Анализ киберопераций и операций влияния в российско-украинском конфликте


Экстенсивное использование кибер- и информационных операций в продолжающемся российско-украинском конфликте было подчеркнуто экспертами по анализу угроз во время виртуальной сессии, организованной Recorded Long run.

Открывая сессию, Кристофер Альберг, соучредитель и генеральный директор Recorded Long run, пояснил, что российское вторжение в Украину представляет собой новый тип войны, который «превратился в геополитические и кинетические, кибернетические и информационные операции».

Другие примечательные аспекты конфликта заключаются в том, что «он разворачивается перед нами в социальных сетях» через такие платформы, как Twitter и TikTok, и выходит «огромный объем данных».

Крейг Террон, группа по глобальным вопросам, Insikt Team, часть Recorded Long run, представил обзор конфликта на сегодняшний день. По сути, продвижение русских было медленнее, чем предполагалось, пока не удалось захватить город, добиться превосходства в воздухе и понести значительные потери. Это, по-видимому, привело к изменению подхода российских военных, приняв «тактику осадной войны».

Кибероперации

Кибератаки уже сыграли значительную роль в конфликте как до, так и после вторжения. По словам Террона, во время подготовки к вторжению Инсикт наблюдал множество атак, которые «соответствовали стратегическим целям России». Они включали «подрыв украинского правительства, запугивание и деморализацию украинского населения, внесение путаницы и нарушение повседневной жизни граждан Украины».

Основными методами, используемыми российскими спонсируемыми государством и нексусными группами угроз, были DDoS-атаки, вредоносное ПО, порча веб-сайтов и мошеннический обмен сообщениями. Кроме того, Террон отметил значительный всплеск рекламы в темной сети, связанной с Украиной, за последние три месяца; например, продажа данных, связанных с МИД Украины.

Эти атаки, которые в первую очередь были нацелены на правительство и критически важные сектора, такие как банковское дело, были тщательно скоординированы. Террон рассказал об одновременной DDoS-атаке и атаке вредоносного ПО на прошлой неделе, за день до начала вторжения. Основываясь на сроках, «группа Insikt считает, что атаки, вероятно, были проведены спонсируемой Россией или государственной нексусной группой угроз». Он добавил, что есть доказательства того, что вредоносное ПО Wiper было установлено на сотни устройств в Украине в ноябре/декабре.

Террон также обсудил роль группы угроз UNC1151, которая, как считается, связана с белорусским правительством, союзником России. Это включало массовые фишинговые атаки, нацеленные на украинских военнослужащих и связанных с ними лиц, скорее всего, в попытке дискредитировать и подорвать Украину.

Террон сказал, что с тех пор, как началось вторжение, ряд киберпреступных группировок выбрали сторону. Например, «группа вымогателей Conti объявила на своем веб-сайте по вымогательству программ-вымогателей, что они будут поддерживать все действия российского правительства во время вторжения в Украину, приложат все усилия, чтобы противостоять любым кибератакам против России, и будут нацелены на критическую инфраструктуру врагам России в отместку за любые нападения на Россию». Примечательно, что после этого заявления украинский исследователь слил огромное количество внутренних данных чата.

С другой стороны, группа хактивистов Nameless объявила «кибервойну» правительству Владимира Путина после российского вторжения в Украину и, похоже, успешно закрыла несколько российских государственных веб-сайтов. Террон отметил, что в ответ «российские правительственные веб-сайты с тех пор внедрили средства защиты от DDoS-атак, в том числе доступ только для пользователей в России».

В целом, «наступательная российская киберактивность не привела к информационному превосходству», по словам Террона, отметив, что «новости продолжают поступать, исследователи из открытых источников и аналитики разведки продолжают следить за российским вторжением, а украинское правительство все еще может общаться со своими гражданами и миром, в том числе через социальные сети».

Тем не менее, он ожидает, что группы, спонсируемые российским государством, будут продолжать проводить киберактивность по мере расширения конфликта, включая операции по оказанию влияния, «чтобы подорвать и дискредитировать украинское правительство и вооруженные силы».

Террон также считает, что есть «равный шанс», что западные организации станут мишенью в отместку за поддержку Западом Украины и санкции, введенные против России. Однако в настоящее время обе стороны пытаются лишить друг друга возможности проводить кибератаки друг на друга, а западные страны предупреждают Россию о своих собственных наступательных кибервозможностях. «Российское и западное правительства находятся в противостоянии, ожидая, кто первым проведет кибератаку, а киберпреступные группы предлагают России потенциальный метод возмездия против Запада», — прокомментировал Террон.

Операции влияния

В следующей части виртуальной сессии Брайан Листон, группа по глобальным вопросам Insikt Team, обсудил операции по информированию/влиянию, происходящие во время конфликта. С российской стороны это «стремится создать нарратив о том, что это конфликт необходимости, а не конфликт выбора».

За несколько недель до вторжения этот месседж продвигался, чтобы положительно повлиять на восприятие внутренней и внешней аудиторией российского наступления на Украину, в том числе через разведывательные ресурсы внутри Украины.

Это сообщение охватывает целый ряд тем. Это включало представление России оборонительным защитником и «назначение Украины, НАТО и США агрессорами». Российские СМИ также утверждали, что русские меньшинства в Украине подвергаются нарушениям прав человека, и называли «украинцев и правительство в совокупности фашистами и неонацистами».

С момента начала вторжения «российские источники продолжают обвинять Запад в его необходимости вмешаться и его продолжающихся поставках смертоносного оружия, санкциях и других формах ответа в качестве агрессивного возмездия».

Кроме того, Листон наблюдал значительную фальсификацию событий на местах. Ярким примером стала фальшивая телеграмма президента Украины Зеленского, в которой он просил своих солдат сложить оружие и прекратить сопротивление российским войскам. Он добавил, что «мы знаем, что Россия сильно занижает свои потери, по крайней мере, для российской общественности».

Он признал, что весьма вероятно, что украинские источники занижают собственные потери в конфликте.

Также было несколько случаев создания дипфейков в связи с конфликтом. Это включает в себя случай, когда лицо Владимира Путина было запрограммировано на тело деятеля Гитлерюгенда.

В дальнейшем Листон ожидает продолжения операций российского влияния, которые «вызывают панику среди украинцев, возможно, в попытке добиться смены правительства».

Заглядывая в будущее, после окончания нынешнего конфликта, «мы ожидаем, что Россия будет пытаться вмешиваться во внутренние и политические дела стран НАТО и ЕС, как в отместку за реакцию Запада на вторжение, так и в более широкой надежде на продвижение политических лидеров и правительственных коалиций, которые, по их мнению, могут восстановить улучшенные отношения и санкции».

https://cyberxhack.org/