобто спрацювань систем моніторингу, зросла на 60%. Початок війни також характеризувався підвищеною фішинговою активністю та експлуатацією хакерами раніше скомпрометованих систем та облікових записів.
Кібератаки плюс ракетні обстріли
У другій половині року кількість кібератак на українську інфраструктуру суттєво зменшилась, особливо в літній період. Якщо на початку війни Microsoft в середньому фіксувала по три потужні кібератаки на українські організації на тиждень, то починаючи з липня і до кінці 2022 року компанія говорить про невелику або повну відсутність wiper activity — шкідливого ПЗ, яке вражає комп’ютерні системи та знищує дані на них. Певний «сплеск» був зафіксований лише у жовтні.
Mandiant, дочірня компанія Google, що займається інформаційною безпекою та аналітикою кіберінцидентів, дослідила російські деструктивні атаки (destructive attacks), коли жертвою нападу стає не одна, а велика кількість організацій. Так ось, в період з червня по вересень була зафіксована лише одна подібна російська атака, хоча на початку війни їх було по декілька на тиждень.
Активність росіян восени була сфокусована на IT-інфраструктурах енергетичних компаній. Хоча ще у квітні 2022 року було зафіксовано проникнення в інформаційній системи регіональної енергетичної компанії «Вінницяобленерго», а на початку липня російські хакери здійснили кібератаку на активи групи ДТЕК на тлі ракетних обстрілів Криворізької ТЕЦ.
Показово, що до 2022 року російський уряд заперечував причетність до кібератак на енергетичний сектор України. Видається, що під час війни кібероперації по втручанню у роботу енергетичних компаній були сплановані разом з нанесенням ракетних обстрілів об'єктів енергетики України. Причетність росії до перших та других типів атак ніхто не вже не намагався спростовувати.
Чи були спроможності росіян у кіберсфері переоцінені?
Події останнього року продемонстрували, що росія не здатна здійснювати велику кількість складних багатокрокових кібератак на постійні основі протягом довгого часу. На організацію однієї складної кібероперації може знадобитися від трьох місяців до кількох років. При цьому будуть задіяні значні організаційні та людські ресурси.
Таким чином, за кількома невеликими винятками ми так і не побачили дійсно масштабних за кульмінацією кібератак, на які очікували до початку війни.
Разом з тим, не варто недооцінювати спроможності ворога в кіберпросторі. Підготовка до нападу: збір інформації, вибір засобів, розробка шкідливого програмного забезпечення та вивчення вразливостей може тривати значний період часу і протікати без явного контакту із інформаційними ресурсами жертви.
Планування та здійсненні кібероперацій ворогом відбувається постійно і важко порахувати ресурси, які у цьому задіяні. Тому без активних контррозвідувальних дій у кіберпросторі неможливо давати об'єктивну оцінку кіберспроможностей росії із наступальних операцій на даний момент часу. Особливо зважаючи на той факт, що російські хакери вже тривалий час проводять напади на ключові українські підприємства та організації, чимало з яких, на жаль, були успішні.
Також важко сказати скільки закладених механізмів доступу — «сплячих агентів» — все ще чекають свого часу.
Що ж робити?
Саме тому ми наполегливо радимо українському бізнесу не нехтувати кібербезпекою. Побудову ефективної системи захисту варто розпочати з аналізу ризиків та створення плану їхньої мінімізації (risk mitigation plan).
Наступний крок — compromise assessment — пошук скомпрометованих активів інформаційної системи або «сплячих агентів». Можливо, інфраструктура підприємства вже скомпрометована та контролюється зловмисниками, а жертва про це не знає.
Особливо звертаємо увагу розробників програмного забезпечення та постачальників ІТ послуг для державних установ і об'єктів критичної інфраструктури. Ви є найбільш привабливою ціллю для кібератак на ланцюжок постачання, тому маєте здійснювати посилений моніторинг власних систем та розвивати захист інфраструктури.
Пам’ятайте, кібербезпека на рівні організації — це колективна відповідальність, а не тільки задача окремих спеціалістів. Так само і на рівні країни. Успішність України як держави у економічному та військовому плані залежить, у тому числі, і від сукупної оцінки кіберготовності як державних підприємств, так і всього українського бізнесу.
Джерело NV
Comments