Кібервійна: як проходять російські кібероперації в Україні?

росія не відмовляється від практики нанесення гібридних атак, які поєднують кіберскладову та ракетні удари. За прогнозами фахівців кіберпростору, інформаційні ресурси організацій сектору безпеки і оборони, як і окремі комп’ютери та гаджети працівників/службовців таких структур, будуть ціллю номер один в 2024 році.

«Київщина 24/7» розповідає як розпізнати кібератаки та надає практичні кроки від Держспецзв`язку як правильно діяти військослужбовцям ЗСУ та цивільному населенню під час гібридної війни.

За даними Держспецзв`язку, нині кількість та сфокусованість кібератак на Україну зростає, і ключові з них стають дедалі складнішими з технічного погляду. Все це вимагає подальшого нарощування нашої кіберстійкості, залучення більше ресурсів, а також посилення кооперації та обміну інформацією та технологіями з партнерами, адже Україна продовжує залишатися полігоном для апробації найсучасніших підходів застосування кіберскладової для військових дій.

Євгенія Волівник, керівниця Урядової команди реагування на комп’ютерні надзвичайні події України CERT-UA зазначила:

«Ці два роки повномасштабного вторгнення стали каталізатором прискорення і без того стрімкої еволюції кіберспроможностей ворога та зробили його команди значно досвідченішими. Російські хакери та їхні аналітичні центри постійно шукають нові шляхи застосування кіберможливостей для отримання розвідувальної інформації та підсилення ефекту наземних військових кінетичних та психологічних операцій».

Вона підкреслила, що всі успішні напрацювання російських кіберпідрозділів із часом починають застосовуватися і проти інших демократичних країн. Це той факт, який всім доведеться взяти до уваги — кіберпростір єдиний, він не має кордонів і потребує оновлення вже застарілих доктрин до захисту.

«Те, що вас не атаковано, свідчить лише про те, що до вас не дійшла черга, або ви не маєте необхідної телеметрії щодо присутності ворожих хакерських груп вже у ваших системах», — підсумувала Євгенія Волівник.

Основні інсайти кібератак

1. Телеком – ключовий напрям.

Цілеспрямована кампанія з боку російських хакерів, спрямована на провайдерів телекомунікацій.

2. Активне застосування найсвіжіших експлойтів (комп’ютерна програма, фрагмент програмного коду або послідовність команд, що використовують вразливості в програмному забезпеченні та призначені для проведення атаки на обчислювальну систему).

Активніше застосування найсвіжіших вразливостей в клієнтському  програмному забезпеченні (client-side attacks) з метою прихованого доступу та імплантації.

3. Домінування нових груп у загальній статистиці.

Рейтинг найактивніших очолили групи, що наразі не асоційовані зі спецслужбами країни-агресора (хоча вони діють в інтересах російської влади). Вони відзначилися використанням добре продуманих фішингових атак, основною ціллю яких є розповсюдження шкідливого програмного забезпечення для віддаленого керування (RemcosRAT, RemoteUtilities) або програм для викрадення даних (LumaStealer, MeduzaStealer).

4. Швидка експлуатація актуальних тематик.

Спостерігається висока оперативність розповсюдження вірусів з використанням актуальних інформаційних приводів, наприклад, щодо членства України в Організації Північноатлантичного договору чи набору до ЦАХАЛ (на початку військового конфлікту в Ізраїлі).

5. Цільові кібероперації проти Сил оборони з метою шпигунства.

Атаки з метою доступу, контролю та зняття розвідувальної інформації зі спеціалізованих систем контролю поля бою — стратегічна військова ціль противника. Щоб мати доступ до таких систем і до чатів військових та отримати компрометацію облікових даних, хакери створювали і розповсюджували підроблені версії програмного забезпечення, здійснювали атаки, спрямовані на компрометацію месенджерів, якими активно користуються військові.

«Це можна вважати новим витком війни — певною ескалацією у спробах утримати ініціативу та присутність на українських об’єктах інформаційної інфраструктури, які становлять інтерес у російських хакерів», — зазначили у Держспецзв`язку.

Ви під атакою – що робити?

У 2023 році угруповання UAC-0082 (також відоме як Sandworm, що є військовим підрозділом ГУ ГШ МО РФ) реалізувало 68 атак, з яких 10 були скеровані проти провайдерів телекомунікацій України з використанням технічних вразливостей та людського фактора. Наприклад, кібератака на «Київстар» є повноцінною складовою цієї гібридної війни. Кількість спроб здійснити такі атаки зростатиме, а їх успішність залежатиме від готовності організацій протистояти ворогу в кіберпросторі.

Ворожі хакери використовують і соціальну інженерію для кібератак на ЗСУ. Урядова команда реагування на комп’ютерні надзвичайні події України CERT-UA, яка діє при Держспецзв’язку, попереджає про нову кіберзагрозу, спрямовану проти військовослужбовців Сил оборони України.  Зловмисники розсилають шкідливі файли через месенджер Signal, маскуючи їх під документи, необхідні для заміщення посади в Департаменті операцій з підтримки миру ООН.

Як розпізнати атаку: 

• вам надходить повідомлення в Signal чи інший месенджер, у якому вказано термінове питання, вимога чи пропозиція, наприклад, прохання надати документи для заміщення посади в ООН;
• до повідомлення додано файл, наприклад, «Супровід.rar».

Що робити, якщо ви отримали таке повідомлення:

•  не відкривайте доданий файл!
• не переходьте за посиланнями в повідомленні!
• зверніться до CERT-UA для аналізу повідомлення та файлу.

Як захиститися:

• будьте пильними та критично ставтеся до будь-яких повідомлень, які спонукають вас відкрити файли або перейти за посиланнями, в тому числі тих повідомлень, що надходять через месенджери;
• за найменшої підозри повідомлення посилання та файли надавайте для аналізу до відповідних підрозділів і/або CERT-UA.

Експлуатація довіри українців до ЗСУ

Минулого місяця зловмисники розсилали по всій Україні повідомлення в WhatsApp, закликаючи проголосувати за електронну петицію про присвоєння звання «Герой України» посмертно військовослужбовцям ЗСУ. Повідомлення містили посилання на фейковий сайт, який імітував офіційну вебсторінку «Електронних петицій».

Як діяли шахраї:

• жертва переходить за посиланням у фейковому повідомленні;
• на фейковому сайті пропонується ввести номер телефону та отримати код;
• жертва вводить код у WhatsApp, щоб «додати довірений пристрій»;
• зловмисники отримують доступ до акаунту WhatsApp жертви.

Наслідки:

• Зловмисники можуть читати ваші повідомлення, бачити ваші фото та відео, а також надсилати повідомлення від вашого імені.

Як захиститися:

• Не переходьте за посиланнями в підозрілих повідомленнях WhatsApp.
• Перевіряйте доменне ім’я сайту, перш ніж вводити будь-які дані. Офіційна сторінка «Електронних петицій» розміщена за адресою.
• Ніколи не вводьте код, отриманий через SMS, на сторонніх сайтах.
• Ставтеся критично до будь-яких закликів перейти за посиланням чи відсканувати QR-код.
• Налаштуйте двофакторну автентифікацію.
• Звертайтеся в CERT-UA у разі виявлення підозрілої активності: cert@cert.gov.ua, +38 (044) 281-88-25.

Авторка: Наталя Толуб

Фото: Freepik

Читайте також: Суїцид у війську: як врятувати життя?

Актуальні, важливі й перевірені новини Київщини також читайте на нашій Facebook-сторінці і в Telegram-каналі