2024/11/05 16:49:44

Кибервойна России и Украины


Содержание

Основная статья: Кибервойны

2024

Организация 70% сложных кибератак на Россию проукраинскими группировками

Восточно-европейские проукраинские хакерские группировки стоят за 70% сложных кибератак на российские организации с начала 2024 года. Данная статистика была представлена 5 ноября 2024 года по результатам расследований центра исследования киберугроз.

По данным ИБ-компании «Солар», наиболее активными являются группировки Shedding Zmiy, ответственная за 37% атак, и Lifting Zmiy, осуществившая 18% кибернападений. Первая специализируется на шпионаже за российскими организациями с 2022 года, вторая использует уязвимости в публичных сервисах.

70% сложных кибератак на Россию с начала 2024 года были организованы проукраинскими группировками

Инженер группы расследования инцидентов Solar 4RAYS Геннадий Сазонов заявил, что уровень злоумышленников значительно вырос, и в следующем году ожидается увеличение числа инцидентов, направленных на кражу конфиденциальных данных и уничтожение ключевой инфраструктуры.

По данным исследования, 54% атак в 2024 году были связаны со шпионажем, что превышает показатель 2023 года (37%). Финансовые мотивы, включая вымогательство и майнинг криптовалют, составили 20% инцидентов, а на уничтожение данных пришлось 11% атак.

За 10 месяцев 2024 года эксперты выявили деятельность девяти хакерских группировок и кластеров. В отличие от 2023 года, когда активность была распределена между большим количеством групп, в 2024 году наблюдается концентрация атак у меньшего числа злоумышленников.

Специалисты отмечают различие в тактике группировок: восточно-европейские хакеры стремятся к максимальному разрушению скомпрометированной инфраструктуры, тогда как азиатские группы предпочитают длительное скрытное присутствие для сбора информации.

Доля хулиганских и хактивистских атак сократилась с 46% в 2023 году до 11% в 2024 году, что свидетельствует о переходе к более целенаправленным и профессиональным кибернападениям.[1]

Хакеры взломали сайт администрации Твери и отключили платную парковку в городе

В конце октября 2024 года киберпреступники атаковали ИТ-инфраструктуру администрации Твери. В результате вторжения нарушилась работа различных интернет-сервисов, включая систему оплаты парковок в режиме онлайн. Подробнее здесь

В США разыскивают россиянина, которого обвиняют в уничтожении ИТ-систем правительства Украины

26 июня 2024 года Министерство юстиции США сообщило о том, что против гражданина России Амина Стигала выдвинуты обвинения в попытке взлома и уничтожения компьютерных систем ряда правительственных организаций Украины. За информацию о местонахождении мужчины американские власти предлагают вознаграждение в размере до $10 млн. Подробнее здесь

Хакеры разместили на 100 сайтах Украины цитату Путина и поздравление с 9 мая

9 мая 2024 года российские хакеры разместили на сайтах Украины цитату президента РФ Владимира Путина и поздравления с Днем Победы. В общей сложности взломаны более 100 украинских интернет-ресурсов — преимущественно сайты вузов, лицеев и других учебных заведений.

Об акции, как сообщает «РИА Новости», объявил один из участников хакерской группировки «Килобайт V». По его словам, дефейс (хакерская атака, нацеленная на искажение или подмену основной страницы сайта) не помешал работе взломанных ресурсов. На главных страницах украинских сайтов был размещен фотоколлаж с несколько сокращенной цитатой Путина.

«
Мы всегда — и вы знаете мою позицию — считали украинский народ братским народом. Я и сейчас так думаю. И то, что происходит, — это, конечно, трагедия, наша общая трагедия! Но она не является результатом нашей политики. Дорогие украинцы, наши деды бок о бок сражались с фашизмом, сегодня день нашей общей победы, с который мы вас поздравляем! С 9 Мая! С Днем Победы!, — сказал Путин.
»

Хакеры подчеркнули, что их основной целью было поздравить украинскую молодежь с Днем Победы и напомнить ей об общей победе над нацизмом. Участники группировки «Килобайт V» призвали тех украинских военнослужащих, кто не хочет умирать за киевский режим, воспользоваться радиочастотой 149.200 с позывным «Волга», через которую можно выйти на связь с ВС России и договориться о том, как сложить оружие и сдаться российским военным.[2]

Украинская система для пересечения границы «Шлях» не работает из-за кибератаки

Украинская система для пересечения границы «Шлях» не работает из-за кибератаки. Об этом Госслужба Украины по безопасности на транспорте (Укртрансбезопасность) сообщила 25 января 2024 года. Подробнее здесь.

