Small group of hackers getting access to database in office
Microsoft выпустил отчет с подробным описанием российских кибератак против Украины. Непосредственно перед полномасштабным вторжением компания зафиксировала 237 атак против Украины, в том числе на гражданские объекты. Они также сопровождались широкой шпионско-разведывательной деятельностью.
Это уже второй отчет после того, как специалисты компании взяли под контроль сеть из семи доменов, которые принадлежали разведке россии.
Часть атак были направлены на СМИ, пытаясь подорвать доверие к руководству страны. В Microsoft дополнительно наблюдали ограниченную шпионскую активность в других государствах-членах НАТО и некоторую деятельность по дезинформации.
Например, российские хакеры предприняли кибератаку на крупную телекомпанию 1 марта, в тот же день, когда российские военные объявили о намерении уничтожить украинские объекты и нанесли ракетный удар по телебашне в Киеве.
13 марта российские хакеры украли данные из организации по ядерной безопасности через несколько недель после того, как российские воинские части начали захват атомных электростанций.
«32% деструктивных атак были направлены непосредственно на правительственные организации Украины на национальном, региональном и городском уровнях. Более 40% деструктивных атак были направлены на организации в критически важных секторах инфраструктуры, что могло иметь негативные последствия второго порядка для украинского правительства, военных, экономики и гражданского населения»
Том Берт, корпоративный вице-президент по безопасности и доверию клиентов
Хакеры использовали различные методы для получения начального доступа к своим целям, включая фишинг, использование незакрытых уязвимостей и компрометацию вышестоящих поставщиков IT-услуг. Часто вредоносное ПО при каждом развертывании модифицировали, чтобы избежать обнаружения. Примечательно, что в отчете вредоносные программы Wiper приписываются российской национальной госструктуре, которая проходит в Microsoft под названием Iridium.
Отчет также включает подробную хронологию российских киберопераций. Связанные со страной-агрессором субъекты начали готовиться к конфликту еще в марте 2021 года, усиливая действия против организаций внутри Украины, чтобы закрепиться в украинских системах. Когда российские войска впервые начали продвигаться к границе с Украиной, специалисты Microsoft видели попытки получить первоначальный доступ к целям, которые могли бы предоставить разведданные о военных и зарубежных партнерствах Украины.
К середине 2021 года российские субъекты нацелились на цепочки поставок в Украине и за рубежом, чтобы обеспечить дальнейший доступ не только к системам в Украине, но и в странах-членах НАТО. В начале 2022 года, когда дипломатические усилия не смогли снизить нарастающую напряженность вокруг наращивания российской военной мощи вдоль границ Украины, российские субъекты начали все более интенсивные разрушительные атаки вредоносного ПО Wiper на украинские организации. С тех пор как началось российское вторжение в Украину, кибератаки были развернуты для поддержки стратегических и тактических целей вооруженных сил.
Команды безопасности Microsoft тесно сотрудничали с украинскими чиновниками и специалистами по кибербезопасности. В январе этого года Microsoft Threat Intelligence Center (MSTIC) обнаружил вредоносное ПО Wiper в более чем десятке сетей в Украине. Компания предупредила украинское правительство, после чего была установлена безопасная линия связи с ключевыми должностными лицами в области кибербезопасности в Украине.
В Microsoft считают, что кибератаки будут продолжать нарастать, а россия расширит деструктивные действия за пределами Украины, чтобы отомстить тем странам, которые решат оказать дополнительную военную помощь и ввести новые санкции. Связанные с россией субъекты уже проявляют интерес или проводят операции против организаций в странах Балтии и Турции.