Small group of hackers getting access to database in office
Microsoft випустив звіт із докладним описом російських кібератак проти України. Безпосередньо перед повномасштабним вторгненням компанія зафіксувала 237 атак проти України, зокрема на цивільні об’єкти. Вони також супроводжувалися широкою шпигунсько-розвідувальною діяльністю.
Це вже другий звіт після того, як фахівці компанії взяли під контроль мережу із семи доменів, які належали розвідці росії.
Частину атак було спрямовано на ЗМІ, намагаючись підірвати довіру до керівництва країни. У Microsoft додатково спостерігали обмежену шпигунську активність в інших державах-членів НАТО та деяку діяльність з дезінформації.
Наприклад, російські хакери зробили кібератаку на велику телекомпанію 1 березня, того ж дня, коли російські військові оголосили про намір знищити українські об’єкти та завдали ракетного удару по телевежі в Києві.
13 березня російські хакери вкрали дані з організації з ядерної безпеки через кілька тижнів після того, як російські військові частини розпочали захоплення атомних електростанцій.
«32% деструктивних атак було спрямовано безпосередньо на урядові організації України на національному, регіональному та міському рівнях. Понад 40% деструктивних атак було спрямовано на організації у критично важливих секторах інфраструктури, що могло мати негативні наслідки другого порядку для українського уряду, військових, економіки та цивільного населення».
Том Берт, корпоративний віцепрезидент з безпеки та довіри клієнтів
Хакери використовували різні методи для отримання початкового доступу до своїх цілей, включаючи фішинг, використання незакритих вразливостей та компрометацію постачальників IT-послуг. Часто шкідливе ПЗ при кожному розгортанні модифікували, щоб уникнути виявлення. Цікаво, що у звіті шкідливі програми Wiper приписуються російській національній держструктурі, яка проходить у Microsoft під назвою Iridium.
Звіт також включає докладну хронологію російських кібероперацій. Пов’язані з країною-агресором суб’єкти почали готуватися до конфлікту ще у березні 2021 року, посилюючи дії проти організацій усередині України, аби закріпитись в українських системах. Коли російські війська вперше почали просуватися до кордону з Україною, фахівці Microsoft бачили спроби отримати початковий доступ до цілей, які могли б надати розвідувальні дані про військові та закордонні партнерства України.
До середини 2021 року російські суб’єкти націлилися на ланцюжки постачання в Україні та за кордоном, щоб забезпечити подальший доступ не лише до систем в Україні, а й у країнах-членах НАТО. На початку 2022 року, коли дипломатичні зусилля не змогли знизити зростальну напруженість навколо нарощування російської військової могутності вздовж кордонів України, російські суб’єкти розпочали все більш інтенсивні руйнівні атаки шкідливого ПЗ Wiper на українські організації. Відколи почалося російське вторгнення в Україну, кібератаки були розгорнуті для підтримки стратегічних і тактичних цілей збройних сил.
Команди безпеки Microsoft тісно співпрацювали з українськими чиновниками та фахівцями з кібербезпеки. У січні цього року Microsoft Threat Intelligence Center (MSTIC) виявив шкідливе програмне забезпечення Wiper у більш ніж десятці мереж в Україні. Компанія попередила український уряд, після чого було встановлено безпечну лінію зв’язку з ключовими посадовими особами в галузі кібербезпеки в Україні.
У Microsoft вважають, що кібератаки продовжуватимуть наростати, а росія розширить деструктивні дії за межами України, щоб помститися тим країнам, які вирішать надати додаткову військову допомогу та ввести нові санкції. Пов’язані з росією суб’єкти вже виявляють інтерес або проводять операції проти організацій у країнах Балтії та Туреччини.