Microsoft opublikował raport zawierający analizy cyberataków, które miały miejsce podczas pierwszego roku wojny na Ukrainie. Analizy, przygotowane przez Microsoft Digital Threat Analysis Center, uwzględniają także zjawiska zaobserwowane w ostatnich miesiącach.
Microsoft zaznaczył w komunikacie, że udostępnia zebrane informacje, aby pomóc krajom przygotować się na ryzyko rozprzestrzeniania się ostatnich cyberataków i podzielić się zaleceniami dotyczącymi zwiększenia bezpieczeństwa.
Od początku konfliktu Rosja użyła co najmniej dziewięciu nowych rodzajów złośliwego oprogramowania (tzw. wiperów) i dwóch rodzajów ransomware przeciwko ponad 100 ukraińskim organizacjom sektora rządowego i prywatnego. Mimo silnej współpracy w zakresie cyberbezpieczeństwa pomiędzy sektorem publicznym i prywatnym oraz gotowości i odporności Ukrainy, która umożliwiła skuteczną obronę przed większością ataków, rosyjska aktywność nie ustaje.
Na początku 2023 roku Rosja zintensyfikowała działania szpiegowskie, kierując je na organizacje w co najmniej 17 krajach europejskich, głównie rządowe. W Ukrainie kontynuowane są ataki z użyciem oprogramowania Wiper, które ma na celu trwałe usuwanie informacji lub nadpisywanie plików, przez co stają się one bezużyteczne.
Pod koniec listopada 2022 roku Microsoft i inne firmy z branży bezpieczeństwa zidentyfikowały nową formę tego oprogramowania, zwaną „Sullivan”, używaną przeciwko ukraińskim celom obok ransomware „Prestige”, którego Rosja użyła na Ukrainie i w Polsce w październiku 2022 roku. Przeprowadzone analizy sugerują, że Rosja będzie kontynuować działania szpiegowskie przeciwko Ukrainie i jej partnerom, jak również ataki destrukcyjne na terytorium Ukrainy i potencjalnie poza nim – jak miało to miejsce w przypadku ataku „Prestige” w Polsce, przypisanego rosyjskiej grupie cyberprzestępców Iridium.
Rosyjska ofensywa hybrydowa obejmuje również narzędzia wpływania na opinię publiczną. Na przykład, rosyjska maszyna propagandowa prowadziła niedawno działania wymierzone w ukraińskich uchodźców rozsianych po całej Europie, próbując przekonać ich, że mogą zostać deportowani i wcieleni do ukraińskiego wojska.
Kampania wpływu Rosji przyczyniła się także do zwiększenia napięć społecznych w Mołdawii. Rosyjskie media promowały protesty wspierane przez prorosyjską partię polityczną, zachęcając obywateli do żądania od rządu zapłaty za zimowe rachunki za energię. W ramach innej, powiązanej z Rosją kampanii o nazwie „Moldova Leaks”, publikowano rzekome przecieki od mołdawskich polityków, co jest tylko jednym z wielu przykładów operacji typu hack-and-leak, mających na celu wykradanie danych i ich zmanipulowane publikowanie w celu siania nieufności obywateli Europy wobec ich własnych rządów.
Nowy raport Microsoft Threat Intelligence na temat rosyjskiej aktywności w przestrzeni cyfrowej zawiera te i wiele innych przykładów działań. Publikacja zwraca również uwagę na szereg towarzyszących im ogólnych trendów.
Po pierwsze, hybrydowa wojna Moskwy w Ukrainie nie przebiegła zgodnie z planem. Silne zaangażowanie ukraińskich i międzynarodowych obrońców sieci oraz ludność ukraińska zahartowana w walce z rosyjską propagandą nie pozwoliły Kremlowi na szybkie zwycięstwo, którego oczekiwano.
Po drugie, rosyjskie cyberataki zostały dostosowane do celów i używanych technik. Miały na celu zbieranie informacji wywiadowczych na temat Ukrainy oraz wspierających ją krajów, a także przygotowywanie gruntu pod ataki na terytorium Ukrainy i być może poza nią.
Rozwój nowych form oprogramowania typu ransomware jest tego najlepszym dowodem, a inne obejmują wykorzystanie mediów społecznościowych do sprzedaży ukraińskim odbiorcom pirackiego złośliwego oprogramowania, które umożliwia wstępny dostęp do danych organizacji. Są to także kampanie spearphishingowe, czyli bardziej precyzyjna wersja ataków phishingowych, wymierzone w podatne na ataki serwery stacjonarne w instytucjach rządowych, informatycznych i organizacjach reagujących na katastrofy w Europie.
Po trzecie, nie ma granic geograficznych, które byłyby wyłączone z prób rosyjskich ataków. Atakujący, znani lub podejrzewani o powiązania z rosyjskimi służbami wywiadowczymi, próbowali uzyskać wstępny dostęp do organizacji rządowych i tych związanych z obronnością nie tylko w Europie Środkowej i Wschodniej, ale również w obu Amerykach.
W związku z tym, Microsoft zaleca, aby kraje i organizacje na całym świecie były przygotowane na ewentualne ataki i podjęły wszelkie możliwe środki w celu wzmocnienia swojego cyberbezpieczeństwa. Współpraca na szczeblu międzynarodowym, wymiana informacji i dobrych praktyk oraz odpowiednie inwestycje w infrastrukturę ochrony stanowią kluczowe elementy skutecznej obrony przed rosnącym zagrożeniem ze strony Rosji.
Microsoft kontynuuje współpracę z rządami i organizacjami na całym świecie, udzielając pomocy technicznej i eksperckiej oraz dostarczając niezbędnych narzędzi do walki z cyberatakami. Firma podkreśla jednak, że obrona przed tego rodzaju zagrożeniami wymaga stałego zaangażowania, edukacji i świadomości cyberbezpieczeństwa na wszystkich szczeblach społeczeństwa.
W obliczu rosnącej liczby cyberataków ze strony Rosji, kraje i organizacje muszą zrozumieć, że cyberprzestrzeń to nowe pole bitwy. Wymaga ona stałego monitorowania, innowacji i współpracy, aby skutecznie bronić się przed zagrożeniami i chronić suwerenność oraz interesy narodowe.
W miarę jak konflikt między Rosją a Ukrainą i jej sojusznikami będzie się rozwijał, coraz większe znaczenie będzie miało zaangażowanie społeczności międzynarodowej oraz dalsze wspieranie inicjatyw mających na celu zwiększenie odporności cyfrowej. Tylko wspólnymi siłami możemy przeciwdziałać rosnącemu zagrożeniu w cyberprzestrzeni i utrzymać pokój oraz stabilność na świecie.