Cyberataki jako środek wojenny
Sophos Sophos, Cyber Threat, Cyberangriffe
W związku z rozmieszczeniem rosyjskich wojsk na granicy z Ukrainą oraz rozproszonymi atakami typu DDoS (distributed denial of service), które sporadycznie sporadycznie zakłócają ukraińskie strony rządowe i usługi finansowe wiele mówi się o tym, że należy być przygotowanym na cyberkonflikty, niezależnie od tego, czy są one niezależnie od tego, czy mamy do czynienia z rzeczywistą wojną, czy też nie. Chociaż wszystkie firmy powinny być zawsze przygotowane na ataki ze wszystkich kierunków, powinny ze wszystkich kierunków. Ale pomocne może być wiedzieć, czego szukać, gdy ryzyko ataku wzrasta. Zdecydowałem się przedstawić historię znanych lub Znane lub podejrzewane działania państwa rosyjskiego w środowisku cybernetycznym. środowiska cybernetycznego i ocenić, jakich rodzajów działań należy się spodziewać i jak lub jak organizacje mogą być na nie przygotowane.
Destabilizujące ataki typu denial-of-service
Najwcześniejsza znana aktywność pochodzi z 26 kwietnia 2007r.
kiedy to rząd estoński zniszczył pomnik upamiętniający wyzwolenie
Estonii od nazistów przez Związek Radziecki.
prominentne miejsce. Akcja ta rozwścieczyła rosyjskojęzyczną estońską
Estonii i zdestabilizowało stosunki z Moskwą. Wkrótce
zamieszki na ulicach, protesty przed ambasadą Estonii w Moskwie i
Ambasady Estonii w Moskwie, a także fala DDoS-Angriffen auf estnische Regierungs- i
i serwisów finansowych. W pełni przygotowane narzędzia i
instrukcje jak uczestniczyć w atakach DDoS pojawiły się na rosyjskich
forach niemal natychmiast po przeniesieniu pomnika. Ataki te
były skierowane przeciwko stronom internetowym prezydenta, parlamentu, policji
policji, partii politycznych i głównych mediów.
Wprawdzie do pomocy wzywano innych "rosyjskich patriotów" Estonii, ale nie był to raczej ruch oddolny*. oddolny ruch*, który pojawił się znikąd z narzędziami i listą celów. znikąd. Tę samą taktykę zastosował później Anonymous w obronie Wikileaks, używając narzędzia zwanego Low Orbit Ion Canon (LOIC). 4 maja 2007 roku ataki nasiliły się i dodatkowo ataki nasiliły się i dodatkowo były wymierzone w banki. Dokładnie siedem dni później, o północy, ataki zakończyły się równie gwałtownie, jak się zaczęły. Wszyscy natychmiast obwinili Rosję, ale jest prawie niemożliwe jest przypisanie rozproszonych ataków denial-of-service. Jest to obecnie powszechnie uważa się, że te ataki DDoS były dziełem Russian Business Network (RBN) były dziełem znanej zorganizowanej grupy przestępczej w Rosji, która ma powiązania ze spamem, botnetami i farmaceutycznymi programów partnerskich. Ich usługi były najwyraźniej "używane" przez dokładnie jeden tydzień "zaangażowane" do przeprowadzenia tych ataków.
W dniu 19 lipca 2008 r. rozpoczęła się nowa fala ataków DDoS skierowanych przeciwko witrynom informacyjnym i rządowym w Gruzji. Te ataki w tajemniczy sposób nasiliły się dramatycznie 8 sierpnia 2008 roku, kiedy to 2008 roku, kiedy to wojska rosyjskie najechały na separatystyczną prowincję Osetię Południową. Ataki były początkowo skierowane przeciwko. georgische Nachrichten- und Regierungsseiten, później przeciwko instytucjom finansowym, przedsiębiorstwom, instytucjom edukacyjnym, zachodnim mediom i gruzińskiej stronie hakerskiej. W Estonii pojawiła się strona internetowa z listą celów i serią celów oraz zestawem narzędzi wraz z instrukcją ich użycia. Ponownie próbowano przypisać ataki "patriotom" którzy stawiali opór gruzińskiej agresji. Ale większość ruchu związanego z atakiem pochodziła ze znanego dużego botnetu, przypuszczalnie botnetu, który prawdopodobnie jest kontrolowany przez RPC.
