De la începutul războiului, în fiecare săptămână au fost identificate noi atacuri cibernetice care au loc în Ucraina, atacuri care duc la o varietate de interpretări - şi, într-adevăr, la un sentiment global de confuzie. În acest raport, Kaspersky caută să prezinte o evaluare tehnică strategică asupra evenimentelor curente.
Cercetătorii Kaspersky în domeniul securităţii cibernetice din Global Research and Analysis Team (GReAT) observă un peisaj de ameninţări în legătură cu conflictul, cu comunitatea internaţională mai largă şi, astfel, contribuie la discuţii mai ample privind stabilitatea cibernetică în curs de desfăşurare a perspectivelor legate de ameninţări.
Prezentare generală a activităţilor cibernetice
De la începutul războiului, comunitatea internaţională a observat un număr foarte mare de atacuri de diferite feluri şi cu diferite grade de sofisticare. Aceste atacuri includ:
Atacurile distructive precum:
Ransomware (IsaacRansom);
Ransomware fals (WhisperGate);
Wiper-e (HermeticWiper, CaddyWiper, DoubleZero, IsaacWiper); şi
Wiper-e ICS/OT (AcidRain, Industroyer2).
Ameninţări persistente avansate (APT) şi campanii axate pe colectarea de informaţii, cum ar fi:
Gamaredon;
Hades (sandworm);
PandoraBlade; şi
UNC1151.
Dacă analizăm atacurile distructive, nu putem să nu remarcăm faptul că multe dintre programele rău intenţionate descoperite prezintă grade foarte diferite de sofisticare. La un capăt al spectrului, HermeticWiper este un software extrem de bine conceput, care trebuie să fi necesitat săptămâni de dezvoltare (cel puţin) înainte de a fi lansat. La celălalt capăt, programe precum IsaacWiper par a fi produse în pripă - ca şi cum operatorii lor ar fi fost însărcinaţi cu distrugerea de date pe ultima sută de metri.
Contrar unor declaraţii, nu au fost observate eforturi deosebite de coordonare, nici între apariţiile acestor atacuri, nici cu operaţiuni militare care ar fi avut loc în acelaşi timp (cu excepţia notabilă a AcidRain). De asemenea, nu a fost identificată vreo tendinţă specială de targetare. Opinia noastră este că anumite grupuri separate au decis să profite şi să facă ravagii imediat după izbucnirea conflictului.
Impactul operaţional limitat, în general, al unor astfel de atacuri ar putea părea surprinzător, atunci când considerăm că unii actori de ameninţări, activi în regiune, au demonstrat în trecut capacităţi extrem de perturbatoare (de exemplu, BlackEnergy). Putem doar specula de ce astfel de capabilităţi nu au fost folosite de la sfârşitul lunii februarie, dar cea mai bună presupunere este că atacurile nu au fost coordonate şi fiecare astfel de atac cu un impact mai perturbator necesită, de obicei, mai mult efort de planificare şi execuţie atentă din partea atacatorilor. Această presupunere poate primi mai multă greutate data fiind descoperirea de către ESET a Industroyer2 într-o companie energetică ucraineană: cercetarea raportează că acţiuni distructive au fost planificate pentru 8 aprilie, dar că "atacul fusese planificat pentru cel puţin două săptămâni". Putem presupune că un astfel de atac necesită o planificare atentă şi că pregătirile pentru el au început abia după ce a devenit clar că războiul va dura mai mult decât se credea iniţial.
În acest sens, rezumând aspectele menţionate, acestea sunt cele trei concluzii principale:
Atacurile observate până în prezent împotriva infrastructurii din Ucraina par a fi necoordonate şi conduse de grupuri de niveluri tehnice diferite;
În timp ce aceste activităţi cibernetice sugerează rolul pe care spaţiul cibernetic ar putea să-l asume în timpul unui conflict militar, ceea ce am văzut până acum nu poate fi privit drept amploarea completă a capacităţilor atacatorilor; şi
Este probabil ca, pe măsură ce apare o percepţie mai clară a amplorii şi duratei războiului, diferitele grupuri vor găsi modalităţi de coordonare mai bună - iar acest lucru poate duce la situaţii cu un impact extrem de perturbator.
