Rosyjska inwazja na Ukrainę: krajobraz cyberzagrożeń jest nieprzewidywalny

Rosyjska inwazja na Ukrainę: krajobraz cyberzagrożeń jest  nieprzewidywalny
Fot. stock.adobe.com / Paopano
Udostępnij Ikona facebook Ikona LinkedIn Ikona twitter
Rosja nie zastosowała jeszcze cyberataków do zniszczenia czy zakłócenia na szeroką skalę podstawowych usług w Ukrainie. Jest jednak mało prawdopodobne, że sytuacja rozwinie się w sposób, który zmniejszy ryzyko ataków. Grupy rosyjskich "patriotów" - autorów ransomwaru, phishingu czy operatorów botnetów - mogą atakować cele postrzegane jako zagrożenie dla Rosji z większą niż zwykle częstotliwością, podkreślają eksperci Sophos.

– Rosja prawdopodobnie nie zaryzykuje, by NATO uruchomiło artykuł 5., więc nie zaatakuje bezpośrednio państw członkowskich sojuszu.

Trzeba liczyć się z ryzykiem eskalacji sytuacji i dodatkowym podburzaniem rosyjskich grup hakerów do odwetu na zachodniej infrastrukturze

Jednak może dać swobodę cyberprzestępcom działającym z terytorium Federacji Rosyjskiej i jej partnerów ze Wspólnoty Niepodległych Państw (WNP). Poziom zagrożeń będzie więc rósł – wskazuje Chester Wisniewski, Principal Research Scientist w firmie Sophos.

Czytaj także: Rząd ogłosił nowy stopień alarmowy dotyczący bezpieczeństwa teleinformatycznego, KNF ostrzega instytucje finansowe przed atakami

Nieprzewidywalny krajobraz cyberzagrożeń

25 lutego 2022 roku grupa haktywistów Anonymous wypowiedziała rosyjskiemu rządowi „cyberwojnę”. Kilka godzin później grupa Conti rozpowszechniająca złośliwe oprogramowanie ransomware na swojej stronie w darkwebie zadeklarowała pełne poparcie dla rosyjskiego rządu. Niedługo potem złagodziła stanowisko, ale zasugerowała, że może uderzyć w odpowiedzi na podjętą przez Amerykanów agresję w cyberprzestrzeni.

Obie deklaracje zwiększają ryzyko dla wszystkich, niezależnie od tego, czy są zaangażowani w konflikt, czy nie. Ataki generują zamieszanie i niepewność, rośnie też prawdopodobieństwo, że inne rosyjskie grupy przestępcze zintensyfikują działania przeciwko sojusznikom Ukrainy.

Firmy i organizacje na całym świecie, szczególnie w krajach sąsiadujących z Ukrainą, powinny być przygotowane na ataki i zadbać o zaawansowaną ochronę

1 marca grupa ransomware znana jako TheRedBanditsRU opublikowała na Twitterze oświadczenie dystansując się od wojny. Twierdzi, że nie atakuje ukraińskich celów cywilnych, jednak wyraźnie sugeruje, że wciąż może zaatakować ukraiński rząd.

– Krajobraz cyberzagrożeń jest w tej chwili nieprzewidywalny. Trzeba liczyć się z ryzykiem eskalacji sytuacji i dodatkowym podburzaniem rosyjskich grup hakerów do odwetu na zachodniej infrastrukturze, firmach i instytucjach rządowych, co doprowadzi do miliardowych strat.

Jak dotąd nie doszło do zwiększenia liczby ataków. Jednak może się to zmienić, jeśli rosyjscy cyberprzestępcy będą wspierani przez państwo – dodaje Chester Wisniewski.

Prawdopodobny jest wzrost częstotliwości i dotkliwości ataków. Dlatego firmy i organizacje na całym świecie, szczególnie w krajach sąsiadujących z Ukrainą, powinny być przygotowane na ataki i zadbać o zaawansowaną ochronę – nawet jeśli nie działają bezpośrednio w Ukrainie.

Pojawiły się już informacje o ataku złośliwego oprogramowania na ukraińskie systemy kontroli granicznej, który miał zakłócić przepływ uchodźców przez granicę z Rumunią. Proofpoint opublikował też dane o wzroście phishingu wymierzonego w urzędników NATO.

Czytaj także: UKNF zwraca uwagę na ryzyko zwiększonej aktywności cyberprzestępców w związku z agresją Rosji na Ukrainę

Rosyjski „podręcznik” cyberwojny

Niezależnie od tego jak rozwinie się sytuacja, cyberataki będą kontynuowane. Ukraina jest ich celem od czasu obalenia Wiktora Janukowycza w 2014 roku. Zgodnie z oficjalną doktryną wojskową z 2010 roku Kreml próbuje kontrolować reakcję świata na swoje działania poprzez wojnę informacyjną.

Cyberprzestępcy często zostawiają fałszywe poszlaki dotyczące państwa, z którego atakują – to powszechna praktyka, niezależnie od sytuacji geopolitycznej

Kluczowe są w niej fałszywe dowody, zakłócanie komunikacji i manipulacje w mediach społecznościowych. Celem jest powodowanie opóźnień, zamieszania i dezorientacji.

Kampanie dezinformacyjne wkrótce osiągną apogeum, ale konieczne jest też monitorowanie wszystkich nietypowych zdarzeń w sieci. Może upłynąć wiele miesięcy zanim pojawią się dowody na cyfrowe działania związane z sytuacją w Ukrainie. Cyberprzestępcy często zostawiają fałszywe poszlaki dotyczące państwa, z którego atakują – to powszechna praktyka, niezależnie od sytuacji geopolitycznej.

Tak było m.in. w połowie stycznia br., gdy wiele ukraińskich stron rządowych zostało zablokowanych przez złośliwe oprogramowanie. Atakujący zostawili fałszywe poszlaki wskazujące na dysydentów ukraińskich lub stronę polską. W czasie konfliktu informacje są sprzeczne i wprowadzają w błąd, trzeba więc będzie czasu, aby je zweryfikować.

Aktualizowaną codziennie analizę opracowaną przez ekspertów Sophos można znaleźć na stronie: https://news.sophos.com/en-us/2022/02/22/cyberthreats-during-russian-ukrainian-tensions-what-can-we-learn-from-history-to-be-prepared/  

Źródło: Sophos