04.06.2022

Аналітичний дайджест кіберподій за травень

Аналітичний дайджест кіберподій за травень

Foto — pixabay.com

 

КЛЮЧОВІ ВИСНОВКИ

Війна, яку розв’язала Росія проти України, триває не лише на полі бою, але й в кіберпросторі. Масовані кібератаки проти державних структур України та бізнесу розпочалися ще задовго до військового вторгнення. За допомогою кібератак рф хоче створити в Україні гуманітарну катастрофу, адже хакери намагаються перешкоджати роботі енергетичного сектору, екстрених служб, зв’язку, логістики [1].

Україна здобула унікальний досвід використання кіберпростору під час війни. Створено потужну IT-армію, в якій зараз близько 300 тис. учасників. Держава об’єднала українських та міжнародних професіоналів [2].

Сьогодні у кіберзахисті країни беруть участь майже пів тисячі службовців Держспецзв’язку. А ще – десятки тисяч фахівців інших суб’єктів кібербезпеки України, волонтерів, представників міжнародної спільноти щоденно докладають максимальних зусиль, щоб на кіберфронті ворог зазнав поразки.

За три місяці війни виявлено 620 кібератак, а допомогу кіберфахівців оримали понад 300 установ [3].

Російські злочинці вкотре намагаються позбавити українців доступу до інтернету та до правдивої інформації, посіяти панічні настрої. Крім того, росіяни вже навіть не намагаються приховати свої дії та викладають повідомлення про атаки в інтернет [4]. Проте, в цілому більшість атак, спрямованих на Україну, зазнають невдач та успішно відбиваються, що ще раз свідчить про ефективні системи кіберзахисту, які вдалося побудувати українським представникам державних структур та бізнесу. За інформацією мера Львова Андрія Садового, атака на Львівську міську раду стала наймасштабнішою з тих, що відбувалися за останні роки. Але «московські нездари не змогли завдати серйозної шкоди, як би не старались. З ладу виведено невелику частину сервісів та комп’ютерів працівників міської ради» [5].

На Дніпропетровщині від початку року відбили майже 36 тис. атак на сервери органів держвлади. Це вдесятеро більше, ніж зазвичай [6].

Серед 280 злочинів, які росія скоїла в Україні проти журналістів та медіа за три місяці війни, виявлено 32 кіберзлочини та 50 погроз [7].

З початку березня спостерігається стабільна тенденція до залякування журналістів через розсилання на їхні пошти погроз ув’язненням у Сибіру, тортурами, допитами. У квітні журналістам почали надсилати віршовані погрози. В травні вперше було зафіксовано випадок погроз застосуванням ядерної зброї. Погрози отримували редакції як центральних медіа, так і регіональних.

Сайти українських медіа стабільно потерпають від постійних кібератак, які вчиняють росіяни. Хакери змінюють матеріали, розміщують російській прапор, свої символи Z та V тощо.

ЄС засуджує кібератаку росії на Україну за годину до розпочатої кремлем війни, яка спричинила перебої не лише в Україні, а й у кількох країнах ЄС. У декларації високого представника ЄС від імені всіх 27 країн-членів зазначається, що ця неприйнятна кібератака є ще одним свідченням безвідповідальної поведінки росії у кіберпросторі, яка стала частиною її незаконного та неспровокованого вторгнення в Україну. Така поведінка суперечить очікуванням усіх країн-членів ООН щодо відповідальної поведінки і намірів держав у кіберпросторі [8]. У спільній заяві міністрів закордонних справ, оборони та громадської безпеки Канади вказано, що Канада спільно з США, Великою Британією, Австралією, Новою Зеландією та країнами-членами ЄС продовжить розвивати стабільний кіберпростір, що «побудований на застосовності та повазі міжнародного права та відповідальній поведінці держав у кіберпросторі» [9].

Свою допомогу Україні у кіберзахисті пропонують всі уряди демократичних країн – США, Канада, Велика Британія, більшість країн ЄС та інші. Також Україну підтримують такі провідні компанії як Microsoft, Google, Amazon, Cisco, Oracle та інші [10].

Генсек Інтерполу Юрген Сток на Всесвітньому Економічному Форумі в Давосі повідомив, що сьогодні кіберзлочинні групи почали діяти більш витончено. Хакінг став глобальною проблемою, і через дії правоохоронців на національному рівні затримання злочинців ускладнюється [11].

