Przeprowadzone przez Microsoft Digital Threat Analysis Center szczegółowe analizy cyberataków wykorzystywanych w pierwszym roku wojny w Ukrainie, z uwzględnieniem zjawisk obserwowanych w ostatnich miesiącach, dostarczają wniosków na temat dalszych losów tej wojny hybrydowej.
Microsoft udostępnia zgromadzone dane, aby przygotować wszystkie kraje na ryzyko rozprzestrzeniania się ostatnich cyberataków oraz podzielić się zaleceniami, jak mogą one zwiększyć swoje bezpieczeństwo.
Firma wspiera obronę cyfrową Ukrainy od początku rosyjskiej inwazji, a jej eksperci zajmujący się badaniem zagrożeń pozostają zaangażowani w dalsze wykrywanie, ocenę i ochronę przed rosyjskimi cyberatakami i prowokacjami internetowymi
Od początku wojny Rosja użyła co najmniej dziewięciu nowych typów oprogramowania niszczącego dane typu malware (tzw. wiperów) i dwa rodzaje ransomware (złośliwego oprogramowania szyfrującego informacje) przeciwko ponad 100 ukraińskim organizacjom sektora rządowego i prywatnego. Pomimo silnego partnerstwa w zakresie cyberochrony pomiędzy sektorem publicznym i prywatnym, a także gotowości i odporności Ukrainy, które umożliwiły skuteczną obronę przed większością ataków, aktywność Rosji nie ustaje.
Z początkiem 2023 roku Rosja nasiliła ataki szpiegowskie, obierając za cel organizacje w co najmniej 17 krajach europejskich, głównie agencje rządowe. W Ukrainie natomiast kontynuowane są ataki z wykorzystaniem oprogramowania Wiper, którego celem jest bezpowrotne usuwanie informacji, lub nadpisywanie plików, przez co stają się bezużyteczne.
Specjaliści ds. cyberbezpieczeństwa Microsoft nieustannie monitorują rozwój i wdrażanie nowych wariantów ransomware. Pod koniec listopada 2022 roku Microsoft i inne firmy zajmujące się bezpieczeństwem zidentyfikowały nową formę tego oprogramowania, zwaną „Sullivan”, która została użyta przeciwko celom ukraińskim obok ransomware „Prestige”, które Rosja wdrożyła w Ukrainie i w Polsce w październiku 2022 roku. Przeprowadzone analizy sugerują, że Rosja będzie nadal prowadzić ataki szpiegowskie przeciwko Ukrainie i krajom partnerskim Ukrainy, a także ataki destrukcyjne w obrębie Ukrainy i potencjalnie poza nią – w tym wypadku w Polsce, jak to miało miejsce w przypadku ataku „Prestige”, przypisango grupie cyberprzestępców o nazwie Iridium, mających siedzibę w Rosji.
Rosyjska ofensywa hybrydowa obejmuje także narzędzia wpływu na opinię społeczną. Dla przykładu, machina propagandowa w Rosji prowadziła ostatnio działania skierowane w ukraińskich uchodźców rozsianych w całej Europie, próbując przekonać ich, że mogą zostać deportowani i wcieleni do ukraińskiego wojska.
Rosyjska kampania wywierania wpływu przyczyniła się do zwiększenia napięć społecznych w Mołdawii. Rosyjskie media promowały protesty wspierane przez prorosyjską partię polityczną, zachęcając obywateli do żądania od rządu zapłaty za zimowe rachunki za energię. W ramach innej, powiązanej z Rosją kampanii o nazwie „Moldova Leaks”, publikowano rzekome przecieki od mołdawskich polityków, co jest tylko jedną z wielu operacji typu hack-and-leak, polegających na wykradaniu danych z komputerów ofiar i publikowaniu ich w zmanipulowany sposób w celu siania nieufności obywateli Europy wobec ich rządów.
Te i wiele innych przykładów działań znajduje się w nowym raporcie Microsoft Threat Intelligence na temat aktywności rosyjskiej w przestrzeni cyfrowej. Publikacja zwraca również uwagę na szereg towarzyszących im ogólnych trendów.
Po pierwsze, hybrydowa wojna Moskwy w Ukrainie nie poszła zgodnie z planem. Silne zaangażowanie ukraińskich i międzynarodowych obrońców sieci oraz ludność ukraińska zahartowana w walce z rosyjską propagandą nie pozwoliły Kremlowi na szybkie zwycięstwo, którego oczekiwano.
Po drugie, rosyjskie cyberataki zostały dostosowane do celów i wykorzystywanych technik. Miały pomóc w gromadzeniu informacji wywiadowczych na temat Ukrainy oraz wspierających ją krajów, a także przygotować grunt pod ataki w Ukrainie i być może poza nią.
Rozwój nowych form oprogramowania typu ransomware jest tego najlepszym przykładem, a inne obejmują wykorzystanie mediów społecznościowych do sprzedaży ukraińskim odbiorcom pirackiego złośliwego oprogramowania, które umożliwia wstępny dostęp do danych organizacji. Są to także kampanie spearphishingowe, czyli bardziej precyzyjna wersja ataków phishingowych wywołująca u ofiar wrażenie potencjalnej znajomości z tożsamościami, pod które podszywają się atakujący, wymierzone w podatne na ataki serwery stacjonarne w instytucjach rządowych, informatycznych i organizacjach reagujących na katastrofy w Europie. Po trzecie, nie ma granic geograficznych, które byłyby wyłączone z prób rosyjskich ataków.
Ponadto atakujący, znani lub podejrzewani o powiązania z rosyjskimi służbami wywiadowczymi, próbowali uzyskać wstępny dostęp do organizacji rządowych i tych związanych z obronnością nie tylko w Europie Środkowej i Wschodniej, ale również w obu Amerykach.
