Експерти висловили занепокоєння з приводу напливу неурядових кібергруп, які приймають чийсь бік у вторгненні Росії в Україну.
Численні групи хакерів і члени хактивістського колективу Anonymous оголосили цього тижня, що вони втягуються у військовий конфлікт між Україною та Росією.
У четвер члени Anonymous оголосили в Твіттері про те, що вони почнуть атакувати російський уряд. Хактивісти зіпсували деякі сайти місцевих органів влади в Росії та тимчасово видалили інші , зокрема сайт російського інформаційного видання RT .
The Anonymous collective is officially in cyber war against the Russian government. #Anonymous #Ukraine
— Anonymous (@YourAnonOne) February 24, 2022
У п’ятницю група заявила , що оприлюднить дані для входу на веб-сайт Міністерства оборони Росії.
Дії відбулися через кілька годин після того, як Єгор Аушев, співзасновник київської компанії з кібербезпеки, повідомив Reuters , що високопоставлений чиновник Міністерства оборони України попросив його опублікувати заклик про допомогу в хакерській спільноті. Аушев сказав, що Міноборони шукає як наступальних, так і захисних кібер-дій.
Anonymous були не єдиною групою, яка втягнулася в конфлікт. У п’ятницю групи хакерів-вимагачів Conti і CoomingProject опублікували повідомлення, в яких говорилося, що вони підтримують російський уряд.
Conti заявили, що офіційно оголошують про повну підтримку російського уряду, написавши, що “якщо якийсь орган вирішить організувати кібератаку або будь-яку військову діяльність проти Росії, ми збираємося використовувати всі наші ресурси, щоб завдати удару по критично важливих інфраструктурах ворога».
Багато експертів інтерпретували це повідомлення як відповідь на розповідь NBC , яка з’явилася в четвер і вказує на те, що президенту США Джо Байдену вже було представлено кілька варіантів руйнівних кібератак на російську інфраструктуру. Білий дім рішуче спростував цю інформацію .
Незабаром після оприлюднення повідомлення Conti змінили його, пом’якшивши тон і підтримку російського уряду. В оновленій заяві йдеться, що Conti використає свою «повну потужність для виконання заходів у відповідь у разі, якщо західні розпалювачі війни спробують атакувати критичну інфраструктуру в Росії чи будь-якому російськомовному регіоні світу».
“Ми не вступаємо в союз ні з одним урядом і засуджуємо війну, що триває. Однак, оскільки відомо, що Захід веде свої війни, в основному, націлюючи на цивільних осіб, ми використаємо наші ресурси, щоб завдати удару у відповідь, якщо добробут і безпека мирних громадян буде поставлено на карту через американську кіберагресію», – йдеться у новому повідомленні Конті.
#Conti #ransomware just changed the phrasing of their statement regarding Russia’s support. Claiming that they do not ally with any government and condemn the war.@VK_Intel @malwrhunterteam pic.twitter.com/JaLYPlDjwb
— Yelisey Boguslavskiy (@y_advintel) February 25, 2022
Оголошення прозвучали, коли Україна продовжувала стикатися з шквалом інцидентів DDoS , фішингових атак та шкідливого програмного забезпечення . CERT-UA повідомляє, що військовослужбовцям надсилають фішингові повідомлення, і приписує цю кампанію офіцерам Міністерства оборони Білорусі. Інтернет-з’єднання по всій країні продовжує бути переривчастим, і Netblock повідомляє про перебої в кількох містах.
Експерти вкрай обережно ставилися до сторонніх груп, які вибирали сторону конфлікту та чинили напади від їхнього імені. Ці заяви ще більше налякали експертів, коли генеральний секретар НАТО Йєнс Столтенберг заявив у п’ятницю, що «кібератаки можуть спровокувати статтю 5 » Статуту НАТО.
У фірмі з кібербезпеки Sophos заявили, що заяви Conti та Anonymous «підвищують ризик для всіх, незалежно від того, чи є вони причетними до цього конфлікту чи ні».
«Атаки бойовиків у будь-якому напрямку посилюють туман війни та породжують плутанину та невизначеність для всіх», – сказали у Sophos.
Аналітик загроз Emsisoft Бретт Келлоу назвав ситуацію «непередбачуваною та нестабільною», але зазначив, що Conti в минулому висловлювали сміливі політичні заяви .
«Це, мабуть, теж просто галас, [але] було б помилкою вважати, що загроза порожня. Якщо ваша компанія ще не подбала про свій захист, зараз саме час», — сказав Келлоу.