Міністр зв’язку та інформації Сінгапуру Жозефіна Тео заявила, що хакінг є загрозою для організацій по всьому світу: «Кіберзлочинці з точки зору їх рівня підготовки наздоганяють державних кібершпигунів. Це стало питанням національної безпеки. Кіберзлочинний світ прибутковий і самофінансований, тому він процвітатиме» [11].

Під час виступу на міжнародній конференції CYBERSEC FORUM «Обʼєднані в кіберсилі» 17–18 травня в Катовіце заступник голови Держспецзв’язку Олександр Потій наголосив, що розроблення концепції кіберстримування має спиратися на досвід програми ядерного стримування [12].

Україна здобула одразу дві міжнародні нагороди у сфері кібербезпеки CYBERSEC Award. Організатори відзначили героїчний кіберзахист, до якого долучилося все українське суспільство, враховуючи державний апарат, IT-спільноту та волонтерів [13].

Загалом, з дня російського вторгнення в Україну ІТ-армія атакувала близько 2 000 російських ресурсів. Багато з них було атаковано повторно [14].

Найактивнішими хакерськими угрупуваннями, які воюють на українському кіберфронті є [15]:

  • Anonymous;
  • Against The West (ATW) (пов’язані з Anonymous)
  • NB65 (пов’язані з Anonymous)
  • Thblckrbbtworld (діють від імені Anonymous)
  • HackenProof
  • IT Army of Ukraine
  • HackYourMom
  • Гільдія IT-фахівців

Значну частину цих угрупувань складають українські «хактивісти», які вносять значний вклад в захист кіберкордонів України. Російські пропагандисти та хакери намагаються скопіювати цей рух. У росії створили «Кіберармію рф», яка прагне повторити успіхи ІТ-армії України і мімікрувати під «загальноросійський рух» [16].

Також, за словами експерта з кібербезпеки Костянтина Корсуна, до протистояння у кіберпросторі з боку рф залучені співробітники 18 центру ФСБ, хакери з Головного розвідувального управління рф, представники «ботоферм» та ще кількох російських спецслужб [1].

Найактивнішими хакерськими угрупуваннями, які воюють на російському кіберфронті є [15]:

  • Armageddon (UAC-0010)
  • Fancy Bear (APT28, Sofacy, Pawn storm, Sednit и Strontium)
  • Ghostwriter (UNC1151)
  • Sandworm (UAC-0082)
  • Scarab
  • TA416 (Mustang Panda, RedDelta, Temp.Hex)
  • Killnet
  • Legion

Посилення кібербезпеки України

  • Країни G7 передадуть Україні технології для захисту від кібератак [17].
  • Українські хакери покращили кіберзброю проти росії: до програми Liberator додано функцію Multitarget, яка посилює DDoS-атаки й дозволяє вражати багато цілей одночасно [18].
  • Реформа кібербезпеки: влада хоче взяти під контроль державний домен GOV.UA [19].
  • Канада надасть Україні цінні розвіддані та кібердопомогу, щоб протистояти агресії росії [9].
  • Влада Італії  стверджує, що перешкодила хакерським атакам проросійських груп під час півфіналу та фіналу пісенного конкурсу Євробачення, що відбувався в італійському Турині [20].
  • Корпорація ICANN виділила Україні $1 млн. на боротьбу з російськими хакерами. Ці кошти, за словами міністра цифрової трансформації Михайла Федорова, будуть витрачені на підтримку стабільної роботи доменної системи нашої країни [21].
  • IT-армія запустила новий інструмент — бот для автоматизації кібератак проти росії [22].

Послаблення росії у кіберпросторі

  • У «першій світовій кібервійні» росія взагалі не має союзників [23].
  • Кремлівські хакери створюють фейкові профілі у «Твіттері», щоб підтримати диктаторську політику [24].

