Google: Как война в Украине изменила ландшафт киберугроз

Чтобы лучше понять роль киберугроз в войнах, компания Google провела исследования и представила отчет Fog of War< /a> (“Туман войны”). Он касается того, как война в Украине изменила ландшафт киберугроз. Отчет создан на основе анализа Google Threat Analysis Group (TAG), Mandiant и команды Google Trust & Safety. Отчет охватывает новые выводы и ретроспективную информацию о злоумышленниках, поддерживаемых правительством, информационными операциями (IO) и субъектами угроз экосистемы киберпреступников. Он также включает в себя детальные анализы субъектов угроз, на примере конкретных кампаний в 2022 году.

Объединение для поддержки Украины

Украинское правительство почти постоянно подвергается цифровым атакам. Вскоре после вторжения мы расширили доступность Project Shield, бесплатной защиты Google от распределенных атак на отказ в обслуживании (DDoS), чтобы украинские правительственные веб-сайты и посольства во всем мире могли оставаться онлайн и дальше предлагать важные услуги.

Google продолжает оказывать прямую помощь украинскому правительству и субъектам критической инфраструктуры в рамках платформы Cyber Defense Assistance Collaborative (Сотрудничество по поддержке киберзащиты), включая компромиссную оценку, услуги по реагированию на инциденты, совместную разведку по киберугрозам и услуги и смягчать кибератаки и защищаться от них. Кроме того, мы продолжаем внедрять средства защиты пользователей, отслеживать и уничтожать киберугрозы для повышения осведомленности сообщества и пользователей, а также поддержания качества информации.

Ключевые выводы

1. Злоумышленники, имеющие поддержку российского правительства, приложили агрессивные, многосторонние усилия, чтобы получить решающее военное преимущество в киберпространстве, часто с неоднозначными результатами.

Это включает в себя значительное смещение фокуса различных групп на Украину, резкое увеличение использования деструктивных атак на украинское правительство, военную и гражданскую инфраструктуру, всплеск фишинговой деятельности, нацеленной на страны НАТО, и рост киберопераций, направленных на достижение нескольких целей России. К примеру, мы наблюдали, как злоумышленники взламывали и сливали конфиденциальную информацию для продвижения определенного нарратива.

Злоумышленники, поддерживаемые российским правительством, активизировали кибероперации, начиная с 2021 года во время подготовки к вторжению. В 2022 году Россия увеличила таргетинг на пользователей в Украине на 250% по сравнению с 2020 годом. Таргетинг на пользователей в странах НАТО за тот же период вырос более 300%.

В 2022 году злоумышленники, поддерживаемые российским правительством, атаковали пользователей в Украине больше, чем в любой другой стране. Хотя мы видим, что эти злоумышленники сосредотачиваются в значительной степени на украинском правительстве и военных структурах; остановившиеся кампании также демонстрируют фокус на критической инфраструктуре, коммунальных и государственных услугах, а также СМИ и информационном пространстве.

Во время работы по реагированию на инциденты Mandiant наблюдал больше разрушительных кибератак в Украине в первые четыре месяца 2022 года, чем за предыдущие восемь лет, причем пик атак пришелся на начало вторжения. Несмотря на значительную активность после этого периода темпы атак замедлились и были менее скоординированы, чем начальная волна в феврале 2022 года. В частности, деструктивные атаки часто происходили быстрее после того, как злоумышленник получил или восстановил доступ, часто из-за скомпрометированной пограничной инфраструктуры. Многие операции свидетельствуют о попытке Главного управления Генерального штаба вооруженных сил России (ГРУ) сбалансировать на каждом этапе деятельности иногда конкурирующие приоритеты доступа, сбора и уничтожения.

2. Москва использовала весь спектр информационных операций — от откровенно поддерживаемых государством СМИ до закрытых платформ и аккаунтов — чтобы сформировать общественное восприятие войны.

Эти операции имеют три цели:

1. Взорвать украинские власти
2. Сломать международную поддержку Украины
3. Усиливать поддержку России в войне внутри страны

В Google наблюдали всплески активности, связанные с ключевыми событиями войны, такими как наращивание военных сил, вторжение и мобилизация в России. Мы в Google активно работаем над продуктами, командами и регионами, чтобы противостоять этой деятельности, которая нарушает наши правила, и срывать открытые и скрытые информационные операции, но продолжаем сталкиваться с постоянными попытками обойти наши правила.

Скрытые российские информационные операции, которые были предотвращены в продуктах Google, главным образом сосредотачивались на сохранении поддержки россиянами войны в Украине, причем более 90% этих кампаний были на русском языке.

3. Вторжение повлекло за собой заметные изменения в восточноевропейской киберпреступной экосистеме, что, вероятно, будет иметь долгосрочные последствия как для координации между преступными группами, так и для масштабов киберпреступности во всем мире.

Некоторые группы разделились из-за политической приверженности и геополитики, тогда как другие потеряли ведущих операторов, что повлияет на то, как мы думаем об этих группах и нашем традиционном понимании их возможностей. Google также наблюдает тенденцию специализации в экосистеме программ-требителей, которая сочетает тактики различных злоумышленников, что затрудняет окончательное определение конечного автора. Война в Украине также определяется тем, что мы ожидали, но не увидели – например, мы не наблюдали всплеск атак на критическую инфраструктуру за пределами Украины.

TAG также наблюдает тактики, тесно связанные с финансово мотивированными злоумышленниками, которые используются в кампаниях с целью, которая, как правило, связана со злоумышленниками, поддерживаемыми правительством. В сентябре 2022 года TAG сообщила о злоумышленнике, деятельность которого похожа на группуUAC-0098, которая исторически эт связана с банковским трояном IcedID, что приводит к атакам программ-требителей, управляемых людьми. Мы считаем, что некоторые члены UAC-0098 являются бывшими членами группы Conti, перепрофилирующими свои методы для атаки на Украину.

Прогнозы

• Злоумышленники, имеющие поддержку российского правительства, будут продолжать проводить кибератаки против Украины и партнеров НАТО для достижения стратегических целей России.
• Москва усилит разрушительные атаки в ответ на события на поле боя, коренным образом изменяющие баланс сил — реальный или вероятный — в Украине (например, военные потери, новые обязательства иностранных государств относительно политической или военной поддержки и т.п.). Эти атаки, в первую очередь, будут направлены на Украину, но все больше будут распространяться на партнеров НАТО.
• Россия будет продолжать наращивать темпы и масштаб информационных операций для достижения вышеперечисленных целей, особенно с приближением к таким ключевым этапам, как международное финансирование, военная помощь, внутренние референдумы и т.д. Менее понятно то, достигнет ли эта деятельность желаемого эффекта, или просто со временем усилит противодействие российской агрессии.

Совершенно очевидно, что информационные технологии будут продолжать играть неотъемлемую роль в будущих вооруженных конфликтах, дополняя традиционные формы войны. В Google стремятся внести свой вклад в поддержку коллективной обороны и надеемся на сотрудничество с другими, чтобы содействовать дальнейшему развитию и помогать организациям, компаниям, правительствам и пользователям оставаться в безопасности в Интернете.

Нажмите здесь, для просмотра полного отчета.