По данным Microsoft, с 23 февраля по 8 апреля 2022 года по меньшей мере шесть связанных с Россией группировок провели не менее 237 кибератак на украинские цели. В это число вошли 38 отдельных разрушительных операций, которые безвозвратно уничтожили файлы на сотнях систем в десятках организаций страны.
«Совместно кибер- и кинетические действия направлены на то, чтобы нарушить или ослабить работу государственных и военных структур Украины и подорвать доверие общества к этим институтам», — говорится в специальном отчёте подразделения компании Digital Security Unit (DSU).
Вайперы и маскировка под шифровальщик
Основную разрушительную работу выполняли сразу несколько семейств вредоносного ПО: WhisperGate, HermeticWiper (он же FoxBlade и KillDisk), HermeticRansom (SonicVote), IssacWiper (Lasainraw), CaddyWiper, DesertBlade, DoubleZero (FiberLake) и Industroyer2.
WhisperGate, HermeticWiper, IssacWiper и CaddyWiper — это вайперы, то есть программы, которые перезаписывают данные и делают машину незагружаемой. DoubleZero написан на .NET и тоже способен удалять данные. Ещё один вайпер, DesertBlade, по данным Microsoft, применили 1 марта против неназванной вещательной компании на Украине.
Отдельного упоминания заслуживают два инструмента. SonicVote — это шифровальщик файлов, который запускали вместе с HermeticWiper, чтобы выдать вторжение за атаку программы-вымогателя. А Industroyer2 создан специально для ударов по сетям операционных технологий (OT) с целью саботажа критически важного промышленного производства и процессов.
Кого Microsoft считает исполнителями
HermeticWiper, CaddyWiper и Industroyer2 компания со средней степенью уверенности приписала российской группировке Sandworm (также известной как Iridium). Атаки WhisperGate связали с ранее неизвестным кластером под названием DEV-0586, который, как считается, связан с российской военной разведкой ГРУ.
По оценке Microsoft, около 32% из 38 разрушительных атак пришлись на украинские государственные организации национального, регионального и городского уровней, а более 40% были нацелены на организации в секторах критической инфраструктуры.
Не только вайперы
Помимо разрушительных операций, Microsoft отметила активность группы Nobelium — той самой, которую обвиняют в атаке на цепочку поставок SolarWinds в 2020 году. Она пыталась взломать ИТ-компании, обслуживающие государственных заказчиков в странах — членах НАТО, чтобы через полученный доступ похищать данные западных внешнеполитических структур.
Среди прочих атак — фишинговые кампании против военных (Fancy Bear, он же Strontium) и государственных чиновников (Primitive Bear, он же Actinium), а также операции по краже данных (Energetic Bear, он же Bromine) и разведке (Venomous Bear, он же Krypton).
Прогноз: эскалация продолжится
«Использование Россией кибератак, судя по всему, тесно коррелирует, а иногда и напрямую синхронизировано с кинетическими военными операциями против служб и институтов, критически важных для гражданского населения», — заявил Том Бёрт, корпоративный вице-президент Microsoft по вопросам безопасности и доверия клиентов.
По его словам, поскольку российские злоумышленники повторяют и дополняют военные действия, кибератаки будут нарастать по мере продолжения конфликта. «Вероятно, наблюдаемые нами атаки — лишь малая часть активности, направленной против Украины», — добавил он.
Схожий прогноз месяцем ранее давала и российская компания «Лаборатория Касперского» в собственном анализе: число кибератак на Украину будет расти в течение следующих шести месяцев. «Хотя большинство текущих атак имеют низкую сложность — например, DDoS или атаки с использованием общедоступных и низкокачественных инструментов, — существуют и более сложные атаки, и их число, как ожидается, будет расти», — отмечали в компании.
Источник: The Hacker News.