КІБЕРАТАКИ НА УКРАЇНУ

Dos/DDos:

  • волинський сайт ІА «Конкурент» [25]
  • харківські сайти «Накипіло», «Слобідський край», KHARKIV Today та InsiderNews [26]
  • видання «Одеса.Онлайн» [27]
  • cайти українських телеком-операторів [4]
  • інтернет-мережа Львівської міської ради: опублікувано частину робочих файлів [5]
  • інформаційні ресурси компанії «Укртелеком» [28]
  • супутниковий інтернет Starlink [29]
  • сайт Інституту масової інформації [30]
  • миколаївське інтернет-видання «НикВести» [31]
  • чергова кібератака на «Укртелеком» [32]

Фішинг/шкідливе ПЗ:

  • масове розповсюдження шкідливої програми JesterStealer з використанням тематики хімічної атаки [33]
  • кібератака групи APT28 із застосуванням шкідливої програми CredoMap_v2 [34]
  • кібератаки групи UAC-0010 (Armageddon) з використанням шкідливої програми GammaLoad.PS1_v2: розсилання електронних листів з темою «Щодо проведення акції помсти у Херсоні!» [35]
  • онлайн-шахрайство з використанням тематики «грошової допомоги в рамках соціальної програми ООН» [36]
  • фейковий чат-бот Є-підтримки та сайт ПриватБанку [37]
  • фішингові ресурси, що схожі на офіційний сайт МВС України [38]
  • шахрайська схема під приводом виплат держдопомоги [39]
  • фейкова сторінка сайту «Допомагати просто» для отримання грошової допомоги від ООН [40].

Інше:

  • погрози від хакерів Noname057 отримали запорізькі сайти infоrm.zp.ua та 061.ua [41, 42, 43], волинські медіа «Волинь Online», «Racurs.ua», ІА «Конкурент» [44], видання «Одеса.Онлайн» [45]
  • погрози отримали харківські сайти KHARKIV Today, «Слобідський край», «Накипіло», InsiderNews, 057.ua [46]
  • хакери Killnet оголосили глобальну кібервійну Україні (а також деяким країнам ЄС і США) [47]
  • створено три фейкові чат-боти «Щось летить» [48].

КІБЕРАТАКИ НА РОСІЮ

IT армією України  у період з 1 до 29 травня було атаковано більше як 1640 російських онлайн-ресурсів [49, 50, 51, 52]:

  • систему «ЕГАИС», що призвело до зупинки пивних заводів
  • онлайн-шопінг
  • тендерні майданчики
  • системи подачі електронної звітності (зокрема 1С)
  • сервіси російської пропаганди
  • онлайн-продажі взуття для армії агресора
  • авіасектор
  • сервіси для бізнесу
  • російські ЗМІ
  • російський магазин застосунків NashStore, аналог App Store та Google Play, мав труднощі в дні анонсованого запуску. Імпортозаміщення не спрацювало
  • у росіян виникали складнощі з продажем та орендою нерухомості онлайн
  • російські банки довго не могли оговтатися від попередніх атак ІТ-армії та впоратися з новими на свої сайти та онлайн-банкінг
  • банки
  • мікрофінансові організації
  • біржі
  • магазин застосунків RuStore
  • страхові сервіси

Аналітичний дайджест кіберподій за травень

Статистика атак від disBalancer (інструмент DDoS-атак Liberator) за три місяці кібервійни [53]:

Аналітичний дайджест кіберподій за травень

Хакери Anonymous зламали:

  • Qiwi, найпопулярніша електронна платіжна система росії (NB65 стерли 10,5 ТБ) [54].
  • ТОВ «Капітал», спеціалізована бухгалтерська фірма, яка співпрацює з Групою «САФМАР», включаючи ПАТ «РуссНефть» (витік 20,4 ГБ) [55].
  • CorpMSP, федеральна установа, що надає підтримку малому та середньому бізнесу, контролюючим акціонером якої є рф [56].
  • Відеохостинг Rutube: уражено майже 75% баз даних та інфраструктури основної версії платформи, а також 90% резервної копії та кластера для відновлення баз даних [57].
  • Російський Сбербанк,  найбільший банк Центральної та Східної Європи [58].
  • Сайт, електронну пошту учасників руху Killnet та оприлюднили дані хакерів. Оголосили кібервійну російським хакерам [59, 60].
  • Масована кібератака на офіційні сайти влади білорусі за причетність до вторгнення в Україну [61]. 

