Сьогодні війна йде не тільки в українських містах та селах. Повномасштабне вторгнення росії в нашу країну супроводжується активним поширенням від ворожих хакерів дезінформації, пропаганди, проведенням інформаційно-психологічних операцій, кібератаками на об’єкти критичної інфраструктури нашої країни. Thepage з’ясував, як воюють українські кібервійська та як російські та проросійські хакери атакують Україну з січня 2022 року.

Скільки кібератак на Україну здійснила росія

З початку 2022 року Служба безпеки України нейтралізувала понад 4,5 тис. кібератак на Україну. Якщо у 2020 році було зафіксовано майже 800 кібератак, у 2021 – 1400, то вже минулого року їхня кількість зросла у понад три рази.

Урядова команда реагування на компʼютерні надзвичайні події CERT-UA, яка діє при Держспецзв’язку, зареєструвала та дослідила протягом 2022 року 2,1 тис. кіберінцидентів та кібератак. А від початку повномасштабного воєнного вторгнення росії в Україну – понад 1,5 тис.

Найчастіше ворожі хакери атакують державний сектор: на нього припадає близько чверті всіх досліджених випадків.

Cеред головних цілей ворожих хакерів наводять такі:

1. шпіонаж (отримання розвідданих щодо логістики, озброєння, планів та операцій Сил безпеки та оборони);
2. спроби виведення з ладу об’єктів критичної інформаційної інфраструктури;
3. позбавлення доступу громадян до державних послуг та сервісів, банківського обслуговування тощо.

А також – інформаційно-психологічні операції та дезінформаційні вкиди з метою підриву довіри до органів державної влади, Сил безпеки та оборони, поширення панічних настроїв серед населення.

Під особливою увагою російських хакерів залишається енергетичний сектор. Кібератаки на підприємства енергетики відрізняються складністю проведення та підготовлення, їх важче виявляти. Також під постійним прицілом – компанії, що є постачальниками послуг, апаратного та програмного забезпечення для енергокомпаній.

Український кіберзахист: як Україна захищається від кібератак

Сьогодні Security Operation Center МОУ в режимі 24/7 проводить моніторинг подій безпеки на всіх рівнях — від інфраструктурного до аплікаційного. Також на щоденній основі аналізується кіберпростір і опрацьовуються гіпотези щодо актуальних тактик та технік, притаманних спецслужбам ворога.

«Поки ворожим хакерам не вдалося досягнути якихось стратегічних цілей. Але попри нашу достатньо ефективну діяльність щодо попередження кібератак, ворог продовжує шукати можливості та використовувати їх для того, щоб отримати доступ до інформаційно-комунікаційних мереж об’єктів критичної інфраструктури. Більше того, із великою ймовірністю агресія у кіберпросторі з боку росії буде тривати навіть після нашої перемоги», – зауважує заступник голови Держспецзв’язку Віктор Жора.

До кіберзахисту українських інформаційних систем долучились найкращі вітчизняні та світові фахівці. Нам допомагають уряди та комерційні компанії більшості демократичних країн світу.

Держава також активно набирає кіберволонтерів і, наприклад, за допомогою смс розсилки запрошує до кібервійська України.

Втім Костянтин Корсун, автор цифрового контенту у Facebook, зазначає:

«Немає в Україні взагалі жодного кібервійська. Не існує в природі. Саме як «війська», а не волонтерсько-партизанських айті-угруповань, які можуть називати себе як завгодно. І за участь у яких після нашої перемоги не виключені проблеми юридичного характеру. Якби у кіберполіції знали хоча б основи кібергігієни – нізащо б не відправляли масових смс із запрошенням до «кібервійська» у рашистському Телеграмі. Це просто табу для більш-менш освіченого кібербезпечника».

За свого боку, Володимир Кондрашов, речник у Державній службі спеціального зв'язку та захисту інформації України, підкреслює, що використання того чи іншого месенджера визначається завданнями комунікації кожного користувача, наявним функціоналом, необхідним ступенем захисту:

«Потрібно мати розуміння, що не буває абсолютно безпечних чи захищених систем. Як і раніше, ми рекомендуємо використовувати перевірені месенджери з відкритим кодом».