Wyniszczanie cyfrowe i spam
Ataki na Gruzję obejmowały również niszczenie stron internetowych i masowe
stron internetowych oraz masowe kampanie spamowe, które zapychały gruzińskie skrzynki pocztowe.
Gruzińskie skrzynki pocztowe. Wszystko to najwyraźniej służyło
w zdolności Gruzji do obrony i rządzenia sobą.
do obrony i rządzenia, a także uniemożliwienie rządowi komunikowania się
od skutecznej komunikacji z obywatelami i światem zewnętrznym. Niecały rok później.
niż rok później, w styczniu 2009 roku, kolejna seria
ataków DDoS rozpoczęła się w Kirgistanie. Stało się to w tym samym czasie, gdy rząd
Kirgiski rząd decydował o tym, czy przedłużyć dzierżawę amerykańskiej bazy lotniczej w ich kraju.
amerykańskiej bazy lotniczej w ich kraju. Zbieg okoliczności? Wyglądało na to, że
że akcja została ponownie przeprowadzona przez RBN, ale tym razem
nie był to podstęp "patriotów" wyrażających swoją cyfrową opinię.
wyrażenie.
Dezinformacja i izolacja
W ten sposób dochodzimy do najnowszego konfliktu kinetycznego, tj.
Krymu w 2014 r. Od 2009 r. przeciwko Ukrainie toczy się wojna informacyjna na niskim poziomie.
jest prowadzona na niskim poziomie przeciwko Ukrainie, przy czym wiele ataków zbiega się z
zbiegają się z wydarzeniami, które mogą być interpretowane jako zagrożenie dla rosyjskich interesów, np.
takich jak szczyt NATO, negocjacje między Ukrainą a UE w sprawie podpisania umowy o partnerstwie gospodarczym.
oraz negocjacje między Ukrainą a UE w sprawie umowy stowarzyszeniowej.
W 2014 roku New York Times poinformował, że złośliwe oprogramowanie miało “Snake” in das Büro des ukrainischen Premierministers
i kilka odległych ambasad zostało spenetrowanych, gdy rozpoczęły się antyrządowe protesty na Ukrainie
rozpoczęły się protesty antyrządowe. Pod koniec 2013 r. i
początku 2014 roku, ESET opublikował również badania,
dokumentujące ataki na cele wojskowe i media, określane jako "Operation Potao Express".
Podobnie jak wcześniej, domorosła grupa cybernetyczna pn.
cybergrupa o nazwie "Cyber Berkut" przeprowadziła ataki DDoS i defacementy stron internetowych, nie powodując
ale bez wyrządzenia większych szkód. Wywołała jednak duże
zamieszanie, a już samo to ma wpływ w czasach konfliktu.
Na początku konfliktu żołnierze bez insygniów przejęli m.in. Sieci telekomunikacyjne Krymu i jedyny w regionie hub internetowy. hub internetowy w regionie i spowodowali zamrożenie informacji. blackout informacyjny. Napastnicy nadużyli swojego dostępu do sieci do identyfikacji antyrosyjskich protestujących i wysyłania im wiadomości tekstowych i wysyłali im wiadomości SMS o treści: "Drogi abonencie, jesteś jesteś zarejestrowany jako uczestnik masowych zamieszek". Po odizolowaniu zdolności komunikacyjnej Krymu napastnicy manipulowali siecią. Po odizolowaniu możliwości komunikacyjnych Krymu, napastnicy manipulowali również telefonami komórkowymi członków ukraińskiego parlamentu i uniemożliwili im skuteczną odpowiedzieć na inwazję. Jak Military Cyber Affairs wspomniano, kampanie dezinformacyjne były w pełnym rozkwicie: "W jednym W jednym przypadku Rosja zapłaciła jednej osobie za posiadanie kilku różnych tożsamości internetowych. tożsamości internetowych. Jeden z aktorów w Petersburgu stwierdził, że kiedy trzech różnych blogerów z dziesięcioma blogami, jednocześnie komentując inne strony internetowe. komentując na innych stronach internetowych. Inna osoba została zatrudniona do komentowania wiadomości i mediów społecznościowych 126 razy na 12 godzin. komentowania".
Kaleczący prąd
W dniu 23 grudnia 2015 r. energia elektryczna została gwałtownie odcięta około połowa mieszkańców m.in.
