Microsoft: росія здійснила сотні кібератак проти України

4 май, 2022 - 17:05Леонид Бараш

Хронологія атак росії проти України Microsoft вказує на нову еру гібридної війни.

Microsoft попереджає, що за кілька тижнів до російського вторгнення 24 лютого шість спонсорованих державою хакерських груп здійснили понад 237 кібератак проти України.

Компанія опублікувала доповідь, в якій детально описується, як російські кібератаки проти України були «сильно пов’язані» або «безпосередньо приурочені» до її військових операцій в країні.

Наприклад, 1 березня декілька київських медіа-компаній були вражені шкідливим ПЗ, що краде інформацію, що співпало з ракетним ударом по київській телевежі того ж дня.

Потім 13 березня російський хакер, якого підтримує уряд, вкрав дані організації з ядерної безпеки, яка пов’язана з захопленням  військами рф Чорнобильської та Запорізької АЕС.

У звіті детальніше розглядається використання росією руйнівного зловмисного ПЗ під час і до вторгнення, перше з яких було виявлено Microsoft у середині січня і названо WhisperGate. За словами компанії, поєднання кібернетики та військових вказує на російську стратегію гібридної війни.

«Використання росією кібератак, здається, тісно пов’язане, а іноді й безпосередньо приурочене до її кінетичних військових операцій, спрямованих на служби та установи, важливі для цивільного населення», – каже Том Берт (Tom Burt), віце-президент корпоративної безпеки та довіри клієнтів Microsoft.

Згідно з повідомленням, за день до вторгнення російських військ в Україну оператори, пов’язані з ГРУ, розпочали руйнівні атаки на сотні систем в українських урядових, IT, енергетичних та фінансових організаціях.

Microsoft виявила 37 деструктивних атак зловмисного ПЗ на Україну в період з 24 лютого по 8 квітня через вісім відомих сімейств шкідливих програм. Серед яких FoxBlade, FiberLake, IsaacWiper/HermeticWiper/SonicVote і CaddyWiper, а також Industroyer2, спрямований на промислові системи управління (АСУ). У багатьох випадках зловмисне ПЗ використовувало утиліту SecureDelete для видалення даних.

Уряд США два тижні тому попередив про підозрювану російську шкідливу програму під назвою Pipedream, яка була налаштована для компрометації обладнання АСУ кількох постачальників.

Українські чиновники на початку цього місяця також заявили, що зупинили кібератаку на енергетичний об’єкт, яка могла призвести до відключення електроенергії до двох мільйонів людей.

«Відомі та підозрювані російські групи 37 разів розгортали шкідливе ПЗ та зловживали легітимними утилітами, щоб знищити дані в цільових системах. SecureDelete — це законна утиліта Windows, яку зловмисники зловживали, щоб остаточно видалити дані з цільових пристроїв», — йдеться у звіті Microsoft.

«Більше 40% руйнівних атак були спрямовані на організації в критично важливих секторах інфраструктури, які могли б мати негативний вторинний вплив на уряд, військові, економіку та людей», – зазначає Microsoft.

Крім того, 32% руйнівних інцидентів торкнулися українських державних організацій на національному, регіональному та міському рівнях.

Трьома основними російськими військовими відомствами, які Microsoft визначає у звіті, є ГРУ, СВР (Служба зовнішньої розвідки росії) і ФСБ. Основними методами початкового доступу були фішинг, використання невиправлених вразливостей та компрометація постачальників ІТ-послуг.

Microsoft стверджує, що російські кібератаки, схоже, «працюють у тандемі» проти цілей військової діяльності. Проте було невизначеним, чи були вони скоординованими, централізованими чи існував лише загальний набір зрозумілих пріоритетів.

«Іноді атаки на комп’ютерну мережу безпосередньо передували військовій атаці, але з нашої точки зору такі випадки були рідкісними. Кібероперації до цих пір узгоджувалися з діями щодо деградації, порушення або дискредитації українських урядових, військових та економічних функцій, забезпечення безпеки опори в критичній інфраструктурі та зменшення доступ української громадськості до інформації», – зазначають в Microsoft.

Берт каже, що після відкриття Microsoft WhisperGate компанія встановила безпечну лінію зв’язку з українськими чиновниками і з тих пір надає підтримку.

Напередодні вторгнення Microsoft також помітила, що російські кібератаки стають дедалі гучнішими та руйнівними і зазвичай посилюються після дипломатичних невдач, пов’язаних з Україною та членами НАТО.

Берт закликав усі організації звернути увагу на попередження, опубліковані Агентством кібербезпеки та інфраструктурної безпеки США (CISA) та іншими урядовими агенціями США через побоювання, що військова підтримка НАТО Україні може призвести до того, що зусилля росії вийдуть за межі українських цілей.

«З огляду на те, що російські загрози відображають і посилюють військові дії, ми вважаємо, що кібератаки будуть продовжувати ескалувати в міру загострення конфлікту. Російським державним втілювачам загроз може бути доручено розширити свої руйнівні дії за межами України, щоб помститися тим країнам, які вирішать надавати більше військової допомоги та вживати більше каральних заходів проти російського уряду у відповідь на триваючу агресію», – попередив Берт.