W ramach współpracy z ukraińskimi specjalistami, Microsoft opublikował szczegółowy raport opisujący rosyjską cyberaktywność obserwowaną w ramach wojny na Ukrainie. Firma przedstawia zakres, skalę i metody wykorzystywane przez Rosję w trakcie wojny hybrydowej.
Autorzy raportu Microsoftu już na samym początku zaznaczają, że celem działań rosyjskich hakerów jest osłabienie woli politycznej i zdolności Ukrainy do kontynuowania walki, jednocześnie ułatwiając gromadzenie danych wywiadowczych. Te zaś mogłyby zapewnić taktyczne lub strategiczne korzyści siłom najeźdzcy.
Microsoft zwraca uwagę, że rosyjskie działania w sieci miały wpływ na Ukrainę poprzez zakłócanie usług i powodowanie chaos w środowisku informacyjnym. Firma zaznacza też, że nie jest w stanie ocenić ich szerszego wpływu strategicznego.
Ataki niszczące morale
W raporcie znalazły się informacje, wedle których na dzień przed inwazją wojskową, hakerzy związani z rosyjskim wywiadem wojskowym przeprowadzili niszczycielskie ataki typu “wiper” na setki systemów. Celowano w systemy informatyczne rządu Ukrainy, sektoru IT, energetyki i organizacji finansowych. Atakujący starali się niszczyć, zakłócać lub infiltrować sieci władz i szerokiego wachlarza organizacji infrastruktury krytycznej.
Przeprowadzone operacje sieciowe nie tylko degradowały funkcje atakowanych organizacji, ale miały też utrudnić obywatelom dostęp do wiarygodnych informacji i kluczowych usług życiowych oraz podważyć zaufanie do przywództwa kraju. Widać więc wyraźnie, że celem hakerów było zniszczenie morali, co ułatwiłoby przeprowadzenie inwazji.
Co więcej, ponad 40 proc. destrukcyjnych ataków wymierzono w organizacje z sektora infrastruktury krytycznej. Kolejne 33 proc. tego rodzaju operacji skierowano w ukraińskie organizacje rządowe na poziomie krajowym, regionalnym i miejskim. Eksperci z Microsoftu zauważyli, że cyberprzestępcy stale modyfikują złośliwe oprogramowanie, aby uniknąć wykrycia przy każdej kolejnej fali ataków z jego wykorzystaniem.
Przygotowania do napaści na Ukrainę
Eksperci z Microsoftu oceniają, że powiązane z Rosją grupy hakerów przygotowywały się do konfliktu już w marcu 2021 r. Biorąc pod uwagę, że w przeszłości Ukraina sporadycznie była celem ich ataków, nagłe zwiększenie częstotliwości działań przeciwko organizacjom wewnątrz kraju lub sojusznikom państwa wskazuje, że Rosja planowała inwazję od dawna.
Poziom koordynacji pomiędzy różnymi grupami zagrożeń oraz ich łączne działania wydawały się mieć na celu zapewnienie możliwości ciągłego gromadzenia danych wywiadowczych na temat strategii i pola walki lub ułatwienie przyszłych destrukcyjnych ataków na Ukrainie podczas konfliktu zbrojnego. Na początku 2021 r., kiedy wojska rosyjskie po raz pierwszy zaczęły masowo przemieszczać się w kierunku granicy z Ukrainą, można było zauważyć próby uzyskania dostępu do celów, które mogłyby dostarczyć informacji wywiadowczych.
Informacje, które chcieli pozyskać hakerzy, dotyczyły tematów ukraińskich partnerstw wojskowych i zagranicznych. Rosyjskie malware NOBELIUM przeprowadziło zakrojoną na szeroką skalę kampanię phishingową przeciwko Ukrainie. Hakerzy wykorzystali także DEV-0257 (znany publicznie jako Ghostwriter), który prowadził kampanie phishingowe, próbując uzyskać dostęp do wojskowych kont e-mail i sieci.