Украинский «Нафтогаз» отключил ИТ-системы после масштабной кибератаки на дата-центр

25 января 2024 года корпорация «Нафтогаз Украины» объявила о хакерской атаке на свою ИТ-инфраструктуру. Холдинг вынужден был отключить часть сервисов. Подробнее здесь.

Российские хакеры находились в системе «Киевстара» с мая 2023 года - СБУ

В начале января 2024 года начальник управления кибербезопасности Службы безопасности Украины (СБУ) Илья Витюк рассказал некоторые детали кибератаки на «Киевстар». По его словам, российские хакеры находились в ИТ-системах украинского телеком-оператора на протяжении нескольких месяцев. Подробнее здесь.

2023

Cisco тайно отправляет Украине модифицированные коммутаторы для защиты от кибератак

В конце ноября 2023 года стало известно о том, что американская корпорация Cisco тайно отправляет Украине специально модифицированные коммутаторы для защиты от кибератак. Такое оборудование поставляется, в частности, национальной энергетической компании «Укрэнерго». Подробнее здесь.

Красный крест - Гражданские хакеры, воющие за Россию или Украину, являются законными военными целями

17 февраля 2023 года советник Международного комитета Красного Креста (ICRC) Мауро Виньяти (Mauro Vignati) заявил о том, что гражданские хакеры, совершающие кибератаки в сложившейся геополитической обстановке, могут быть подвергнуты ответным действиям со стороны военных структур. Подробнее здесь.

2022

Европейский союз выделил средства на создание киберлаборатории для ВСУ

2 декабря 2022 года Европейский союз сообщил о финансировании проекта по созданию специальной киберлаборатории для Вооруженных сил Украины. Речь идёт о поставке как программного обеспечения, так и оборудования. Подробнее здесь.

Киберкомандование США впервые раскрыло детали своей работы по киберзащите Украины

28 ноября 2022 года Киберкомандование США, расположенное на территории военной базы Форт-Мид в штате Мэриленд, впервые раскрыло подробности специальной операции по обеспечению защиты Украины в киберпространстве. Подробнее здесь.

Хакеры опубликовали данные сотен курсантов и преподавателей академии СБУ

В ноябре 2022 года хакерская группа RaHDit опубликовала на портале «Немезида» списки преподавателей и курсантов Академии Службы безопасности Украины. Подробнее здесь.

Британия направила Украине на помощь кибершпионов

1 ноября 2022 года информационный портал правительства Великобритании раскрыл информацию об инициативе UK Ukraine Cyber Programme по оказанию поддержки Украине в киберпространстве. Подробнее здесь.

Британия, США, ФРГ, Нидерланды, Польша и Эстония поддерживают работу мошеннических кол-центров на Украине против россиян

В конце октября 2022 г МИД России обвинил страны Запада в поддержке «враждебных» кол-центров на Украине. Ряд западных стран, в числе которых Британия, США, ФРГ, Нидерланды, Польша и Эстония, проводят политику инфраструктурной поддержки функционирования украинских кол-центров, занимающихся мошенничеством в отношении россиян.

Хакеры RaHDIt обнародовали данные 1,5 тыс. украинских разведчиков

В конце сентября 2022 года стало известно об утечке персональных данных сотрудников Службы внешней разведки Украины. Соответствующую базу выложили кибергруппировка RaHDIt, которую в СМИ называют российской. Подробнее здесь.

Российские хакеры взломали YouTube-канал СБУ и загрузили туда видео

В конце августа 2022 года российские хакеры взломали официальный аккаунт Службы безопасности Украины (СБУ) на YouTube и разместили там пророссийские видеоролики. На этом обратил внимание Telegram-канал Mash. Подробнее здесь.

