Щонайменше шість різних російських хакерських угрупувань здійснили не менше 237 кібератак проти України з 23 лютого по 8 квітня, включаючи 38 дискретних деструктивних атак, які безповоротно знищили файли в сотнях систем у десятках організацій у країні.
«У сукупності кібернетичні та кінетичні дії спрямовані на порушення або погіршення функцій українського уряду та військових та підривають довіру громадськості до тих самих інституцій», – йдеться у спеціальному звіті підрозділу цифрової безпеки компанії (DSU).
Основні сімейства шкідливих програм, які використовувалися для деструктивної діяльності в рамках невпинних цифрових атак росії, включають: WhisperGate, HermeticWiper (FoxBlade aka KillDisk), HermeticRansom (SonicVote), IssacWiper (Lasainraw), CaddyWiper, DesertBlade, DoubleZero (FiberLake), and Industroyer2.
WhisperGate, HermeticWiper, IssacWiper і CaddyWiper – це очисники, призначені для перезапису даних, тоді як DoubleZero – це шкідливе програмне забезпечення .NET, здатне видаляти дані. Кажуть, що DesertBlade, також очищувач даних, був запущений проти неназваної телерадіокомпанії в Україні 1 березня.
SonicVote, з іншого боку, є шифратором файлів, виявленим у поєднанні з HermeticWiper, щоб замаскувати вторгнення під атаку програм-вимагачів, в той час як Industroyer2 спеціально націлений на операційні технології, щоб саботувати критичне промислове виробництво та процеси.
Microsoft приписувала HermeticWiper, CaddyWiper і Industroyer2 з помірною впевненістю російський державний актор на ім’я Sandworm (він же Iridium). Атаки WhisperGate були пов’язані з раніше невідомим кластером під назвою DEV-0586, який, як вважають, пов’язаний з російською військовою розвідкою ГРУ .
За оцінками, 32% із загальної кількості 38 деструктивних атак виділили українські урядові організації на національному, регіональному та міському рівнях, причому понад 40% атак були спрямовані на організації в критично важливих секторах інфраструктури в країнах.
Крім того, Microsoft заявила, що помітила присутність Nobelium , хакерського угрупування, яке звинувачують у атаці ланцюга поставок SolarWinds у 2020 році та спробах зламати ІТ-фірми, які обслуговують державних клієнтів у країнах-членах НАТО, використовуючи доступ до даних із західних зовнішньополітичних організацій.
Інші зловмисні атаки включають фішингові кампанії, спрямовані на військові організації (Fancy Bear aka Strontium) і урядових чиновників (Primitive Bear aka Actinium), а також крадіжку даних (Energy Bear, aka Bromine) та розвідувальні операції (Venomous Bear aka Krypton).
«Використання росією кібератак, здається, тісно пов’язане, а іноді й безпосередньо приурочене до її кінетичних військових операцій, спрямованих на служби та установи, важливі для цивільного населення», – сказав Том Берт, корпоративний віце-президент із безпеки та довіри клієнтів .
“З огляду на те, що російські загрози відображають і посилюють військові дії, ми вважаємо, що кібератаки будуть продовжувати ескалувати в міру загострення конфлікту. Імовірно, атаки, які ми спостерігали, є лише невеликою частиною діяльності, спрямованої на Україну”.