Iwano-Frankiwska (Ukraina) miała gwałtownie odcięty prąd. Na ogół
że było to dzieło wspieranych przez państwo rosyjskich hakerów.
hakerów. Pierwsze ataki rozpoczęły się ponad sechs Monate
przed przerwą w dostawie prądu, gdy pracownicy trzech centrów dystrybucji energii
otworzyli zainfekowany dokument Microsoft Office zawierający makro, które miało
złośliwe oprogramowanie o nazwie BlackEnergy, a napastnikom udało się uzyskać zdalny
dane zdalnego dostępu do sieci Supervisory Control and Data Acquisition (SCADA - ang.
i Data Acquisition) i przejąć kontrolę nad urządzeniami sterującymi podstacji.
kontrolę nad sterownikami podstacji w celu otwarcia wyłączników.
otworzyć wyłączniki. Następnie ingerowali w piloty, aby
zapobiec zamknięciu wyłączników w celu przywrócenia zasilania.
przywrócić zasilanie. Ponadto, napastnicy użyli
użyli "wycieraczki" do zniszczenia komputerów używanych do kontroli sieci, a także
komputerów używanych do kontroli sieci, a jednocześnie przeprowadzili telefoniczną
denial-of-service (TDoS) atak poprzez zalewanie numerów obsługi klienta
numery obsługi klienta, frustrując klientów, którzy próbowali zgłaszać przerwy w dostawie prądu.
frustrować klientów, którzy próbowali zgłaszać przestoje.
Prawie rok później, 17 grudnia 2016 roku, w Kijowie ponownie zgasły światła. lights went out again. Przypadek? Prawdopodobnie nie. Tym razem złośliwe oprogramowanie odpowiedzialne za to nazywało się Industroyer/CrashOverride i było weitaus ausgefeilter. Złośliwe oprogramowanie było wyposażone w modułowe komponenty, które mogły skanować sieć w celu znalezienia kontrolerów SCADA i potrafiło mówić w ich językiem. Posiadało również komponent wiper, który służył do kasowania systemu. wipe the system. Atak nie wydawał się możliwy ani przy użyciu BlackEnergy, ani lub znanego narzędzia Wiper KillDisk, ale nie było wątpliwości, kto za nim stoi. nie było wątpliwości, kto za tym stoi.
Ujawnienie wiadomości e-mail
W czerwcu 2016 roku, podczas bliskiej prezydenckiej kampanii wyborczej
między Hillary Clinton a Donaldem Trumpem, na scenie pojawiła się nowa postać o nazwisku Guccifer 2.0
która twierdziła, że zhakowała Demokratyczny Komitet Narodowy
i wyciekły jego e-maile do Wikileaks. Chociaż to
nie jest oficjalnie przypisywany Rosji, to wypłynął wraz z innymi dezinformacji
kampaniami dezinformacyjnymi podczas wyborów w 2016 r. i jest powszechnie uważana za
powszechnie uważa się, że stał za nią Kreml.
Ataki na łańcuch dostaw: NotPetya
Uporczywe ataki Rosji na Ukrainę nie były jeszcze
zakończone, a 27 czerwca 2017 roku spotęgowały sytuację, gdy.
uruchomili nowe złośliwe oprogramowanie o nazwie NotPetya.
NotPetya została przebrana za nowe oprogramowanie ransomware i była dystrybuowana poprzez zhakowany
łańcuch dostaw ukraińskiego dostawcy oprogramowania księgowego.
dostawcy oprogramowania księgowego. W rzeczywistości jednak nie był to wcale ransomware.
Szyfrował komputer, ale nie można go było odszyfrować, co skutecznie
skutecznie wymazując urządzenie i czyniąc je bezużytecznym.
Ofiary były nicht auf ukrainische Unternehmen
ograniczone. Złośliwe oprogramowanie rozprzestrzeniło się na całym świecie w ciągu kilku godzin.
na całym świecie w ciągu kilku godzin, dotykając przede wszystkim organizacje działające na
Ukrainie, gdzie wykorzystywano spartaczone oprogramowanie księgowe.
Szacuje się, że NotPetya spowodowała co najmniej
szacuje się, że NotPetya spowodowała co najmniej 10 mld USD szkód na całym świecie.
ma.
Pod fałszywą flagą
Gdy Zimowe Igrzyska Olimpijskie w PyeongChang zostały otwarte 9 lutego br.
