Cele mai importante atacuri cibernetice lansate înainte de război: cum au pregătit invazia
Incidentele cibernetice joacă un rol central în conflictul Rusia-Ucraina.
În ceea ce este descris pe scară largă drept un exemplu de război „hibrid”, invazia militară rusă a Ucrainei din 23 februarie a fost precedată și însoțită de atacuri cibernetice majore.
Ce este un atac cibernetic?
Un atac cibernetic este o încercare rău intenționată și deliberată a unei persoane sau organizații de a încălca sistemul de informații al altei persoane sau organizații. De obicei, atacatorul caută un anumit tip de beneficiu de la întreruperea rețelei victimei.
Melissa Griffith, un asociat senior de program la Wilson Center, a declarat în timpul unei conferințe de presă la Wilson Center că „cea mai presantă întrebare atunci când ne uităm la activitatea cibernetică în contextul Ucrainei nu este ceea ce este probabil să realizeze orice operațiune cibernetică, ci modalitățile în care operațiunile cibernetice vor fi stratificate, efectele lor stratificate peste alte tipuri de instrumente de stat pe care Rusia le are la dispoziție. Și va fi abilitatea de a se suprapune în moduri neașteptate care va cauza costuri neprevăzute pentru guvernul ucrainean pe măsură ce luptele continuă acolo, sau costuri irecuperabile pentru Ucraina.”
Griffith a spus că „celălalt lucru pe care trebuie să-l urmărim în timp ce ne uităm la acel efect de stratificare în cadrul acestei crize delimitate geografic în Ucraina este realitatea că, în cazul operațiunilor cibernetice, în care diligența necesară nu se face în avans, are un obicei prost de a se răspândi în alte regiuni și rețelele altor țări. Există un real efect de propagare aici care ar putea avea consecințe nedorite.”
Atacurile cibernetice care au precedat invazia rusească
11 ianuarie: SUA lansează un aviz de securitate cibernetică
Agenția de Securitate Cibernetică și Securitate a Infrastructurii (CISA), Biroul Federal de Investigații (FBI) și Agenția Națională de Securitate (NSA) au lansat un aviz comun de securitate cibernetică (CSA) care oferă o privire de ansamblu asupra operațiunilor cibernetice sponsorizate de ruși, inclusiv tactici observate frecvent, tehnici și proceduri. Avizul a oferit, de asemenea, acțiuni de detectare, îndrumări de răspuns la incident și atenuări.
CISA a recomandat, de asemenea, ca apărătorii rețelei să examineze pagina CISA privind amenințările cibernetice din Rusia și avizele pentru mai multe informații despre activitatea cibernetică rău intenționată sponsorizată de statul rus. Se pare că agențiile au lansat CSA ca parte a unei serii ocazionale de avizuri comune de securitate cibernetică.
14 ianuarie: Rusia a înlăturat grupul de ransomware REvil
În ceea ce părea a fi o demonstrație surprinzătoare a colaborării dintre SUA și Rusia, serviciul de informații intern al FSB al Rusiei a declarat că a demontat grupul criminal de ransomware REvil, la cererea Statelor Unite, într-o operațiune care a dus la arestarea membrilor grupului. Anunțul a fost făcut chiar în timp ce atacurile asupra site-urilor din Ucraina erau în desfășurare.
Un înalt oficial al administrației nu a confirmat că arestările au fost efectuate la cererea administrației. Oficialul a spus că acestea au fost produsul „angajamentului președintelui față de diplomație și canalului pe care l-a stabilit și a muncii care au fost desfășurate în schimbul de informații și în discutarea necesității ca Rusia să ia măsuri”.
15 ianuarie: Microsoft dezvăluie descoperirea de malware pe site-urile ucrainene
Microsoft a observat malware distructiv deghizat în ransomware în sistemele aparținând zeci de agenții și organizații guvernamentale ucrainene care lucrează îndeaproape cu guvernul ucrainean. Microsoft nu a specificat care agenții și organizații au fost vizate, dar a spus că „oferă funcții critice de ramură executivă sau de răspuns în situații de urgență”, precum și o firmă de IT care gestionează site-uri web pentru clienții din sectorul public și privat, inclusiv agenții guvernamentale ale căror site-uri web au fost recent degradate.
Dacă este activat de către atacator, malware-ul ștergător ar face sistemul infectat inoperabil. Centrul de informații despre amenințări de la Microsoft (MSTIC) a publicat o postare tehnică în care descrie malware-ul, spunând că, deși este proiectat pentru a arăta ca un ransomware, nu avea un mecanism derăscumpărare, era intenționat să fie distructiv și a fost construit pentru a face dispozitivele vizate inoperabile, mai degrabă decât pentru a obține o recompensă.
MSTIC nu a găsit asocieri notabile între activitatea observată, urmărită ca DEV-0586, și alte grupuri de activitate cunoscute. Microsoft a implementat protecții pentru a detecta această familie de programe malware, cunoscută sub numele de WhisperGate, prin Microsoft Defender Antivirus și Microsoft Defender pentru Endpoint.
16 ianuarie: Ucraina acuză Rusia pentru atacul asupra site-urilor ucrainene
Ministerul Transformării Digitale al Ucrainei a spus că toate dovezile au indicat faptul că Rusia se află în spatele atacurilor asupra site-urilor guvernamentale ucrainene. „Cel mai recent atac cibernetic este una dintre manifestările războiului hibrid al Rusiei împotriva Ucrainei, care se desfășoară din 2014”, a spus ministerul.
