Wojna prowadzona przez Rosję z Ukrainą, która 24 lutego miała swoją rocznicę, to nie tylko wojna militarna. Nieustannie trwa także cyberwojna między tymi krajami. 85% ataków to wymiana cyfrowego ognia między Rosją a Ukrainą, natomiast 15% to ataki na sojuszników, także Polskę. “Oczekuje się, że intensywność i liczba cyberataków Rosji na Ukrainę będzie wzrastać w ciągu najbliższego roku” – przewiduje Ray Canzanese, dyrektor Działu Analiz Ds. Cyberataków z firmy Netskope.
W ciągu ostatniego roku większość rosyjskich cyberataków skierowana była na agencje wojskowe i rządowe oraz na infrastrukturę krytyczną, zwłaszcza na dostawców usług telekomunikacyjnych oraz firmy energetyczne. Inne ataki były bardziej ogólnie skierowane na firmy i osoby w Ukrainie oraz ich sojuszników na całym świecie. Z kolei większość ukraińskich ataków skierowana była na rosyjskie instytucje rządowe, przy czym ataki skupiały się na wyłączaniu stron internetowych Rosji, zakłócaniu usług finansowych i zakłócaniu kampanii dezinformacyjnych.
Najczęstszą techniką infiltracji stosowaną w cyberwojnie jest phishing, przy czym obie strony stosują ukierunkowane kampanie phishingowe, często z towarzyszącymi im exploitami plikowymi lub innymi szkodliwymi ładunkami, wskazują eksperci. Exploit to kod programu służący do przeprowadzenia ataku wykorzystujący luki w zabezpieczeniach powszechnie wykorzystywanych aplikacji. Phishing jest popularny w cyberwojnie, ponieważ jest prosty, mało ryzykowny, skuteczny i wszechstronny. Dobrze opracowana i ukierunkowana wiadomość phishingowa dostarczona za pośrednictwem aplikacji do wiadomości, SMS-ów, poczty e-mail, mediów społecznościowych lub innego kanału może być stosowana przeciwko praktycznie każdemu typowi celu. Po skutecznym phishingu ataki zwykle skupiają się na szpiegostwie lub sabotażu.
W cyberwojnie głównymi celami są szpiegostwo i sabotaż. W ostatnim roku szpiegostwo zwykle przybierało formę RAT-ów i infostealerów. RAT to forma złośliwego oprogramowania wykorzystywana do przejęcia kontroli nad zainfekowanym komputerem. Infostealer służy zaś do wykradzenia cennych informacji ze stacji roboczej po skutecznym dostaniu się do komputera. Sabotaż zwykle przybierał formę ataków DDoS (atak na serwery np. obsługujący strony Web tak by zapchać je sztucznym ruchem i w ten sposób przeciążyć serwery by nie mogły działać), ransomwarów oraz wiperów (złośliwe oprogramowanie, które niszczy dane). W ciągu roku wiele rosyjskich wiperów pojawiło się, aby zaatakować Ukrainę, w tym WhisperGate, HermeticWiper, IsaacWiper i inne. W jednym z ostatnich ataków użyto nowej rodziny ransomware’u, Prestige, aby zaatakować sektory logistyczne i transportowe w Ukrainie, a także w Polsce.
15% cyberataków skierowanych jest przeciwko sojusznikom Ukrainy
Jak już wspomniano, podczas gdy około 85% ataków było skierowanych przeciwko osobom lub organizacjom w Rosji lub w Ukrainie, pozostałe 15% to akcje głównie przeciwko sojusznikom na całym świecie. Podobnie jak ataki w Rosji i w Ukrainie, cyberataki na cele w innych krajach skierowane były również przeciwko krytycznej infrastrukturze i agencjom rządowym.
Największym cyfrowym atakiem rosyjsko-ukraińskiej wojny był NotPetya z 2017 roku, rosyjski wiper skierowany przeciwko Ukrainie, który zainfekował systemy na całym świecie, w tym firm Maersk i Merck, powodując szacowane szkody w wysokości 10 miliardów dolarów. W ciągu roku od rosyjskiej inwazji na Ukrainę nie widzieliśmy jeszcze cyfrowego ataku o takiej skali. Dotychczasowe cyberataki poza Rosją i Ukrainą były przeprowadzone bardzo kierunkowo. Niektóre ataki, w tym wcześniejszy atak na Viasat, były mniej precyzyjne. Ta akcja w zamierzeniu miała na celu przerwanie łączności sieciowej w Ukrainie, atak na Viasat spowodował jednak przerwy w dostawach sygnału w całej Europie.
Cyberwojna będzie bardziej intensywna
Wraz z kontynuacją konfliktu zbrojnego na Ukrainie, tak samo będzie towarzyszyć mu cyberwojna. Oczekuje się, że intensywność fizycznych ataków Rosji na Ukrainę będzie wzrastać w ciągu najbliższego roku, a liczba cyberataków będzie rosła. Im dłużej konflikt będzie trwał, tym bardziej prawdopodobne jest, że sojusznicy na całym świecie zostaną celami ataków, a także bardziej prawdopodobne jest wystąpienie kolejnych zmasowanych ataków.
Dlatego ważne jest, aby jednostki i organizacje pozostały czujne i kontynuowały inwestowanie w solidne środki zapobiegawcze w dziedzinie cyberbezpieczeństwa, aby chronić się przed potencjalnymi cyberatakami, uczulają specjaliści. Kontrole anty-phishingowe i szkolenia są niezbędnymi obronami podczas cyberwojny. Przerywanie prób phishingowych może pomóc zatrzymać cyberatak, zanim spowoduje jakiekolwiek szkody. Agencje rządowe i infrastruktura krytyczna są najbardziej narażone podczas cyberwojny, co uzasadnia dodatkowe inwestycje w obronę cybernetyczną oraz wprowadzenie bardziej rygorystycznych kontroli bezpieczeństwa, aby zredukować zakres ataku. Obrona przed ransomware, zwłaszcza solidne i dobrze przetestowane kopie zapasowe, może również być skuteczną obroną przed niektórymi destrukcyjnymi wiperami, które są typowo używane podczas cyberwojny, podsumowują eksperci ds. cyberbezpieczeństwa.