Головний технічний директор Bugcrowd Кейсі Елліс сказав, що одне з його головних занепокоєнь у зв’язку з останніми подіями – це відносна складність атрибуції в кібератаках, а також можливість неправильного визначення чи навіть навмисної операції з помилковим прапором, що призведе до ескалації конфлікту на міжнародному рівні.
Заява Conti заслуговує на увагу у світлі нещодавніх розслідувань російських кіберзлочинів і програм-вимагачів, оскільки це сигналізує про те, що вони або діють незалежно, як схоже це роблять інші групи, або, можливо, діють з благословення Кремля, пояснив Елліс.
Кріс Морган з Digital Shadows зазначив, що їхні дані показують, що Conti була другою за активністю групою програм-вимагачів у 2021 році за кількістю жертв. Морган сказав, що вони приписують Conti кілька атак на критично важливу національну інфраструктуру, включаючи атаки на сектор охорони здоров’я в Сполучених Штатах, Новій Зеландії та Ірландії.
Цього тижня уряд Ірландії оприлюднив доповідь, в якій говориться, що відновлення атаки Conti, яка вразила їх минулого року, може коштувати понад 100 мільйонів доларів.
«Діяльність Conti також нещодавно була підкріплена наймом розробників сумнозвісного трояна Trickbot, що також дозволило їм контролювати розробку іншого шкідливого програмного забезпечення BazarBackdoor, яке група зараз використовує як основний інструмент початкового доступу. Conti постійно переоцінює та розвиває свої робочі процеси, і їх слід вважати винахідливим і витонченим супротивником», – сказав Морган.
Експерт з Recorded Future Аллан Ліска сказав ZDNet, що загроза з боку груп програм-вимагачів, які вирішили помститися, реальна і повинна викликати занепокоєння.
«З огляду на те, який безлад зараз у Conti, мені важко повірити, що вони можуть організувати офісний обід, а не цілеспрямовану відплату. Але ми знаємо, що у груп програм-вимагачів більше цілей, ніж вони можуть заразити, і ми знаємо, коли Рюк вирішив помститися США у 2020 році, вони легко змогли це зробити», – сказав Ліска.
Старший аналітик Flashpoint Андраш Тот-Ціфра, сказав, що втягнення хактивістів у збройні конфлікти не є новиною, пояснюючи, що Anonymous і раніше націлювався на уряди.
Але, як і Ліска, Тот-Ціфра сказав, що групи програм-вимагачів, які відкрито асоціюються з російським урядом, будуть «новою і тривожною подією».
«Поки що аналітики Flashpoint не помітили значної патріотичної гордості в нелегальних спільнотах щодо агресії Росії проти України, що відповідає реакції російської громадськості загалом. Ситуація відрізняється від появи «патріотичних хакерів» у контексті війни Росії проти Грузії 2008 року: багато російськомовних кіберзлочинців або живуть в Україні самі, або мають українських партнерів чи інфраструктуру», – пояснив Тот-Ціфра.
«Але хоча кіберпідпілля поки що в основному залишалося нейтральним, не варто забувати, що Україна в останні роки співпрацювала із західними правоохоронними органами проти груп програм-вимагачів, що може вплинути на розрахунки колективів програм-вимагачів. Наразі у Flashpoint спостерігається ще один плідний вимагач – банда (LockBit), припускається, що вони залишатимуться нейтральними».
У п’ятницю BBC повідомила про російську хакерську групу , яка щодня після роботи наповнює українські урядові сервери DDoS-атаками. Один хакер зізнався, що надсилав школам 20 погроз про бомби, створив офіційну електронну адресу українського уряду та зламав доступ до внутрішніх інструментів українських чиновників.
Хакер відверто похвалився пильною роботою, яку вони планують взяти на себе в майбутньому, яка, за його словами, включає використання програм-вимагачів.
Генеральний директор Allegro Solutions Карен Уолш сказала, що декларація Conti також може внести певну плутанину в американські компанії, які мають плани кіберстрахування, які вирізняють кібератаки, пов’язані з війнами.
«Залежно від того, як військові юридичні експерти класифікують Conti та будь-які атаки програм-вимагачів, здійснені суб’єктами кіберзагроз, які діють «від імені» Росії, організації можуть виявити, що їхнє страхування кібервідповідальності їм не допомагає. У листопаді Асоціація ринку Ллойда опублікувала оновлення до їхня політика кібер-відповідальності, яка конкретно стосується виключення з війни”, – сказав Уолш.
«Звертаємо увагу на те, що в цих змінах згадуються кібероперації, що здійснюються під час війни. У рамках пом’якшення ризику компанії повинні почати перегляд виключень із страхування кібер-відповідальності та переконатися, що вони запитують своїх операторів щодо їхньої позиції з цього питання».