На фоне вторжения России в Украину назревает интенсивная кибервойна
Эксперты предупредили международное сообщество, что за вторжением России в Украину может последовать масштабная кибервойна с Западом.
После вчерашней DDoS-атаки и атаки вредоносного ПО на украинские устройства и компьютеры западные системы столкнулись с той же угрозой со стороны России для извлечения разведывательной информации, что и страны НАТО — США, Великобритания, Австралия и другие — вводят санкции против России.
«Мы ожидаем увидеть, вероятно, не только Украину, дезинформацию, нацеленную на западную аудиторию, и кибершпионаж в отношении ключевых членов НАТО, поскольку Россия пытается понять следующие шаги, когда речь идет о санкциях или других шагах, которые предпримут западные правительства», — говорит Люк Макнамара, специалист по кибербезопасности. Аналитик Mandiant.
США ввели новые санкции против банковских и финансовых учреждений России, работающих на западных рынках. Белый дом также принял меры по «прекращению более половины российского импорта высоких технологий». “
Эти новые санкции в отношении России ограничат доступ страны к технологиям и повлияют на ее «стратегические амбиции по оказанию влияния на мировой арене», заявили в Белом доме. Они думают о введении более широких ограничений на сенсоры, полупроводники, чипы, авионику, шифрование, навигацию и другие технологии.
В Великобритании премьер-министр Борис Джонсон исключил крупные российские банки из британской финансовой системы.
Российское военное вредоносное ПО
Агентства кибербезопасности США и Великобритании предупредили о новой связанной с Россией вредоносной программе под названием Cyclops Blink. Вредоносное ПО способно заражать сетевое оборудование и похищать информацию, а также атаковать другие устройства в сети. Новое вредоносное ПО является заменой вредоносного ПО для шпионажа Кремля под названием VPNFilter, которое может обнаруживать наличие оборудования SCADA.
«Хотя для США нет конкретных, заслуживающих доверия киберугроз, мы призываем все организации, независимо от их размера, предпринять шаги для улучшения своей кибербезопасности и защиты своих критически важных активов», — говорится в заявлении DHS.
CISA США, ФБР, АНБ и NCSC Великобритании выпустили совместный бюллетень о вредоносной угрозе, известной как MuddyWaters, созданной спонсируемыми иранским правительством передовыми постоянными угрозами (APT). В бюллетене говорится, что MuddyWaters нацелен на ряд организаций и государственных секторов в Европе, Северной Америке, Африке и Азии.
«Мы видели предупреждения правительства о том, что западные банки могут стать мишенями в ответ на санкции против крупных российских банков, но на данный момент, конечно, нельзя исключать более широкий круг целей», — сказала Эмили Килкриз, директор по энергетике, экономике и программа безопасности в Центре новой американской безопасности.
Агентство кредитного рейтинга S&P Global выпускает предупреждение о возможных кибератаках на критически важную инфраструктуру и учреждения.
«Кибератаки становятся все более распространенным средством достижения внешнеполитических целей, учитывая их более низкие затраты на развертывание по сравнению с обычной военной тактикой и неопределенные возможности возмездия», — отмечает предупреждение S&P.
S&P приводит пример инцидента с NotPetya в 2017 году, который произошел в Украине и привел к глобальному прекращению деятельности 7000 компаний в 65 странах с общим экономическим ущербом около 10 миллиардов долларов. Дальнейшее расследование инцидента показало, что за распространением NotPetya стояли шесть сотрудников российской разведки.
Захабия Гупта, аналитик S&P, считает, что экономические последствия такой атаки, как NotPetya, «сейчас могут быть более серьезными, учитывая рост взаимосвязанности и цифровизации». В недавней атаке на украинские сайты использовалось вредоносное ПО Wiper, которое стерло данные.
Ответ с Запада
Были сообщения о том, что президенту Джо Байдену были представлены варианты ответных кибератак, но Белый дом опроверг эти сообщения. Однако Килкриз сказал, что, к сожалению, «это будет своего рода цикл эскалации».
Макнамара сказал, что Mandiant внимательно следит за деятельностью групп кибератак, связанных с Россией, включая Berserk Bear, также известного как Temp.Isotope. Бригада известна тем, что проникла в критически важный энергетический сектор, используя протокол Microsoft SMB.
Согласно анализу кибербезопасности, по мере усиления санкций со стороны западных стран Запад может заблокировать доступ России к банковской системе SWIFT, что может привести к атакам на финансовый сектор в ответ на санкции.
«Отключение России от SWIFT, безусловно, было бы довольно важным шагом… Исторически мы видели, что когда у вас есть государственный противник, который имеет возможности и отключен от SWIFT, на что они готовы пойти. Мы видели это в случае с Северной Кореей», — говорит Макнамара.
Какой бы ни была реакция России, компании во всем мире должны укреплять свою безопасность, поставив себя на место противника. Макнамара привел пример атаки российской группы вымогателей Darkside на Colonial Pipeline, которая привела к отключению нефтепроводов из-за нехватки газа.
Тот же метод может быть использован злоумышленниками для создания общественного хаоса и беспорядков. Следует прогнозировать эти атаки и предпринимать шаги для предотвращения и смягчения таких сценариев. «Даже просто какая-то паника и люди, бегущие к заправке за бензином, я думаю, вы должны подумать о том, как противник может подойти к этому», — сказал Макнамара.
Сетевая безопасность в условиях эскалации украинского кризиса
Учитывая текущую ситуацию в Украине, клиенты обратились к Akamai, ведущему поставщику облачных решений, за помощью в обеспечении сетевой безопасности. Основное внимание уделяется противодействию вредоносному трафику и геоблокировке для соблюдения новых санкций, сообщила компания The Register.
Akamai помогает клиентам блокировать трафик, тем более, что все больше регионов оккупировано российскими солдатами вслед за Донецком и Луганском.
Cloudflare также последовала этому примеру и в качестве меры предосторожности удалила все «клиентские криптографические материалы с серверов в Украине», чтобы враждебные силы не получили доступ к секретным ключам или конфиденциальным данным.
Исследователи сомневаются в возможности распределенных атак типа «отказ в обслуживании» и в том, будут ли они работать по целям на Западе, как в Украине. Макнамара сказал, что в 2021 году такие атаки были успешными, когда иранские хакеры отомстили новым санкциям против страны и привели к сбоям в работе банков и финансовых учреждений.
Россия могла бы использовать DDoS-атаки против Запада, но защита от таких атак сейчас намного лучше, чем в прошлом.
«Поэтому [DDoS-атаки] могут заключаться в том, что предпочтение разрушительным или разрушительным атакам больше похоже на вредоносное ПО для очистки», — говорит Макнамара.
«Лаборатория Касперского», базирующаяся в Москве, не делала никаких официальных заявлений о влиянии текущих санкций на Россию и приукрашивании ситуации между западными странами и Россией. Они упомянули, что их международные команды следят за ситуацией и готовы принять меры в случае необходимости.