În cel mai recent raport, experții Kaspersky au analizat activitățile din spațiul cibernetic legate de criza ucraineană, urmărind semnificația acestora în raport cu actualul conflict și impactul lor asupra domeniului securității cibernetice. Acest raport face parte din Kaspersky Security Bulletin (KSB) – o serie anuală de previziuni și rapoarte analitice privind cele mai importante schimbări din sfera securității cibernetice.
2022 a fost marcat de un conflict militar în stilul secolului al XX-lea – care a adus incertitudine și riscuri serioase de răspândire pe continent. În timp ce analiza geopolitică mai amplă a conflictului din Ucraina și a consecințelor acestuia trebuie lăsată în seama experților, în timpul conflictului au avut loc o serie de evenimente cibernetice, care s-au dovedit a fi foarte semnificative.
„Povestea anului”, pregătită de cercetătorii Kaspersky în cadrul ediției Kaspersky Security Bulletin de anul acesta, urmărește fiecare etapă a conflictului armat din Ucraina, evenimentele care au avut loc în spațiul cibernetic și modul în care acestea s-au corelat cu operațiunile de pe teren.
În zilele și săptămânile premergătoare conflictului militar, au apărut indicii și intensificări semnificative ale războiului cibernetic. Pe 24 februarie 2022 a avut loc un val masiv de pseudo-ransomware și atacuri de tip wiper, care au afectat tot felul de entități ucrainene. Unele atacuri erau foarte sofisticate, dar volumul atacurilor de tip wiper și ransomware a scăzut rapid după valul inițial. Grupările motivate ideologic, care au apărut în valul inițial de atacuri, par să fie inactive acum.
În aceeași zi, europenii care se bazau pe satelitul deținut de ViaSat s-au confruntat cu întreruperi majore de acces la internet. Acest „eveniment cibernetic” a început în jurul orei 4 UTC, la mai puțin de două ore după ce Federația Rusă a anunțat public începerea unei „operațiuni militare speciale” în Ucraina. Sabotajul ViaSat demonstrează, încă o dată, că atacurile cibernetice sunt foarte importante pentru conflictele armate moderne și pot sprijini direct etapele cheie în operațiunile militare.
Pe măsură ce conflictul a evoluat, nu există dovezi că atacurile cibernetice ar fi făcut parte din acțiunile militare coordonate, de ambele părți. Cu toate acestea, există câteva caracteristici principale care au definit confruntările cibernetice din 2022:
– Hacktiviștii și atacurile DDoS. Conflictul din Ucraina a creat un teren propice pentru noi activități legate de un război cibernetic, din partea diferitelor grupuri, inclusiv criminali cibernetici și hacktiviști, care se grăbesc să-și susțină partea preferată. Unele grupuri precum IT Army of Ukraine sau Killnet au fost susținute oficial de guverne, iar canalele lor Telegram reunesc sute de mii de abonați. În timp ce atacurile efectuate de hacktiviști aveau o complexitate relativ scăzută, experții au asistat la o creștere a activității DDoS în perioada de vară – atât ca număr de atacuri, cât și ca durată a acestora: în 2022, un atac DDoS mediu a durat 18,5 ore – de aproape 40 de ori mai mult decât în 2021 (aproximativ 28 de minute).
Durata totală a atacurilor DDoS detectate de Kaspersky DDoS Protection în secunde, pe săptămână, 2021 vs 2022
– Hack și leak. Atacurile mai sofisticate au încercat să deturneze atenția presei cu operațiuni de tip hack-and-leak și au fost în creștere de la începutul conflictului. Astfel de atacuri implică breșe de securitate la nivelul unei organizații și publicarea online a datelor sale interne, adesea prin intermediul unui site web dedicat. Acest lucru este mult mai dificil decât o simplă operațiune de denunțare publică, deoarece nu toate echipamentele conțin date interne care merită făcute publice.
– Arhive periculoase open source, transformând software-ul open source în arme cibernetice. Pe măsură ce conflictul se prelungește, pachetele populare open source pot fi folosite ca platformă de protest sau atac de către dezvoltatori sau hackeri deopotrivă. Impactul unor astfel de atacuri se poate extinde mai mult decât software-ul open source în sine, propagându-se în alte pachete care se bazează automat pe codul infectat de troian.
– Balcanizarea. După declanșarea conflictului din Ucraina, în februarie 2022, multe companii occidentale părăsesc piața rusă și își lasă utilizatorii într-o poziție delicată atunci când vine vorba de primirea de actualizări de securitate sau asistență – iar actualizările de securitate sunt, probabil, problema principală atunci când furnizorii încetează suportul pentru anumite produse sau părăsesc piața.
„24 februarie ne-a ridicat o problemă – am căutat să aflăm dacă spațiul cibernetic este o reflectare autentică a conflictului din Ucraina, acesta reprezentând punctul culminant al unui „război cibernetic” real și modern. Trecând prin toate evenimentele care au urmat operațiunilor militare în spațiul cibernetic, am asistat la o absență a coordonării între mijloacele cibernetice și cele cinetice și, în multe privințe, infracțiunile cibernetice rezumându-se la un rol de subordonat. Atacurile ransomware observate în primele săptămâni de conflict se califică, în cel mai bun caz, drept diversiuni. Atacurile cinetice folosind rachete și vehicule aeriene fără pilot s-au dovedit încă o dată a fi o metodă mai eficientă de a ținti infrastructura decât atacurile cibernetice. Cu toate acestea, daunele colaterale și riscurile cibernetice au crescut pentru organizațiile din țările învecinate, din cauza conflictului, necesitând măsuri defensive avansate mai mult ca niciodată”, comentează Costin Raiu, Director of Global Research & Analysis Team la Kaspersky.
