Дослідження Google: Як війна в Україні змінила ландшафт кіберзагроз

Щоб краще зрозуміти роль кіберзагроз у війнах, компанія Google провела дослідження і представила звіт Fog of War (“Туман війни”). Він стосується того, як війна в Україні змінила ландшафт кіберзагроз. Звіт який створено на основі аналізу Google Threat Analysis Group (TAG), Mandiant і команди Google Trust & Safety. Звіт охоплює нові висновки та ретроспективну інформацію щодо зловмисників, яких підтримує уряд, інформаційних операцій (IO) та суб’єктів загроз екосистеми кіберзлочинців. Він також включає детальні аналізи суб’єктів загроз, на прикладі конкретних кампаній в 2022 році.

Об’єднання заради підтримки України

Український уряд майже постійно зазнає цифрових атак. Незабаром після вторгнення ми розширили доступність Project Shield, безкоштовного захисту Google від розподілених атак на відмову в обслуговуванні (DDoS), щоб українські урядові веб-сайти та посольства в усьому світі могли залишатися онлайн і надалі пропонувати важливі послуги.

Google продовжує надавати пряму допомогу українському уряду та суб’єктам критичної інфраструктури в рамках платформи Cyber Defense Assistance Collaborative (Співпраця з підтримки кіберзахисту), включно із компромісною оцінкою, послугами з реагування на інциденти, спільною розвідкою щодо кіберзагроз та послугами з трансформації безпеки, щоб виявляти й пом’якшувати кібератаки та захищатися від них. Крім того, ми продовжуємо впроваджувати засоби захисту для користувачів, відстежувати та знищувати кіберзагрози задля підвищення обізнаності серед спільноти та користувачів, а також підтримки якості інформації.

Ключові висновки

1. Зловмисники, що мають підтримку російського уряду, доклали агресивних, багатосторонніх зусиль, щоб отримати вирішальну військову перевагу в кіберпросторі, часто з неоднозначними результатами.

Це включає значне зміщення фокусу різних груп на Україну, різке збільшення використання деструктивних атак на український уряд, військову та цивільну інфраструктуру, сплеск фішингової діяльності, націленої на країни НАТО, і зростання кібероперацій, спрямованих на досягнення кількох цілей Росії. Наприклад, ми спостерігали, як зловмисники зламували та зливали конфіденційну інформацію для просування певного наративу.

Зловмисники, яких підтримує російський уряд, активізували кібероперації, починаючи з 2021 року під час підготовки до вторгнення. У 2022 році Росія збільшила таргетинг на користувачів в Україні на 250% порівняно з 2020 роком. Таргетинг на користувачів у країнах НАТО за той самий період зріс понад 300%.

У 2022 році зловмисники, підтримувані російським урядом, атакували користувачів в Україні більше, ніж у будь-якій іншій країні. Хоча ми бачимо, що ці зловмисники зосереджуються значною мірою на українському уряді та військових структурах; кампанії, які ми зупинили, також демонструють фокус на критичній інфраструктурі, комунальних і державних послугах, а також ЗМІ та інформаційному просторі.

Під час роботи з реагування на інциденти Mandiant спостерігав більше руйнівних кібератак в Україні протягом перших чотирьох місяців 2022 року, ніж за попередні вісім років, причому пік атак припав на початок вторгнення. Незважаючи на значну активність після цього періоду, темпи атак уповільнилися та були менш скоординовані, ніж початкова хвиля в лютому 2022 року. Зокрема, деструктивні атаки часто відбувалися швидше після того, як зловмисник отримав або відновив доступ, часто через скомпрометовану прикордонну інфраструктуру. Багато операцій свідчать про спробу Головного управління Генерального штабу збройних сил Росії (ГРУ) збалансувати на кожному етапі діяльності пріоритети доступу, збору та знищення, що інколи конкурують між собою.

2. Москва використала весь спектр інформаційних операцій — від ЗМІ, які відверто підтримуються державою, до закритих платформ і акаунтів — щоби сформувати суспільне сприйняття війни.

Ці операції мають три цілі:

1. Підірвати українську владу
2. Зламати міжнародну підтримку України
3. Посилювати підтримку Росії у війні всередині країни

В Google спостерігали сплески активності, пов’язані з ключовими подіями війни, такими як нарощування військових сил, вторгнення та мобілізація у Росії. Ми в Google активно працюємо над продуктами, з командами та в регіонах, щоби протистояти цій діяльності, яка порушує наші правила, та зривати відкриті та приховані інформаційні операції, але продовжуємо стикатися з постійними спробами обійти наші правила.

Приховані російські інформаційні операції, яким запобігли в продуктах Google, головним чином зосереджувалися на збереженні підтримки росіянами війни в Україні, причому понад 90% цих кампаній були російською мовою.

3. Вторгнення спричинило помітні зміни в східноєвропейській кіберзлочинній екосистемі, що, ймовірно, матиме довгострокові наслідки як для координації між злочинними групами, так і для масштабів кіберзлочинності в усьому світі.

Деякі групи розділилися через політичну прихильність і геополітику, тоді як інші втратили провідних операторів, що вплине на те, як ми думаємо про ці групи та наше традиційне розуміння їхніх можливостей. Google також спостерігає тенденцію щодо спеціалізації в екосистемі програм-вимагачів, яка поєднує тактики різних зловмисників, що ускладнює остаточне визначення кінцевого автора. Війна в Україні також визначається тим, чого ми очікували, але не побачили – наприклад, ми не спостерігали сплеск атак на критичну інфраструктуру за межами України.

TAG також спостерігає тактики, тісно пов’язані з фінансово вмотивованими зловмисниками, які використовуються в кампаніях із метою, яка, як правило, пов’язана зі зловмисниками, яких підтримує уряд. У вересні 2022 року TAG повідомила про зловмисника, діяльність якого схожа на групу UAC-0098, яка історично пов’язана з банківським трояном IcedID, що призводить до атак програм-вимагачів, керованих людьми. Ми вважаємо, що деякі члени UAC-0098 є колишніми членами групи Conti, які перепрофільовують свої методи для атаки на Україну.

Прогнози

• Зловмисники, що мають підтримку російського уряду, продовжуватимуть проводити кібератаки проти України та партнерів НАТО для досягнення стратегічних цілей Росії.
• Москва посилить руйнівні атаки у відповідь на події на полі бою, які докорінно змінюють баланс сил — реальний чи ймовірний — в Україні (наприклад, військові втрати, нові зобов’язання іноземних держав стосовно політичної чи військової підтримки тощо). Ці атаки насамперед будуть спрямовані на Україну, але все більше поширюватимуться на партнерів НАТО.
• Росія продовжуватиме нарощувати темпи та масштаб інформаційних операцій для досягнення наведених вище цілей, особливо з наближенням до таких ключових етапів, як міжнародне фінансування, військова допомога, внутрішні референдуми тощо. Менш зрозумілим є те, чи ця діяльність досягне бажаного ефекту, чи просто з часом посилить протидію російській агресії.

Цілком очевидно, що інформаційні технології продовжуватимуть відігравати невід’ємну роль у майбутніх збройних конфліктах, доповнюючи традиційні форми війни. У Google прагнуть зробити свій внесок у підтримку колективної оборони та сподіваємося на співпрацю з іншими, щоби сприяти подальшому розвитку та допомагати організаціям, компаніям, урядам і користувачам залишатися в безпеці в Інтернеті.

Натисніть тут, щоб переглянути повний звіт.