Інше:

  • У даркнеті продають дані 31 млн. клієнтів компанії «Гемотест», великої російської мережі медичних лабораторій [62].
  • Відповідно до нового указу російського диктатора володимира путіна «Про додаткові заходи інформаційної безпеки», з 2025 року багато організацій мають припинити закуповувати програмне забезпечення із недружніх (усіх західних) країн, а також планується створити регламент реагування на кіберзагрози [63].
  • Російські органи влади зазнали ряду кібератак з боку китайського АРТ-угруповання  [64].
  • Злам вбудованого плеєру телевізорів Smart: у телепрограмах російських супутникових телеканалів з’явилися антивоєнні висловлювання [65].
  • Група хакерів Obfuscated Dreams of Scheherazade створила сайт для телефонних пранків над російськими депутатами, пропагандистами, військовими, розвідниками та чиновниками [66].

КІБЕРАТАКИ В СВІТІ

REWARD

Нагорода Державного департаменту юстиції США пропонує 10 мільйонів доларів за інформацію про шістьох агентів російських розвідників (офіцерів ГРУ), причетних до нападів NotPetya у 2017 році. Зловмисна кібер-діяльність разом коштувала американським організаціям майже 1 мільярд доларів збитків [67].

EUROPEAN COUNCIL

Європейський Союз та його держави-члени разом із міжнародними партнерами рішуче засуджують зловмисну кіберактивність, яку російська Федерація веде проти України, спрямовану на супутникову мережу KA-SAT, що керується Viasat. Ця неприйнятна кібератака є ще одним прикладом тривалої моделі безвідповідальної поведінки росії у кіберпросторі, яка також стала невід’ємною частиною її незаконного та невиправданого вторгнення в Україну [68].

MICROSOFT

Представники Microsoft стверджують, що російське хакерство в Україні було масовим і переплітається з військовими операціями. Щонайменше шість різних хакерських груп, пов’язаних з Кремлем, провели майже 240 кібероперацій проти українських цілей під час війни з Україною. Російські військові атаки на Україну іноді співвідносяться з кібератаками, особливо коли це стосується атак на телекомунікаційну інфраструктуру в деяких областях [69].

DARKNET

У Даркнеті з’явився новий магазин-дамп під назвою «The KING CCARDS Shop», який пропонує скомпрометовані платіжні картки. Магазин доступний через Telegram бот.

RANSOMWARE

Як повідомляє ZDNet, понад 35 сімей програм-вимагачів і 250 національних програм-вимагачів і груп кіберзлочинів є частиною ландшафту програм-вимагачів як послуги. Зловмисники делегували завдання в атаках, причому одна група відповідала за подвійне вимагання, а інша — за розробку шкідливих програм-вимагачів. Крім того, філіали можуть використовуватися для розгортання певних шкідливих програм-вимагачів [70].

SOPHOS

Щорічне дослідження Sophos щодо реального досвіду використання програм-вимагачів показує наступні факти, що заслуговують на увагу:

  • 66% організацій постраждали від програм-вимагачів у минулому році проти 37% у 2020 році
  • резервне копіювання є методом №1 для відновлення даних, яким користуються 73% організацій, чиї дані були зашифровані
  • 46% жертв повідомили, що заплатили викуп за відновлення даних
  • в Італії, де вимагання є незаконними, тобто організаціям не дозволяється за законом платити викуп, 43% тих, чиї дані були зашифровані, визнали, що їх організація заплатила
  • середній платіж викупу склав 812 360 доларів США, що в 4,8 рази більше, ніж у 2020 році, в середньому 170 000 доларів США [71].

CONTI

Держдепартамент США оголосив винагороду в розмірі до 10 мільйонів доларів за інформацію, яка допоможе ідентифікувати або знайти місцезнаходження лідерів організованої злочинної групи Conti. Агентство також запропонувало додаткові 5 мільйонів доларів за інформацію, яка може призвести до арешту та/або засудження осіб, які змовилися брати участь у злочині разом із групою. У департаменті повідомили, що, за оцінками ФБР, за останні два роки група мала понад 1000 жертв, а виплати перевищили 150 мільйонів доларів, що робить Conti найдорожчим типом програм-вимагачів, які коли-небудь  були задокументовані [72].

 

Глобальний центр взаємодії в кіберпросторі (GC3) співпрацює з компаніями, правоохоронними та дослідницькими організаціями для нейтралізації кіберзлочинності.