Согласно новому исследованию, опубликованному в четверг группой анализа угроз Google, российские кибератаки против Украины и ее партнеров по НАТО будут усиливаться.
В отчете, озаглавленном «Туман войны: как украинский конфликт изменил ландшафт киберугроз», предлагались выводы, касающиеся российского вторжения, от двух групп Google — TAG и Trust and Safety — и дочерней компании Mandiant.
Вторжение началось в феврале прошлого года как эскалация конфликта, начавшегося в 2014 году, и в рамках вторжения Россия начала многочисленные крупные киберкампании против Украины и ее союзников. На сегодняшний день атаки включали кампании по дезинформации, попытки атак на критически важную инфраструктуру и многое другое. В сентябре Google опубликовал исследование, в котором подробно рассказывается, как бывшие члены банды вымогателей Conti атаковали Украину как по финансовым, так и по политическим мотивам.
Хотя исследование было в первую очередь посвящено смешанным киберусилиям России против Украины, оно также изучало продолжающиеся атаки на партнеров Украины по НАТО. НАТО, сокращенно от Организации Североатлантического договора, представляет собой военный союз, состоящий из 30 стран, включая США, Францию, Канаду, Великобританию, Италию и другие.
Google заявил, что с «высокой уверенностью» оценивает, что поддерживаемые Россией злоумышленники продолжат свои кибератаки против Украины и ее партнеров по НАТО, чтобы усилить возражения России против вторжения. «Эти атаки будут в первую очередь нацелены на Украину, но все чаще будут включать партнеров по НАТО.
Одним из основных типов кибератак, которые Google наблюдал против стран НАТО, был фишинг, в частности целевой фишинг. По сравнению с базовым показателем 2020 года TAG отметила увеличение на 250% фишинговых атак против Украины в 2022 году со стороны злоумышленников, поддерживаемых правительством. Для стран НАТО этот показатель превышал 300%.
«Фишинг остается важным вектором первоначального доступа для злоумышленников, поддерживаемых правительством», — говорится в отчете. «Злоумышленники используют этот доступ для достижения нескольких стратегических целей России, таких как сбор разведданных, уничтожение данных и утечка информации, направленная на достижение национальных целей России».
Исследование Google в основном было сосредоточено на пяти основных группах угроз, поддерживаемых российским правительством: Sandworm, Fancy Bear, Callisto Group, UNC2589 и Uroburos. Шестая группа угроз, UNC1151 или PUSCHHA, базируется в Беларуси. Атаки со стороны правительства против стран НАТО возглавлял Fancy Bear (помеченный Google как FROZENLAKE) с активностью 77,5%, за ним следует Пуща с активностью 15,5%. Google сообщил, что первая группа провела «массовую волну» атак против членов НАТО, в то время как кампании последней были сосредоточены вокруг членов Польши и Литвы.
Помимо фишинговых кампаний, TAG наблюдала, как поддерживаемые Россией злоумышленники запускали DDoS-атаки и использовали полученный доступ для утечки информации таким организациям, как группы хактивистов. Например, Callisto Group (названная Google COLDRIVER) запустила кампанию по взлому и утечке данных против организаций в Великобритании и других странах.
«В марте 2022 года TAG впервые наблюдала за кампаниями COLDRIVER, нацеленными на вооруженные силы нескольких европейских стран, а также на Центр передового опыта НАТО», — говорится в отчете. «На ранних стадиях конфликта COLDRIVER переключил свои цели на несколько украинских оборонных подрядчиков и правительственных организаций, а также на базирующиеся в США НПО, аналитические центры, правительственных чиновников, политиков и журналистов».
В другом примере группа угроз «нацелилась на три ядерные исследовательские лаборатории в США в ходе кампании по краже учетных данных», в ходе которой они создали поддельные страницы входа и отправили электронные письма ученым-ядерщикам в попытке целевого фишинга.
Судя по сообщениям TAG, основной целью российских кампаний против НАТО, по-видимому, является кибершпионаж и информационные операции, такие как кампании по дезинформации. Отчет Google содержит обширное исследование того, как поддерживаемые Россией организации, такие как Агентство интернет-исследований, используют социальные сети и пропаганду, чтобы повлиять на общественное мнение во всем мире.
В отчете Google также отмечается, что вторжение в Украину привело к сдвигу в восточноевропейской киберпреступной экосистеме, что, по мнению исследователей, будет иметь долгосрочные последствия. «Некоторые группы, например, раскололись из-за политических пристрастий и геополитики, в то время как другие потеряли видных операторов», — говорится в отчете. «Это повлияет на то, как мы думаем об этих группах, и на наше традиционное понимание их возможностей». Google не ответил на запрос редакции TechTarget о комментариях во время печати.
Александр Кулафи — писатель, журналист и ведущий подкастеров из Бостона.