Які російські та проросійські хакери атакують Україну

За інформацією Державної служби спеціального зв’язку та захисту інформації України, у період від вересня по грудень 2022 року в Україні діяли такі російські та проросійські хакерські угрупування:

1. ARMAGEDDON/GAMAREDON/PRIMITIVE BEAR (ФСБ рф, активність відслідковується за ідентифікатором UAC-0010).
2. SANDWORM (ГУ ГШ ЗС рф (ГРУ), активність відслідковується за ідентифікатором UAC-0082).
3. APT28/FANCY BEAR (ГУ ГШ ЗС рф (ГРУ), активність відслідковується за ідентифікатором UAC-0028).
4. АРТ29/COZY BEAR (СЗР рф, активність відслідковується за ідентифікатором UAC-0029).
5. UNC1151/ GHOSTWRITER (Міністерство оборони рб, активність відслідковується за ідентифікатором UAC-0051).
6. XAKNET, KILLNET, Z-TEAM, CYBERARMYOFRUSSIA_REBORN (проросійські кібертерористи, активність відслідковується за ідентифікаторами UAC-0106, UAC-0108, UAC-0109, UAC-0107 відповідно).

Від початку 2022 року росія запустила щонайменше декілька сімейств шкідливого програмного забезпечення в Україні: 

1. WhisperGate/WhisperKill;
2. CaddyWiper;
3. Hermetic Wiper;
4. Industroyer2;
5. DoubleZero

та інші.

Види кібератак у 2022 році:

1. сканування (збір інформації про системи або мережі);
2. спроби експлуатації вразливості (спроби вторгнення з використанням вразливості у системі, компоненті чи мережі);
3. шкідливе підключення (спроби з’єднання від/до IP/URL — адреси, пов'язаної з відомим ШПЗ, наприклад C2C або ресурсом розповсюдження компонентів, пов’язаних із активністю певної бот-мережі);
4. спроби авторизації або входу в систему (спроба входу до служб або механізмів доступу, невдала спроба підбору автентифікаційних даних чи використання раніше скомпроментованих (вже неактуальних даних);
5. атаки на відмови в обслуговуванні Dos/Doss (вплив на нормальне функціонування системи чи сервісу, що досягається направленням з одного чи багатьох джерел до цільового ресурсу запитів для перенасичення пропускної здатності чи системних ресурсів).

Приклади кібератак: маскування під ДСНС та Генштаб

Фахівці CERT-UA 21 жовтня виявили факт розповсюдження електронних листів, начебто від імені пресслужби Генштабу ЗСУ. У повідомленнях містилося посилання на завантаження «наказу», перейшовши за яким, жертва потрапляла на сторінку із повідомленням про необхідність оновлення програмного забезпечення (PDF Reader). Натискання на кнопку «Завантаження» призводило до завантаження шкідливої програми RomCom.11.

Ще російські хакери маскувалися під ДСНС, розсилаючи листи з темою «Як розпізнати дрон-камікадзе». Таким чином вони намагались розповсюджувати шкідливу програму DolphinCape, серед функції якої — збір інформації, запуск EXE/DLL файлів, відображення списку файлів та їх вивантаження, а також створення та ексфільтрація знімків екрана.

У кіберпросторі росія атакує Україну з такою ж інтенсивністю, як б’є по нас ракетами. Віртуальні атаки противника найчастіше спрямовані на цивільну інфраструктуру енергетику, зв’язок, бази даних та реєстри, урядові сайти. Вони мають на меті створити паніку та гуманітарну кризу в Україні, підірвати оборонну спроможність ЗСУ. Російські хакери мають великий досвід соціальної інженерії, точні дані щодо «гарячих» тем в країні та майстерно все це використовують для дезінформації усього світу.

У нас вже є потужна армія кіберволонтерів, професійні спеціалісти кібербезпеки державного сектору та високий рівень державно-приватного партнерства завдяки підтримці від бізнесу. Разом з тим, необхідно якнайшвидше ухвалити закон про створення та функціонування у системі Міноборони кібервійськ, який має стати підґрунтям у сфері кібероборони, залучення до цієї діяльності кіберволонтерів та створення кіберрезерву.