Кібератаки та діяльність з дезінформації проти України продовжуються

За даними дослідників безпеки, кібернаступ на Україну продовжується зловмисними атаками та поширенням дезінформації та фейкових новин.

Згідно з дослідженням компанії Mandiant, російські, проросійські та білоруські кібератаки використовували найповніший набір методів для досягнення «тактичних і стратегічних цілей, безпосередньо пов’язаних із самим конфліктом».

Однак вплив відчувався ширше, оскільки хакери, які працюють на інші країни, включаючи Китай та Іран, намагаються просувати і свої плани.

«Хоча ці операції становили величезну загрозу для України, вони також загрожували США та іншим західним країнам», – кажуть дослідники Mandiant. «У результаті, ми очікуємо, що такі операції, включаючи операції, пов’язані з кіберзагрозами та іншими потенційно руйнівними атаками, триватимуть у міру розвитку конфлікту».

Ще до початку російського вторгнення в Україну, у січні, країна та веб-сайти її уряду піддалися зіпсуванню та фальсифікації , а російських хакерів звинувачували в атаці.

Росія вторглася 24 лютого. Напередодні Державна служба спеціального зв’язку та захисту інформації України повідомила, що сайти Міністерства закордонних справ, Міністерства оборони, Служби безпеки та різних банків, зокрема, зазнали відключень через DDoS-атаку.

Відтоді кібернаступи тривають.

«Поширилися узгоджені інформаційні операції, включаючи ті, які збігалися з руйнівною діяльністю кіберзагроз, до кампаній, що використовують скоординовані та неавтентичні мережі облікових записів для просування сфабрикованого вмісту та бажаних наративів на різних платформах соціальних мереж, веб-сайтах і форумах», – кажуть дослідники Mandiant.

Що стосується Росії, дослідники кажуть, що більшість поточних дій є «руйнівною» і включає розгортання шкідливих програм wiper.

ESET задокументував штами, зокрема CaddyWiper , які використовуються в цільових обмежених кампаніях. Деякі варіанти wiper виявлено в мережах українських організацій.

Інша версія зловмисного програмного забезпечення wiper, що отримала назву Junkmail, була запущена в мережі, що належить українській організації, за кілька годин до виступу Зеленського перед Конгресом США.

Але шкідливе програмне забезпечення – це не єдина діяльність, яка викликає занепокоєння. У березні хакери, відомі як Secondary Infektion, запустили та поширили фейкове повідомлення, в якому стверджується, що Україна капітулювала через веб-сайт «Україна 24», і навіть створили фальшиву модель штучного інтелекту (ШІ) президента України Зеленського, який передає повідомлення.

Хоча ця група продовжує рекламувати фейкові історії,  Ghostwriter також був активним останнім часом. У лютому команда реагування на комп’ютерні надзвичайні ситуації в Україні (CERT-UA) попередила, що група, яка також відстежується як UNC1151, відповідальна за низку кампаній дезінформації, спроб фішингу та нападів на українські цілі. Угруповання, очевидно, пов’язане з державними інтересами Білорусі.

Нова кампанія, пов’язана з Ghostwriter, виявлена ​​Mandiant, просуває неправдиві розповіді про біженців, в той час як інші групи просувають кампанію дезінформації, спрямовану на «агресивний захист російських стратегічних інтересів», за словами дослідників. Здається, ці дії збігаються з Ghostwriter, що свідчить про те, що між командами може бути співпраця. Крім того, фейкові наративи поширюються, щоб спробувати зіпсувати відносини між Україною та Польщею. Ці історії містять вміст, який зображує біженців як тягар.

APT28, також відомий як Fancy Bear, продовжує публікувати контент на каналах Telegram, пов’язаний з конфліктом, зосереджуючись на «послабленні довіри українців до своєї влади та її реакції на вторгнення».