Incidentul KA-SAT şi riscurile de propagare
Pe 24 februarie, în jurul orei 04:00 UTC - în jurul orei începerii invaziei ruse în Ucraina - mai multe modemuri Viasat KA-SAT au încetat să mai funcţioneze din cauza unui alt atac wiper (AcidRain). Acest atac este raportat oficial că a afectat comunicaţiile militare ucrainene şi este puţin probabil să fie o coincidenţă, având în vedere momentul derulării sale. Indiferent cine l-a orchestrat, acesta este un exemplu rar de atac cibernetic care oferă suport operaţional pentru o operaţiune militară fizică, ceea ce în sine îl face semnificativ pentru înţelegerea războiului modern. Cu toate acestea, nu este clar dacă acesta a oferit vreo valoare tactică scurtă sau de durată: din câte ştim, alte mijloace de comunicare (de exemplu, 3G, 4G) au rămas disponibile în acelaşi interval de timp.
Acest atac a dezactivat şi controlul de la distanţă al turbinelor eoliene situate în Germania, stârnind îngrijorări cu privire la potenţiala extindere a conflictului în alte ţări europene. Nu este clar de ce au fost afectate routerele aparţinând unui client german: poate că mijloacele de distribuţie folosite pentru a răspândi malware-ul nu au permis direcţionarea granulară, sau poate că operatorii au greşit. În orice caz, există puţine motive să credem că a existat vreo intenţie de a provoca efecte adverse în afara Ucrainei.
Ori de câte ori apare întrebarea cu privire la spillover (răspândirea involuntară), aceasta este de obicei asociată cu amintirea incidentului NotPetya (ransomware fals distribuit printr-un atac al lanţului de aprovizionare în Ucraina în 2017). Merită subliniat faptul că NotPetya conţinea cod care se răspândeşte automat şi răspândirea sa incontrolabilă a fost alimentată de un exploit Windows foarte puternic. Nu s-a observat aşa ceva în niciuna dintre familiile de programe malware utilizate recent în Ucraina. Ca atare, estimăm că riscul de a asista la un alt eveniment la
Un ultim punct de interes este legat de probabilitatea ca evenimente similare să aibă loc în continuare, pe durata conflictului. Este important de înţeles că atacurile ICS sunt departe de a fi banal de organizat, data fiind natura complexă a sistemelor pe care le afectează şi faptului că astfel de maşini nu sunt, de obicei, conectate la internet. Acest lucru înseamnă că un atacator ar trebui să spargă mai întâi reţeaua victimei, să-şi dea seama unde sunt amplasate dispozitivele ţintă şi, în cele din urmă, să elaboreze un scenariu de atac care implică echipamente specifice pe care, însă, nu poate efectua experimente în prealabil. Cu alte cuvinte, atacurile extrem de perturbatoare necesită o pregătire meticuloasă, care variază ca durată - de ordinul săptămânilor - dacă nu chiar lunilor. În concluzie, astfel de atacuri ar fi realizabile doar pe termen lung - cu excepţia cazului în care atacatorii deja prezenţi în reţelele strategice dispun deja, dar au ales să nu folosească acest tip de acces până în prezent.
Rezumând aspectele menţionată mai sus, concluziile cheie sunt următoarele:
Atacul Viasat este un eveniment cibernetic foarte semnificativ. Este greu de spus dacă altele vor avea loc în viitorul apropiat, dar această probabilitate creşte semnificativ pe măsură ce trece timpul.
Descoperirea recentă a Industroyer2 indică faptul că ar putea exista o dorinţă în rândul atacatorilor cibernetici de a conduce, în curând, atacuri extrem de perturbatoare.
