Experter har varnat det internationella samfundet för att Rysslands invasion av Ukraina kan följas av massiv cyberkrigföring med väst.
Efter gårdagens DDoS och skadlig programvara attack mot Ukrainas enheter och datorer, möter västerländska system samma hot från Ryssland att utvinna underrättelseinformation som Nato-nationer – USA, Storbritannien, Australien och fler inför sanktioner mot Ryssland.
"Vi förväntar oss att se förmodligen bortom bara Ukraina, desinformation för att rikta in sig på västerländsk publik och cyberspoinering mot viktiga NATO-medlemmar, eftersom Ryssland försöker förstå nästa steg när det kommer till sanktioner eller andra steg som västerländska regeringar kommer att vidta," säger Luke McNamara, cybersäkerhet analytiker på Mandiant.
USA införde nya sanktioner mot banker och finansinstitut i Ryssland som handlar på de västerländska marknaderna. Vita huset har också genomfört åtgärder för att "avbryta mer än hälften av Rysslands högteknologiska import. "
Dessa nya sanktioner mot Ryssland kommer att begränsa länets tillgång till teknik och påverka dess "strategiska ambitioner att utöva inflytande på världsscenen", sade Vita huset. De funderar på att införa bredare restriktioner för sensorer, halvledare, chips, flygelektronik, krypteringssäkerhet, navigering och annan teknik.
I Storbritannien har premiärminister Boris Johnson uteslutit stora ryska banker från brittiska finanssystem.
Rysslands militära skadliga program
De amerikanska och brittiska cybersäkerhetsbyråerna har varnat för en ny Rysslandslänkad skadlig kod som heter Cyclops Blink. Skadlig programvara kan infektera nätverksutrustning och exfiltrera information, och ytterligare attackera andra enheter i nätverket. Den nya skadliga programvaran är en ersättning för Kreml-spionage skadlig kod som kallas VPNFilter, som kan upptäcka närvaron av SCADA-utrustning.
"Även om det inte finns några specifika, trovärdiga cyberhot mot USA, uppmuntrar vi alla organisationer – oavsett storlek – att vidta åtgärder nu för att förbättra sin cybersäkerhet och skydda sina kritiska tillgångar", säger DHS.
USA:s CISA, FBI, NSA och Storbritanniens NCSC utfärdade en gemensam rådgivning om ett skadligt hot känt som MuddyWaters av iranska regeringssponsrade avancerade persistent hot-aktörer (APT). Den rådgivande sa att MuddyWaters riktar sig till en rad organisationer och statliga sektorer i Europa, Nordamerika, Afrika och Asien.
"Vi har sett regeringsvarningar om att västerländska banker är mål, som vedergällning för sanktioner mot stora ryska banker, men vid denna tidpunkt kunde man absolut inte utesluta ett bredare antal mål", säger Emily Kilcrease, direktör för energi, ekonomi och säkerhetsprogram vid Center for New American Security.
S&P Global, ett kreditvärderingsinstitut, utfärdar en varning för möjliga cyberattacker mot kritisk infrastruktur och institutioner.
"Cyberattacker blir ett allt vanligare sätt att uppnå utrikespolitiska mål, med tanke på deras lägre utbyggnadskostnader i förhållande till konventionell militär taktik och osäkra utrymme för repressalier", noterar S&P alert.
S&P citerade exemplet med NotPetya-incidenten 2017 som drabbade Ukraina och resulterade i en global störning av 7000 företag i 65 länder, med en total ekonomisk förlust på cirka 10 miljarder dollar. Ytterligare undersökningar av händelsen visade att sex ryska underrättelsetjänstemän låg bakom distributionen av NotPetya.
Zahabia Gupta, S&P-analytiker att de ekonomiska effekterna av en attack som NotPetya "kan vara allvarligare nu, givet ökad sammankoppling och digitalisering." I den senaste attacken mot ukrainska webbplatser användes en torkare skadlig kod som raderade ut data.
Svar från väst
Det hade förekommit rapporter om att president Joe Biden har presenterats för repressalier för cyberangrepp, men Vita huset har förnekat rapporterna. Kilcrease sa dock att "det kommer att bli lite av en eskaleringscykel tyvärr."
McNamara sa att Mandiant håller ett öga på aktiviteterna hos cyberattackgrupper kopplade till Ryssland, inklusive Berserk Bear, aka Temp.Isotope. Besättningen är känd för att infiltrera den kritiska energisektorn med hjälp av Microsofts SMB-protokoll.
Enligt cybersäkerhetsanalys, när sanktionerna från de västerländska länderna ökar, kan väst blockera Ryssland från SWIFT-banksystemet och det kan leda till attacker mot finanssektorn som svar på sanktionerna.
"Att koppla bort Ryssland från SWIFT, det skulle verkligen vara ett ganska viktigt steg… Historiskt sett har vi sett när du har en statsmotståndare som har en förmåga och som är bortkopplad från SWIFT, vad de är villiga att göra. Vi har sett det i Nordkoreas fall", säger McNamara.
Oavsett svaret från Ryssland bör företag över hela världen stärka sin säkerhet genom att sätta sig i motståndarens skor. McNamara gav ett exempel på attacken mot Colonial Pipeline av en rysk ransomware-grupp, Darkside, som resulterade i att oljeledningar stängdes av på grund av gasbrist.
Samma teknik kan användas av angriparna för att skapa offentligt kaos och störningar. Man bör förutsäga dessa attacker och vidta åtgärder för att förhindra och mildra sådana scenarier. "Till och med bara någon form av panik och folk som springer till pumpen efter bensin, det är något jag tror att du måste tänka på hur motståndaren kan närma sig det här," sa McNamara.
Nätverkssäkerhet mitt i den eskalerade Ukrainakrisen
Med tanke på den nuvarande situationen i Ukraina har kunder kontaktat Akamai, en ledande molnsäkerhetsleverantör, för att hjälpa till med deras nätverkssäkerhet. Huvudfokus är på att lindra skadlig trafik och geoblockering för att följa nya sanktioner, säger företaget till The Register.
Akamai hjälper kunder att blockera trafik, särskilt när fler regioner ockuperas av ryska soldater, efter Donetsk och Luhansk.
Cloudflare har också följt efter och har tagit bort allt "kundkryptografiskt material från servrar i Ukraina" som en försiktighetsåtgärd, så att fientliga styrkor inte får tillgång till hemliga nycklar eller känslig data.
Forskare ifrågasätter möjligheten av Distribuerade Denial of Service-attacker och om de kommer att arbeta mot mål i väst, som i Ukraina. McNamara sa att 2021 var sådana attacker framgångsrika när iranska hackare hämnades mot nya sanktioner mot landet och resulterade i störningar mellan banker och finansinstitutioner.
Ryssland skulle kunna använda DDoS-attacker för att rikta sig mot väst, men försvaret mot sådana attacker är mycket bättre nu än tidigare.
"Så det [DDoS-attacker] kan vara så att preferensen för störande eller destruktiva attacker är något mer liknar torka skadlig programvara", säger McNamara.
Kaspersky Lab, som är baserat i Moskva, har inte gjort något officiellt uttalande angående effekten av nuvarande sanktioner mot Ryssland och dekorationssituationen mellan västländerna och Ryssland. De nämnde att deras internationella team övervakar situationen och är redo att vidta åtgärder om det behövs.