Украинские хакеры атаковали российские сервисы видеоконференций TrueConf, Videomost, Webinar.ru и iMind

В конце августа 2022 года стало известно о кибератаках на российские сервисы видеоконференций. В частности, с ними столкнулись платформы TrueConf, Videomost, Webinar.ru и iMind. Подробнее здесь.

Российские хакеры атаковали сайт Службы безопасности Украины

Хакерская группировка «Anonymous Россия» атаковала сайт Службы безопасности Украины (СБУ). О том, что в результате их действий ресурс стал недоступен, сообщается в Telegram-канале хакерского объединения. Об этом стало известно 10 августа 2022 года. Подробности здесь.

Microsoft по заказу Пентагона лишил Украину цифрового суверенитета

Microsoft работает по заказу спецслужб и Пентагона, их совместная деятельность лишила Украину информационного суверенитета и контроля над цифровой инфраструктурой. Об этом заместитель главы российского Министерства иностранных дел (МИД) Олег Сыромолотов заявил 18 июля 2022 года (его комментарий приводится на сайте ведомства). Подробнее здесь

Сайт Росреестра взломали. На главной разместили данные о дне конституции Украины

28 июня 2022 года на сайт Федеральной службы государственной регистрации, кадастра и картографии (Росреестр) было совершено кибернападение, в результате которого на главной странице ресурса отображалось поздравление в честь дня конституции Украины. Подробнее здесь.

Украина использует против России новый принцип кибератак

В конце мая 2022 года стало известно о новом принципе кибератак, который начала применять Украина против России после начала специальной военной операции. Речь идет о технологии BGP Hijacking, рассказал «Ведомостям» генеральный директор и сооснователь компании StormWall Рамиль Хантимиров. Подробнее здесь.

Киев признал свою причастность к хакерским атакам против российских компаний

Украинский вице-премьер-министр Михаил Федоров похвастал, что создал "первую в мире киберармию". Об этом стало известно 27 апреля 2022 года.

Киев организовал свыше 660 кибератак против госучреждений и предприятий России и Белоруссии.

«
На конец апреля 2022 года у нас около 300 тысяч специалистов. Участие добровольное, и мы организуем его через мессенджер Telegram, куда выкладываем ежедневные задания, - объяснил Федоров Михаил, добавив, что личных контактов "с киберволонтерами нет".
»

Ранее министерство обороны Великобритании сообщило , что некоторые из серверов ведомства могли быть взломаны хакерами, предположительно работающими на российское правительство. Киберпреступники украли у аутсорсинговой фирмы Capita данные 100 новобранцев британской армии, которые работали в других странах в качестве шпионов.

Также российских хакеров заподозрили в кибератаках на немецкие компании по возобновляемой энергетике[3].

Хакеры Shuckworm атакуют украинские организации последним вариантом бэкдора Pteredo

Специалисты ИБ-компании Symantec сообщили об атаках киберпреступной группировки Shuckworm (Armageddon или Gamaredon) на украинские организации с использованием последнего варианта кастомного бэкдора Pteredo (Pteranodon). Об этом стало известно 20 апреля 2022 года.

Группировка, связываемая специалистами с Россией, проводит операции по кибершпионажу в отношении украинских правительственных организаций как минимум с 2014 года. По подсчетам специалистов, она осуществила более 5 тыс. кибератак на 1,5 тыс. общественных и частных предприятий в стране.

Pteredo берет свое начало на хакерских форумах, где в 2016 году его приобрела группировка Shuckworm. Хакеры стали активно разрабатывать бэкдор, добавляя в него DLL- модули для похищения данных, удаленного доступа и анализа проникновения.

Помимо Pteredo в недавних атаках Shuckworm также использовала инструмент для удаленного доступа UltraVNC и Microsoft Process Explorer для обработки процессов DLL-модулей.

Если сравнить атаки Shuckworm на украинские организации с января 2022 года, то можно прийти к выводу, что группировка практически не изменила свои тактики. В предыдущих атаках варианты Pteredo загружались на атакуемые системы с помощью файлов VBS, спрятанных внутри документа, прилагающегося к фишинговому письму. Файлы 7-Zip разархивируются автоматически, что минимизирует взаимодействие с пользователем (эти же файлы использовались и в январских атаках).

