На фоне трагических жертв жестокого и катастрофического вторжения России в Украину последствия длительной кремлевской кампании разрушительных кибератак против своего соседа часто рассматривались — и справедливо — как второстепенные. Но через год после начала войны становится ясно, что кибервойна в Украине за последний год представляет собой, по некоторым меркам, самый активный цифровой конфликт в истории. Ни одно место на планете не было атаковано большим количеством образцов кода для уничтожения данных за один год.
В преддверии годовщины российского вторжения исследователи кибербезопасности из словацкой фирмы по кибербезопасности ESET, фирмы по сетевой безопасности Fortinet и принадлежащей Google компании по реагированию на инциденты Mandiant независимо друг от друга обнаружили, что в 2022 году Украина увидела больше образцов «очистителей», чем в любой другой год. Ранняя часть затянувшейся кибервойны России против Украины — или, если уж на то пошло, в любой другой год, где угодно. Это не обязательно означает, что Украина подверглась большему количеству российских кибератак, чем в прошлые годы; В 2017 году хакеры ГРУ, известные как Sandworm, выпустили чрезвычайно разрушительный червь NotPetya. Но растущий объем деструктивного кода намекает на новый тип кибервойны, сопровождавшей вторжение России в Украину, с беспрецедентной частотой и разнообразием кибератак.
Показать больше
«С точки зрения огромного количества вредоносных образцов вайперов это самое интенсивное использование вайперов за всю историю компьютеров», — говорит Антон Черепанов, старший исследователь вредоносных программ в ESET.
Исследователи говорят, что они видят, как спонсируемые государством хакеры в России забрасывают беспрецедентное количество вредоносных программ, уничтожающих данные, в Украину в своего рода кембрийском космическом взрыве. Они обнаружили образцы вредоносных программ для мазков, которые нацелены не только на машины Windows, но и на машины Linux и даже на менее популярные операционные системы, такие как Solaris и FreeBSD. Они видели образцы, написанные на самых разных языках программирования и с различными методами уничтожения кода целевых машин, от уничтожения таблиц разделов, используемых для организации баз данных, до повторного использования инструмента командной строки Microsoft SDelete и массовой перезаписи файлов ненужными данными. .
Всего за последние 12 месяцев Fortinet насчитала в Украине 16 различных «семейств» вредоносного ПО Wiper по сравнению с одним или двумя в предыдущие годы, даже в разгар российской кибервойны перед ее полномасштабным вторжением. «Мы не говорим об удвоении или утроении», — говорит Дерек Манке, глава группы анализа угроз в Fortinet. «Это взрыв, еще один порядок». Исследователи говорят, что такое разнообразие может быть признаком огромного количества разработчиков вредоносных программ, нанятых Россией для борьбы с Украиной, или усилий России по созданию новых вариантов, которые могут опережать украинские инструменты обнаружения, особенно с учетом того, что Украина ужесточила свою защиту в области кибербезопасности. .
Fortinet также определила, что растущий объем образцов вредоносного ПО Wiper, попадающих в Украину, может фактически создать более глобальную проблему распространения. Поскольку эти образцы вредоносных программ были обнаружены в репозитории вредоносных программ VirusTotal или даже в репозитории с открытым исходным кодом Github, исследователи Fortinet говорят, что их инструменты сетевой безопасности обнаружили других хакеров, повторно использующих эти пространства против целей в 25 странах мира. «Как только эта полезная нагрузка будет разработана, любой сможет взять ее и использовать», — говорит Манке.
Несмотря на такой огромный объем вредоносных программ, российские кибератаки на Украину в 2022 году казались в некотором роде относительно неэффективными по сравнению с предыдущими годами конфликта там. Россия вела неоднократные разрушительные кампании кибервойны против Украины после революции 2014 года, и все они, очевидно, были направлены на то, чтобы ослабить решимость Украины дать отпор, посеять хаос и представить Украину международному сообществу как несостоявшееся государство. Например, с 2014 по 2017 год российская военная разведка ГРУ осуществила серию беспрецедентных кибератак: они сорвали, а затем попытались имитировать результаты президентских выборов в Украине в 2014 году, вызвали первые в истории отключения электроэнергии, устроенные хакерами, и, наконец, выпущено NotPetya выпущено, самовоспроизводящееся вредоносное ПО Wiper, которое заражает Украину, разрушая сотни сетей в государственных учреждениях, банках, больницах и аэропортах, прежде чем распространиться по всему миру, причинив беспрецедентный ущерб в размере 10 миллиардов долларов.