23 ianuarie: DHS emite buletin pentru operatorii de infrastructură critică
Departamentul pentru Securitate Internă a trimis un buletin de informații operatorilor de infrastructură critică și guvernelor de stat și locale, avertizând că Rusia va lua în considerare efectuarea unui atac cibernetic asupra SUA dacă Moscova va percepe că un răspuns al SUA sau al NATO la o potențială invazie a Ucrainei „a amenințat securitatea națională pe termen lung.”
15 februarie: Ministerul apărării al Ucrainei lovit de un atac DDoS
Serviciul de Stat al Ucrainei pentru Comunicații Speciale și Protecție a Informațiilor (SSSCIP) a confirmat că un atac distribuit de refuzare a serviciului (DDoS) a lovit site-urile web ale Ministerului Apărării și ale forțelor armate ale Ucrainei și site-urile a două bănci ucrainene.
15 februarie: Informații declasificate dezvăluie prezența Rusiei în rețele ucrainene critice
Informațiile proaspăt declasificate au arătat că hackerii guvernamentali ruși au pătruns probabil în rețelele militare, energetice și alte computere critice ale Ucrainei pentru a colecta informații și a pentru a se poziționa pentru a perturba aceste sisteme în cazul în care Rusia lansează un asalt militar asupra Ucrainei.
16 februarie: agențiile americane emit un aviz comun de securitate cibernetică
CISA, împreună cu FBI și NSA, au emis un aviz comun de securitate cibernetică intitulat „Actorii cibernetici sponsorizați de statul rus țintesc rețele de contractori de apărare autorizate pentru a obține informații și tehnologii sensibile de apărare din SUA”. CISA a spus că entitățile compromise au inclus contractori de apărare autorizați (CDC) care susțin programele Armatei SUA, Forțelor Aeriene ale SUA, Marinei SUA, Forțelor Spațiale ale SUA și Comunității de Informații în ultimii doi ani.
18 februarie: CISA emite ghiduri privind conflictul Rusia-Ucraina
În fața tensiunilor geopolitice existente între Rusia și Ucraina, CISA a lansat un nou CISA Insight, Preparing for and Mitigating Foreign Influence Operations Targeting Critical Infrastructure, care oferă proprietarilor și operatorilor de infrastructură critică îndrumări cu privire la modul de identificare și atenuare a riscurilor operațiunilor de influență care utilizează narațiuni greșite și care dezinformează.
18 februarie: SUA atribuie atacul DDoS din februarie GRU al Rusiei
Într-o evoluție fără precedent, SUA au atribuit în mod public atacurile DDoS din februarie împotriva ministerului apărării al Ucrainei și a unor bănci importante ofițerilor rusi de informații militare GRU. Această atribuire s-a produs în doar câteva zile de la atacuri, proces care durează de obicei luni sau chiar ani. Consilierul adjunct al administrației Biden pentru securitate națională pentru tehnologiile cibernetice și emergente, Anne Neuberger, a anunțat această atribuire la un briefing de presă la Casa Albă, spunând că SUA au acționat rapid să „anunțe comportamentul” în speranța de a evita o invazie a Ucrainei.
22 februarie: FBI avertizează companiile din SUA cu privire la potențialul atacurilor ransomware
Într-un apel telefonic cu directori privați și oficiali de stat și locali, un înalt oficial cibernetic al FBI, David Ring, le-a cerut companiilor americane și guvernelor locale să fie conștiente de potențialul atacurilor ransomware pe măsură ce criza dintre Kremlin și Ucraina se adâncește.
23 februarie: O nouă formă de malware distructiv descoperită în rețelele ucrainene
Cercetătorii de la ESET și Symantec raportează că o nouă formă de malware distructiv numit HermeticWiper, care poate șterge sau corupe datele de pe un computer sau o rețea vizată, a fost văzut răspândindu-se în Ucraina. Symantec a mai spus că ștergătorul a fost detectat în Letonia, Lituania și Ucraina și că atacă organizații financiare și contractori guvernamentali.
24 februarie: Președintele Biden avertizează asupra riscurilor pentru întreprinderile din SUA și infrastructura critică
Președintele Biden a spus în timpul remarcilor privind invazia Ucrainei de către Rusia că „Rusia urmărește atacuri cibernetice împotriva companiilor noastre, a infrastructurii noastre critice, suntem pregătiți să răspundem”. Biden a adăugat că „de luni de zile, am lucrat îndeaproape cu sectorul privat pentru a ne întări apărarea cibernetică, pentru a ne perfecționa capacitatea de a răspunde și atacurilor cibernetice rusești”.
24 februarie: site-uri web rusești, infrastructură informațională critică lovită de atacuri cibernetice
Centrul național de coordonare și răspuns la incidente informatice al guvernului rus a avertizat cu privire la „amenințarea unei creșteri a intensității atacurilor informatice asupra resurselor informaționale rusești, inclusiv asupra infrastructurii informaționale critice (CII)”. Avertismentul urmează după numeroase rapoarte de întreruperi de pe site-urile web oficiale ale guvernului rus, inclusiv site-ul web al Kremlinului.