În cel mai recent raport, experţii Kaspersky au analizat activităţile din spaţiul cibernetic legate de criza ucraineană, urmărind semnificaţia acestora în raport cu actualul conflict şi impactul lor asupra domeniului securităţii cibernetice, conform unui comunicat remis redacţiei. Acest raport face parte din Kaspersky Security Bulletin (KSB) - o serie anuală de previziuni şi rapoarte analitice privind cele mai importante schimbări din sfera securităţii cibernetice.
Potrivit sursei citate, 2022 a fost marcat de un conflict militar în stilul secolului al XX-lea - care a adus incertitudine şi riscuri serioase de răspândire pe continent. În timp ce analiza geopolitică mai amplă a conflictului din Ucraina şi a consecinţelor acestuia trebuie lăsată în seama experţilor, în timpul conflictului au avut loc o serie de evenimente cibernetice, care s-au dovedit a fi foarte semnificative.
"Povestea anului", pregătită de cercetătorii Kaspersky în cadrul ediţiei Kaspersky Security Bulletin de anul acesta, urmăreşte fiecare etapă a conflictului armat din Ucraina, evenimentele care au avut loc în spaţiul cibernetic şi modul în care acestea s-au corelat cu operaţiunile de pe teren.
În zilele şi săptămânile premergătoare conflictului militar, au apărut indicii şi intensificări semnificative ale războiului cibernetic. Pe 24 februarie 2022 a avut loc un val masiv de pseudo-ransomware şi atacuri de tip wiper, care au afectat tot felul de entităţi ucrainene. Unele atacuri erau foarte sofisticate, dar volumul atacurilor de tip wiper şi ransomware a scăzut rapid după valul iniţial. Grupările motivate ideologic, care au apărut în valul iniţial de atacuri, par să fie inactive acum.
În aceeaşi zi, europenii care se bazau pe satelitul deţinut de ViaSat s-au confruntat cu întreruperi majore de acces la internet. Acest "eveniment cibernetic" a început în jurul orei 4 UTC, la mai puţin de două ore după ce Federaţia Rusă a anunţat public începerea unei "operaţiuni militare speciale" în Ucraina. Sabotajul ViaSat demonstrează, încă o dată, că atacurile cibernetice sunt foarte importante pentru conflictele armate moderne şi pot sprijini direct etapele cheie în operaţiunile militare.
Pe măsură ce conflictul a evoluat, nu există dovezi că atacurile cibernetice ar fi făcut parte din acţiunile militare coordonate, de ambele părţi. Cu toate acestea, există câteva caracteristici principale care au definit confruntările cibernetice din 2022:
• Hacktiviştii şi atacurile DDoS. Conflictul din Ucraina a creat un teren propice pentru noi activităţi legate de un război cibernetic, din partea diferitelor grupuri, inclusiv criminali cibernetici şi hacktivişti, care se grăbesc să-şi susţină partea preferată. Unele grupuri precum IT Army of Ukraine sau Killnet au fost susţinute oficial de guverne, iar canalele lor Telegram reunesc sute de mii de abonaţi. În timp ce atacurile efectuate de hacktivişti aveau o complexitate relativ scăzută, experţii au asistat la o creştere a activităţii DDoS în perioada de vară - atât ca număr de atacuri, cât şi ca durată a acestora: în 2022, un atac DDoS mediu a durat 18,5 ore - de aproape 40 de ori mai mult decât în 2021 (aproximativ 28 de minute).
• Hack şi leak. Atacurile mai sofisticate au încercat să deturneze atenţia presei cu operaţiuni de tip hack-and-leak şi au fost în creştere de la începutul conflictului. Astfel de atacuri implică breşe de securitate la nivelul unei organizaţii şi publicarea online a datelor sale interne, adesea prin intermediul unui site web dedicat. Acest lucru este mult mai dificil decât o simplă operaţiune de denunţare publică, deoarece nu toate echipamentele conţin date interne care merită făcute publice.
• Arhive periculoase open source, transformând software-ul open source în arme cibernetice. Pe măsură ce conflictul se prelungeşte, pachetele populare open source pot fi folosite ca platformă de protest sau atac de către dezvoltatori sau hackeri deopotrivă. Impactul unor astfel de atacuri se poate extinde mai mult decât software-ul open source în sine, propagându-se în alte pachete care se bazează automat pe codul infectat de troian.
• Balcanizarea. După declanşarea conflictului din Ucraina, în februarie 2022, multe companii occidentale părăsesc piaţa rusă şi îşi lasă utilizatorii într-o poziţie delicată atunci când vine vorba de primirea de actualizări de securitate sau asistenţă - iar actualizările de securitate sunt, probabil, problema principală atunci când furnizorii încetează suportul pentru anumite produse sau părăsesc piaţa.
"24 februarie ne-a ridicat o problemă - am căutat să aflăm dacă spaţiul cibernetic este o reflectare autentică a conflictului din Ucraina, acesta reprezentând punctul culminant al unui "război cibernetic" real şi modern. Trecând prin toate evenimentele care au urmat operaţiunilor militare în spaţiul cibernetic, am asistat la o absenţă a coordonării între mijloacele cibernetice şi cele cinetice şi, în multe privinţe, infracţiunile cibernetice rezumându-se la un rol de subordonat. Atacurile ransomware observate în primele săptămâni de conflict se califică, în cel mai bun caz, drept diversiuni. Atacurile cinetice folosind rachete şi vehicule aeriene fără pilot s-au dovedit încă o dată a fi o metodă mai eficientă de a ţinti infrastructura decât atacurile cibernetice. Cu toate acestea, daunele colaterale şi riscurile cibernetice au crescut pentru organizaţiile din ţările învecinate, din cauza conflictului, necesitând măsuri defensive avansate mai mult ca niciodată", comentează Costin Raiu, Director of Global Research & Analysis Team la Kaspersky, se menţionează în comunicat.