2018, zbliżał się kolejny atak, który miał świat na językach.
world on tenterhooks. Atak złośliwego oprogramowania wyłączył wszystkie kontrolery domeny w całej
i uniemożliwił działanie wszystkiego, od Wi-Fi po kasy biletowe.
wszystko od Wi-Fi po kasy biletowe funkcjonowało prawidłowo.
Cudem zespół IT zdołał odizolować sieć,
przywrócił złośliwe oprogramowanie i usunął je z systemów, dzięki czemu do następnego ranka
tak że do następnego ranka wszystko znów działało, bez jednego błędu.
Następnie przyszedł czas na przeprowadzenie analizy złośliwego oprogramowania,
aby dowiedzieć się, kto próbował zaatakować i wyłączyć
sparaliżować całą sieć olimpijską. Przypisywanie złośliwego oprogramowania jest trudne, ale były
pewne wskazówki, które mogły być pomocne, albo były to fałszywe tropy wskazujące
fałszywe tropy, które miały wskazywać na niezaangażowaną stronę trzecią.
"Dowody" zdawały się wskazywać na Koreę Północną i Chiny, ale to było prawie
to było prawie zbyt oczywiste, by obwiniać Koreę Północną. W końcu
Igor Soumenkov z Kaspersky Lab, dzięki genialnej pracy detektywistycznej.
znalazł gorący trop, który wskazywał bezpośrednio na Moskwę.
Kilka lat później, tuż przed świętami pod koniec 2020 r., ujawniono atak na łańcuch dostaw, którego celem była ujawniono atak na łańcuch dostaw, którego celem było oprogramowanie SolarWinds Oprogramowanie Orion, które służy do zarządzania infrastrukturą sieciową dużych i średnich przedsiębiorstw na całym świata, w tym wielu amerykańskich agencji federalnych. Strona mechanizmy aktualizacji oprogramowania zostały porwane i wykorzystane do zainstalowania backdoora. Znaczenie ofiar w związku z w połączeniu z dostępem zapewnionym przez ukradkowo zainstalowanego backdoora, czyni ten atak potencjalnie jednym backdoor czyni ten atak potencjalnie jednym z największych i najbardziej najbardziej szkodliwych ataków cyberszpiegostwa we współczesnej historii. amerykańskie Federalne Biuro Śledcze (FBI), Agencja Bezpieczeństwa Cybernetycznego i Bezpieczeństwa Infrastruktury (CISA), Biuro Dyrektora ds. Wywiadu Narodowego (ODNI) oraz Agencja Bezpieczeństwa Narodowego (NSA) wydały wspólne oświadczenie, że ich dochodzenia wskazują, że dochodzenia wskazują, że: "...podmiot działający w obszarze Advanced Persistent Threat, prawdopodobnie pochodzenia rosyjskiego, jest odpowiedzialny za większość lub ostatnio odkryte trwające cyberataki na sieci rządowe i pozarządowe rządowe i pozarządowe sieci. W tym momencie zakładamy, że jest to, i nadal będzie, działanie wywiadowcze Akcja i będzie kontynuowana".
Rosyjski konflikt cybernetyczny w 2022 r.
W 2022 roku napięcia cyberpolityczne znów rosną
i są na granicy wybuchu. W dniach 13 i 14 stycznia 2022 r. liczne
ukraińskich stron rządowych zostało sponiewieranych, a systemy zostały skompromitowane
systemy zostały zainfekowane złośliwym oprogramowaniem przebranym za ransomware.
elementy tych ataków przypominają o przeszłości.
złośliwe oprogramowanie nie było ransomware, a jedynie ausgeklügelten Wiper,
co zostało również wykorzystane w atakach NotPetya. Ponadto
pozostawiono wiele fałszywych tropów, sugerujących, że było to dzieło Ukraińców,
że może to być dzieło ukraińskich dysydentów lub polskich partyzantów.
Odwracanie uwagi, mylenie, zaprzeczanie i próby dzielenia wydają się być teraz standardem
We wtorek, 15 lutego 2022 roku, odbyła się konferencja prasowa nt.
15 lutego 2022 roku przeprowadzono serię ataków DDoS na ukraińskie
strony rządowe i wojskowe, a także trzy największe ukraińskie
banków. W bezprecedensowym ruchu, Weiße Haus bereits einige Geheimdienstinformationen freigegeben i przypisał ataki rosyjskiemu GRU.