На конец апреля 2022 годп Pteredo все еще активно разрабатывается, а значит, хакеры могут работать над более продвинутой, мощной и не поддающейся детектированию версией бэкдора, а также модифицировать свою цепочку атаки[4].

Заявление МИД России в связи с продолжающейся киберагрессией со стороны «коллективного Запада»

29 марта 2022 года стало известно о заявлении МИД России в связи с продолжающейся киберагрессией со стороны «коллективного Запада». Подробнее здесь.

Эксперты: Катастрофической кибервойны между Россией и Украиной пока нет

Катастрофической кибервойны между Россией и Украиной (пока) нет утверждают эксперты. Об этом стало известно 10 марта 2022 года.

Обе стороны понимают, что катастрофические кибератаки приведут к взаимно гарантированному уничтожению систем.

На фоне разгара военного конфликта между Россией и Украиной растет обеспокоенность по поводу беспрецедентной кибервойны . Эксперты внимательно следят за обеими сторонами, опасаясь серьезных конфликтов в киберпространстве, ущерб от которых может превзойти ущерб от физических баталий.

Ранее президент США Джо Байден заявил, что США «готовы ответить» на любые атаки на критическую инфраструктуру. В то же время, многие опасаются «цифрового Перл-Харбора». Однако, по словам экспертов, пока что на киберфронте сравнительно спокойно.

Боязнь кибервойны возникла не на пустом месте. Международные эксперты неоднократно обвиняли РФ в осуществлении кибератак. В частности, российские хакеры, предположительно связанные с правительством РФ, обвиняются в масштабных кибератаках на украинские электроэнергетические компании в 2015-2016 годах и распространении вредоносного ПО NotPetya в 2017 году.

К тому же, не работающие на правительство хакеры связываются с рядом серьезных кибератак на крупные компании, включая американского топливного гиганта Colonial Pipeline в 2021 году.

Начиная с января 2022 года, 70 украинских сайтов подверглись дефейсу, отдельно также были осуществлены кибератаки на несколько министерств, также приписываемые РФ.

Хотя эти атаки были «существенными и беспрецедентными», они «пока не катастрофические», сообщил специалист калифорнийской ИБ-компании Vectra Аарон Тернер (Aaron Turner). По его словам, это связано с тем, что ни одна из сторон не хочет быть первой, кто «бросит камень в третьей мировой войне».

«
Скорее всего, мы достигли своего рода разрядки, когда обе стороны понимают, что катастрофические кибератаки, скорее всего, приведут к взаимно гарантированному уничтожению систем, - сообщил Тернер изданию The Guardian.
»

Кроме того, державы лучше подготовлены к предотвращению атак, чем раньше, поэтому, возможно, некоторые более крупные взломы удалось пресечь, считают эксперты. США инвестировали миллиарды в киберзащиту как из частных, так и из государственных источников. Украина провела последние семь лет после атаки на энергосистему в 2015 году, укрепляя свою инфраструктуру.

Старший информационный директор Белого дома Тереза Пайтон (Theresa Payton) обвинила Россию в том, что она стала вкладывать больше ресурсов в координированные кампании по дезинформации. По словам бывшего главного советника Агентства национальной безопасности США Гленна Герстелла (Glenn S Gerstell), тот факт, что Россия предпочла дезинформацию разрушительным кибератакам, не стал неожиданностью. Атаки на инфраструктуру рассматривались бы как «эквивалент физическим атакам с использованием бомб или ракет», в то время как пропаганда находится в серой зоне.

«
Это все действия, расположенные ниже черты действий, которые могут считаться военными, но они все равно вредоносные и очень опасные, - заявил Герстелл.
»

Пайтон также отметила, что отсутствие разрушительных кибератак на март 2022 года не означает, что их не будет потом. Для развертывания многих тайных операций, в особенности широкомасштабных, требуется время. Например, в случае с SolarWinds русские хакеры начали атаковать компанию в марте 2020 года, тогда как об этом стало известно только в декабре 2020 года.

«
Могут происходить инциденты, о которых нам пока не известно. В случае с Россией, я всегда говорю, если пока ничего не происходит, все равно надо быть настороже, - заявила Пайтон[5].