Campaniile de ameninţare observate până acum au fost foarte concentrate asupra Ucrainei.
Orice răspândire involuntară observată până în prezent ar trebui interpretată ca accidentală, iar potenţialul de răspândire necontrolată a malware-ului a fost până acum inexistent.
Recomandări referitoare la stabilitatea în spaţiul cibernetic
Întrucât încă trecem de la o fază a conflictului la alta, ne aşteptăm ca unele dintre observaţiile prezentate în acest raport să devină, cu timpul, mai puţin exacte. Deşi diferitele atacuri cibernetice observate până acum au fost dezorganizate şi necoordonate, considerăm că o activitate mai structurată ar putea apărea în curând, pe fondul acestui zgomot de fond constant.
Pe măsură ce conflictul se prelungeşte, anticipăm că infractori tot mai sofisticaţi se vor implica şi îşi vor reorienta activităţile de colectare a informaţiilor. Din acest motiv, sfătuim companiile din întreaga lume să se pregătească pentru un reviriment al atacurilor ransomware.
Dintr-o perspectivă mai largă asupra peisajului ameninţărilor din aceste zile, în lumina negocierilor interstatale aflate în desfăşurare la ONU, comunitatea internaţională trebuie să avanseze mai mult decât oricând în operaţionalizarea normelor cibernetice neobligatorii convenite şi a măsurilor de consolidare a încrederii (CBM), şi să le extindă către toate părţile interesate relevante. În special, este important să se promoveze discuţiile privind cooperarea transfrontalieră între comunitatea CERT/CSIRT şi experţii în securitate relevanţi, pentru a se asigura că îşi pot face treaba - protejând victimele incidentelor cibernetice - în ciuda oricărui context politic sau geopolitic. Şi în acest sens, unul dintre aspectele de bază pentru care, la Kaspersky, accentul este pus în mod continuu pe dezvoltarea unei interacţiuni eficiente între punctele de contact naţionale (PoC), precum şi punctele de contact ale părţilor interesate relevante (cum ar fi sectorul privat, proprietarii şi producătorii de TIC, experţi în securitate cibernetică şi altele), care pot fi utilizate în timpul unor evenimente cibernetice semnificative.
Una dintre întrebările deschise care rămân pentru comunitatea internaţională este legată de clarificarea privind protecţia infrastructurii civile în spaţiul cibernetic. În acest sens, mai multe informaţii şi transparenţă din partea statelor, cu privire la modul în care interpretează aplicarea dreptului internaţional şi, în special, a dreptului internaţional umanitar, sunt necesare urgent, pentru a oferi garanţii eficiente infrastructurii civile din spaţiul cibernetic. Eforturile în curs, precum cele ale Comitetului Internaţional al Crucii Roşii (CICR), de a semnala protecţia juridică prin embleme digitale par a aduce o contribuţie importantă în acest sens.
Nu în ultimul rând, nucleul public al internetului, ale cărui securitate şi disponibilitate sunt vitale pentru societăţile şi economiile digitalizate, trebuie să fie discutat în continuare şi recunoscut de statele membre ONU şi de comunitatea internaţională în general. Tensiunile geopolitice acute actuale prezintă un risc serios de fragmentare a infrastructurii fundamentale de internet de bază, care a fost creată şi proiectată iniţial într-un spirit descentralizat, pluripartit. Aceşti factori au potenţialul de a crea o insecuritate mai mare, care afectează mulţi utilizatori de TIC şi, prin urmare, mai mult ca niciodată necesită dialog internaţional între toate statele pentru a proteja spaţiul cibernetic.
De asemenea, Kaspersky a împărtăşit anterior opiniile legate de dialogul cibernetic al ONU (adică grupul de lucru deschis al ONU), care poate fi găsit pe pagina oficială a ONU OEWG.