Rosyjski playbook do wojny cybernetycznej
Co dalej? Niezależnie od tego, czy sytuacja ulegnie dalszej eskalacji, operacje
operacje cybernetyczne z pewnością będą kontynuowane. Od czasu obalenia
Wiktora Janukowycza w 2014 roku, Ukraina była poddawana ciągłej zaporze
ataków, o różnym natężeniu i natężeniu.
Oficjalna "Doktryna wojskowa Federacji Rosyjskiej" z 2010 r.
Federacji" z 2010 roku stwierdza: “die
vorherige Durchführung von Maßnahmen der Informationskriegsführung, um
politische Ziele ohne den Einsatz militärischer Gewalt zu erreichen, und
in der Folge im Interesse einer positiven Reaktion der Weltgemeinschaft
auf den Einsatz militärischer Gewalt." To wskazuje na
kontynuację wcześniejszych zachowań sprzed konfliktu i sprawia, że
ataki DDoS potencjalnym znakiem zbliżającej się odpowiedzi kinetycznej.
Wojna informacyjna jest dla Kremla sposobem na próbę wpłynięcia na
próba sterowania resztą świata w reakcji na działania na Ukrainie
fałszywe tropy, fałszywe atrybucje, zakłócenia komunikacji i
mapowanie, zakłócanie komunikacji i manipulowanie mediami społecznościowymi
są ważnymi elementami rosyjskiej
koncepcji wojny informacyjnej Rosji. Nie muszą one tworzyć trwałej osłony dla
działań na ziemi lub w innych miejscach, ale jedynie stworzyć wystarczające
wystarczającego opóźnienia, zamieszania i sprzeczności, aby inne równoległe operacje mogły osiągnąć swoje cele.
współbieżne operacje mogą osiągnąć swoje cele.
Przygotować się i chronić
Co ciekawe, Stany Zjednoczone i
Brytania próbują uprzedzić niektóre kampanie dezinformacyjne, które
które mogłyby ograniczyć ich skuteczność. Jednak powinniśmy
nie zakładać, że napastnicy przestaną próbować, więc musimy pozostać
więc musimy pozostać przygotowani i czujni.
Na przykład, organizacje w krajach sąsiadujących z Ukrainy powinny być przygotowane na to, że zostaną wciągnięte w oszustwa internetowe, nawet jeśli nie są bezpośrednio nawet jeśli nie działają bezpośrednio na Ukrainie. Wcześniejsze ataki i dezinformacja przeniknęły do Estonii, Polski i innych państw sąsiadujących Estonia, Polska i inne państwa sąsiednie, nawet jeśli tylko jako szkody uboczne. Z perspektywy globalnej powinniśmy się spodziewać m.in. szeregu "patriotycznych" freelancerów w Rosji, tj. przestępców ransomware, autorów phishów i operatorów botnetów, będzie walczyć z jeszcze większą będą działać z jeszcze większą niż zwykle gorliwością przeciwko celom postrzeganym jako skierowane przeciwko ojczyźnie. Jest mało prawdopodobne, że Rosja bezpośrednio zaatakuje członków NATO. Rosja do bezpośredniego ataku na członków NATO i ryzykuje przywołanie Artikel V ryzyko. Ostatnie gesty Rosji mające na celu ograniczenie przestępczości, wykonane przez Federację Rosyjską i jej partnerów we Wspólnoty Niepodległych Państw (WNP), jednak najprawdopodobniej dojdzie prawdopodobnie dobiegną końca, a zamiast tego zagrożenia będą się mnożyć. zagrożenia będą się mnożyć.
O ile głęboka obrona powinna być najnormalniejszą rzeczą na świecie powinna być najnormalniejszą rzeczą na świecie, to jednak jest ona szczególnie ważna, gdy mamy do czynienia ze wzrostem częstotliwości i dotkliwości ataków. Strona dezinformacja i propaganda wkrótce osiągną szczyt, ale musimy być ale musimy mieć się na baczności, zamykać luki w oknach i monitorować nasze monitorować nasze sieci pod kątem wszelkich nietypowych zjawisk. cykle konfliktów ustępują - nawet jeśli wkrótce się skończą. Ponieważ, jak wszyscy wiemy wiemy, że znalezienie dowodów na cyfrowe włamanie może potrwać miesiące. związanych z konfliktem rosyjsko-ukraińskim.
Oryginalny wpis na blogu autorstwa Jörga Schindlera - Senior PR Manager w Sophos