»

Российская хакерская группа RaHDit взломала 755 государственных сайтов Украины

Российская хакерская группа RaHDit взломала 755 государственных сайтов Украины. Об этом стало известно 3 марта 2022 года.

Telegram-канал опубликовал скрины со взломанных сайтов с адресами olginska-miskrada.gov.ua, bozhedarivska-selrada.gov.ua, dalnycka-gromada.gov.ua. На 3 марта данные интернет-страницы были недоступны.

Как сообщил источник, ранее хактивисты Anonymous провели массовый дефейс крупных российских СМИ и разместили на них антивоенные лозунги. Также хакеры взломали управление оборудованием агрохаба "Селятино" в Московской области и пытались испортить 40 тысяч тонн замороженной продукции.

Вице-президент «Ростелекома» по информационной безопасности Игорь Ляпунов предупредил что количество атак на органы власти в РФ выросли в сотни раз за последнюю неделю[6].

Украина созывает армию киберпреступников для борьбы с Россией

Украинское Минобороны обратилось к хакерам за помощью в противостоянии с Россией. Призывы помочь стране размещены на хакерских форумах. Об этом стало известно 25 февраля 2022 года.

Сообщения, разосланные украинскими военными, содержат в себе предложение принять участие в кибервойне, но именно на стороне Украины. При этом хакеры, готовые пойти на виртуальный фронт, должны отправить властям Украины специальное заявление, реализованное в виде обычной формы Google Docs. В нем им нужно указать свою «специализацию», то есть то, чем они занимаются в интернете. Например, они могут указать, что разрабатывают вредоносное ПО.

«
Украинское киберсообщество! Пора заняться киберзащитой нашей страны, – гласит призыв Минобороны.
»

При этом неизвестно, какая судьба ждет тех, кто выдаст себя и начнет работать на государство.

По данным источника, военные выступили лишь в роли заказчика, а исполнил поручение сооснователь ИБ-компании Cyber Unit Technologies Егор Аушев. Согласно официальному сайту компании, ее офисы базируются ОАЭ, Южной Корее и на Украине.

Компания Аушева, известна тем, что работает с правительством Украины над защитой критической инфраструктуры. Позже Егор Аушев заявил агентству, что написал этот пост по просьбе высокопоставленного чиновника Минобороны, который связался с ним в четверг, 24 февраля 2022 г. Имя чиновника Аушев не раскрыл.

В планы украинских военных входит создание сразу двух армий, состоящих из киберпреступников. Со слов Егора Аушева, часть бойцов виртуального фронта займется киберобороной Украины, тогда как другие будут совершать атаки на противника страны в виртуальном пространстве.

Киберзащитники должны будут отбивать атаки вражеских хакеров на различные объекты инфраструктуры Украины, включая электростанции и системы водоснабжения. Вероятно, власти страны не хотят повторения 2015 г., когда неизвестные хакеры оставили сотни тысяч украинцев без электричества.

Также в январе 2022 г. масштабному взлому подверглись правительственные сайты Украины. Они были выведены из строя на несколько дней. Атаку приписали русским хакерам, но доказательств этого нет.

Аушев добавил, что наступательная часть киберсолдат Украины займется, помимо прочего, еще и разведкой. Хакеры будут собирать информацию о российских войск на территории Украины.

«
У нас внутри страны есть армия, – сказал Аушев. – Нам нужно знать, что они делают.

»

Эксперты источника смогли выйти на связь с Аушевым поздним вечером 24 февраля 2022 г. Он заявил, что за первые несколько часов с момента размещения призыва ему поступили «сотни» заявлений.

С его слов, теперь каждый из претендентов должен пройти проверку, чтобы убедиться, что он не является российским кибершпионом, претворяющимся украинским хакером-патриотом. Как именно будет проводиться проверка, и будут ли в ней участвовать украинские военные, Аушев уточнять не стал[7].

Смотрите также

Контроль и блокировки сайтов

Анонимность

Критическая инфраструктура

Импортозамещение


Информационная безопасность и киберпреступность

* Регулирование интернета в Казахстане, KZ-CERT




Примечания