Но с начала 2022 года российские кибератаки против Украины пошли по другому пути. Вместо злонамеренных программных шедевров, на создание и развертывание которых уходили месяцы, как в предыдущих российских атаках, кремлевские кибератаки ускорились до быстрых, грязных, безжалостных, частых и относительно простых актов вандализма.
Действительно, Россия, кажется, в какой-то степени заменила количество качеством в своем сканирующем коде. Большинство из десяти с лишним вайперов, запущенных в Украине в 2022 году, были относительно грубыми и простыми в уничтожении своих данных, без каких-либо сложных механизмов самораспространения, характерных для устаревших вайперов ГРУ, таких как NotPetya, BadRabbit или Olympic Destroyer. В некоторых случаях они даже показывают признаки поспешного кодирования. HermeticWiper, один из первых инструментов опроса, поразивший Украину перед вторжением в феврале 2022 года, использовал украденный цифровой сертификат, чтобы казаться законным и избежать обнаружения, что является признаком сложного планирования перед вторжением. Но HermeticRansom, вариант того же семейства вредоносных программ, предназначенный для того, чтобы выдавать себя за программу-вымогатель, содержал грязные программные ошибки, согласно ESET. HermeticWizard, сопутствующий инструмент, предназначенный для развертывания HermeticWiper с одной системы на другую, был странным образом полусырым. Он был разработан для заражения новых устройств, пытаясь войти в них с зашифрованными учетными данными, но пробовал только восемь имен пользователей и три пароля: 123, Qaz123 и Qwerty123.
Возможно, самой влиятельной из злонамеренных атак России на Украину в 2022 году была AcidRain, часть кода уничтожения данных, нацеленная на спутниковые модемы Viasat. Эта атака нарушила часть военных коммуникаций Украины и даже распространилась на спутниковые модемы за пределами страны, нарушив возможность мониторинга данных с тысяч ветряных турбин в Германии. Пользовательский код, необходимый для версии Linux, используемой в этих модемах, такой как украденный сертификат, используемый в HermeticWiper, указывает на то, что хакеры ГРУ, выпустившие AcidRain, тщательно подготовили его до российского вторжения.
Но по мере развития войны — и по мере того, как Россия казалась все более неподготовленной к затянувшемуся конфликту, в котором она погрязла, — ее хакеры перешли к атакам ближнего действия, возможно, в попытке не отставать от темпа физической войны с вечно смещение линии фронта. К маю и июню ГРУ все больше склонялось к частому использованию инструмента уничтожения данных CaddyWiper, одного из простейших образцов вайперов. Согласно Mandiant, ГРУ пять раз развертывало CaddyWiper за эти два месяца и еще четыре раза в октябре, меняя его код ровно настолько, чтобы избежать обнаружения антивирусными инструментами.
Однако новые варианты вайперов продолжали появляться: ESET, например, называет Prestige, NikoWiper, Somnia, RansomBoggs, BidSwipe, ZeroWipe и SwiftSlicer новыми формами деструктивного вредоносного ПО, часто выдавая себя за программы, Ransom появился в Украине только с октября.
Но ESET рассматривает этот поток пробелов не как умную эволюцию, а как своего рода метод грубой силы. Создается впечатление, что Россия бросает в Украину все возможные деструктивные инструменты, пытаясь остаться в авангарде ее защитников и вызвать дополнительный хаос в разгар тяжелого физического конфликта.
«Нельзя сказать, что их техническое совершенство увеличивается или уменьшается, но я могу сказать, что они пробуют все эти разные подходы», — говорит Роберт Липовски, главный исследователь отдела анализа угроз в ESET. «Они все в деле, пытаются посеять хаос и вызвать сбои».