Microsoft: російські кібератаки для війни проти України почалися ще в березні 2021 року

Microsoft оприлюднили детальний звіт про кібератаки, які супроводжують гібридну війну Росії проти України. Також у звіті вказано, як компанія допомагала захистити український народ та організації. 

«Ми віримо – важливо ділитися цією інформацією, щоб політики та громадськість з усього світу знали, що відбувається, і щоб інші учасники спільноти безпеки могли надалі виявляти таку активність і захищатися від неї. Вся робота врешті-решт зосереджена на захисті цивільного населення від атак, які можуть напряму вплинути на їхнє життя та їх доступ до критичних послуг», – йдеться у повідомленні. 

Ворожа активність почалася незадовго до вторгнення. У Microsoft помітили, що принаймні шість окремих російських агентів розпочали понад 237 операцій проти України. В тому числі це були руйнівні атаки, які загрожують добробуту цивільного населення, а також напади зі шпіонажем і розвідкою. 

Атаки були спрямовані не лише на системи державних установ, а й на доступ українців до надійної інформації та критичних сервісів, які мали на меті похитнути довіру до керівництва країни. Також компанія відзначає обмежену шпигунську активність за участі інших країн НАТО та дезінформацію. 

Виявилось, що російські кібератаки пов’язані з фізичними воєнними операціями. Наприклад, 1 березня почалась масштабна кібератака на українського теле- та радіомовника. Того ж дня російські військові оголосили про намір знищити українські «дезінформаційні» цілі та завдали ракетного удару по телевежі в Києві. 

«13 березня вони викрали дані з організації ядерної безпеки – за кілька тижнів після захоплення українських атомних станцій. А під час облоги Маріуполя українці отримували листи, відправник яких був із Росії та маскувався під маріупольця. У листах ішлося про те, що український уряд «покинув» своїх громадян.  

Близько 40 атак, спрямованих на сотні систем, були особливо тривожними. 32% атак були націлені на урядові організації України на національному, регіональному та міському рівнях. Більше 40% – на організації у сферах критичної інфраструктури, що могло опосередковано вплинути на уряд, військових, економіку та цивільне населення», – говорять у Microsoft.

Агенти, залучені до цих атак, використовують різні методики – фішинг, незакриті вразливості, компрометацію провідних постачальників ІТ-послуг. Програмне забезпечення часто змінюють, щоб уникнути виявлення. 

У звіті міститься детальний графік російських кібероперацій. З нього очевидно, що готуватися до війни ворожі агенти почали з березня 2021. Коли війська почали просуватися до кордону з Україною, у Microsoft помітили спроби отримати доступ до цілей, які могли проінформувати ворога про військове та іноземне партнерство України. 

До середини 2021 року агенти націлювались на учасників ланцюга постачання в Україні та закордоном, щоб також отримати доступ до систем у країнах НАТО. На початку 2022 року почались руйнівні атаки за участі шкідливого ПЗ проти українських організацій. Після початку вторгнення, російські кібератаки були спрямовані на досягнення воєнних стратегічних і тактичних цілей. У Microsoft зазначають, що це могла бути тільки частина руйнівної активності, яку спрямували на Україну.  

Команди, що відповідають за безпеку у Microsoft, співпрацюють з українськими урядовцями та спеціалістами з кібербезпеки. Після того, як у січні цього року компанія знайшла шкідливе ПЗ у понад 10 мережах України, фахівці Microsoft попередили український уряд і встановили безпечну лінію комунікації для швидкого реагування на подібні атаки. 

«Враховуючи, що російські загрози віддзеркалюють і доповнюють військові дії, ми вважаємо, що кібератаки будуть зростати у міру загострення конфлікту. Російські державні агенти можуть отримати завдання розширити свої руйнівні дії за межами України – щоб помститися державам, які надають більше військової допомоги Україні, та вживають більше каральних заходів проти російського уряду», – попереджають у Microsoft.

У компанії відзначили, що російські агенти проявляють інтерес або вже проводять операції проти організацій у країнах Балтії та Туреччині. Тому всі попередження, які публікують CISA та інші державні агенції США, а також офіційні фахівці з кібербезпеки з інших країн, слід сприймати серйозно. 

Державні установи та підприємства критичної інфраструктури особливо мають вживати заходів для захисту від атак. У звіті Microsoft опублікували конкретні рекомендації для організацій, які можуть стати мішенню російських агентів, та технічну інформацію для спільноти кібербезпеки.