Поне шест различни свързани с Русия актьори са предприели не по-малко от 237 кибератаки срещу Украйна от 23 февруари до 8 април, включително 38 дискретни разрушителни атаки, които са унищожили безвъзвратно файлове в стотици системи в десетки организации в страната.
„Колективно кибернетичните и кинетичните действия работят за нарушаване или влошаване на украинските правителствени и военни функции и подкопават доверието на обществеността в същите тези институции“, заяви отделът за цифрова сигурност (DSU) на компанията в специален доклад.
Основните фамилии злонамерен софтуер, които са били използвани за разрушителна дейност като част от безмилостните цифрови атаки на Русия, включват: WhisperGate, HermeticWiper (FoxBlade известен още като KillDisk), HermeticRansom (SonicVote), IssacWiper (Lasainraw), CaddyWiper, DesertBlade, DoubleZero (FiberLake) и Industroyer2.
WhisperGate, HermeticWiper, IssacWiper и CaddyWiper са чистачи на данни, предназначени да презаписват данни и да правят машините нестартиращи, докато DoubleZero е .NET злонамерен софтуер, способен да изтрива данни. Твърди се, че DesertBlade, също чистач на данни, е бил стартиран срещу неназована телевизионна компания в Украйна на 1 март.
SonicVote, от друга страна, е файлов криптатор, разпознат във връзка с HermeticWiper, за да маскира проникванията като ransomware атака, докато Industroyer2 е специално проектиран да атакува оперативни технологични мрежи, за да саботира критично индустриално производство и процеси.
Microsoft приписва HermeticWiper, CaddyWiper и Industroyer2 с умерена увереност на руски държавно спонсориран актьор на име Sandworm (известен още като Iridium). Атаките на WhisperGate са свързани с неизвестен досега клъстер, наречен DEV-0586, за който се смята, че е свързан с руското военно разузнаване ГРУ.
Смята се, че 32% от общо 38-те разрушителни атаки са отделили украински правителствени организации на национално, регионално и градско ниво, като над 40% от атаките са насочени към организации в критични инфраструктурни сектори в нациите.
В допълнение, Microsoft каза, че е наблюдавал Nobelium, заплахата, обвинявана за атаката на веригата за доставки на SolarWinds през 2020 г., опитвайки се да проникне в ИТ фирми, обслужващи държавни клиенти в държави-членки на НАТО, използвайки достъпа до извличане на данни от западни външнополитически организации.
Други злонамерени атаки включват фишинг кампании, насочени към военни единици (Fancy Bear, известен още като Strontium) и държавни служители (Primitive Bear, известен още като Actinium), както и кражба на данни (Energetic Bear, известен още като Bromine) и разузнаване (Venomous Bear известен още като Криптон) операции.
„Използването на кибератаки от Русия изглежда е силно свързано и понякога директно синхронизирано с нейните кинетични военни операции, насочени към услуги и институции, които са от решаващо значение за цивилните“, каза Том Бърт, корпоративен вицепрезидент по сигурността и доверието на клиентите.
„Като се има предвид руските заплахи, които отразяват и увеличават военните действия, ние вярваме, че кибератаките ще продължат да ескалират, докато конфликтът бушува. Вероятно атаките, които наблюдаваме, са само част от дейността, насочена към Украйна.“
„Броят на кибератаките в Украйна ще се увеличи през следващите шест месеца“, каза руската компания за киберсигурност Kaspersky в собствения си анализ на офанзивите в Украйна миналия месец. „Въпреки че повечето от настоящите атаки са с ниска сложност – като DDoS или атаки, използващи стандартни и нискокачествени инструменти – съществуват и по-сложни атаки и се очаква да дойдат още.“
Намирате ли тази статия за интересна? Следвайте THN във Facebook, Twitter и LinkedIn, за да прочетете повече ексклузивно съдържание, което публикуваме.