Опасается роста потенциальных российских кибератак на США и союзников из-за санкций



Нарастает напряженность из-за возможности того, что российские кибератаки на Украине могут распространиться на организации в США и других странах, которые ввели экономические и другие санкции против России в связи с ее вторжением в Украину на этой неделе.

Опасения подпитываются как недавним прецедентом, так и характером злонамеренной деятельности, направленной против организаций в Украине за последние несколько недель и месяцев субъектами киберугроз, которые, как считается, связаны с российским правительством.

«Западный мир должен быть в состоянии повышенной готовности в связи с ответными действиями России в киберпространстве», — говорит Пол Кайаццо, советник Avertium. По его словам, Россия продемонстрировала тенденцию к использованию гибридного подхода к ведению войны — кинетического и кибернетического — в предыдущих конфликтах, и то, что происходит сейчас, соответствует этому подходу. По его словам, единство, с которым западные страны ввели санкции, оставило России мало вариантов и она рискует быть полностью отрезанной от мировой финансовой системы.

«Интернет по-прежнему будет предоставлять Путину все возможности для того, чтобы передать свои угрозы ужасных последствий тем, кто пытается вмешаться в повестку дня России», — говорит Кайаццо.

Большая часть непосредственных опасений связана со шквалом злонамеренных действий, направленных против украинских организаций, до военных действий России рано утром 24 февраля по местному времени. Это включает в себя развертывание опасного нового вредоносного инструмента для очистки дисков, калечащих DDoS-атак и новой вредоносной среды от российского злоумышленника, связанного с Главным разведывательным управлением Генерального штаба (ГРУ) России.

Неотложные проблемы

Вечером 23 февраля, всего за несколько часов до того, как российские войска вошли в Украину, исследователи безопасности сообщили, что многочисленные украинские организации пострадали от новой сложной вредоносной программы для очистки дисков. Компания ESET, отслеживающая угрозу как HermeticWiper, заявила, что обнаружила следы вредоносного ПО на сотнях систем в Украине. Отметка времени компиляции одного образца HermeticWiper — 28 декабря 2021 года, что позволяет предположить, что атака находилась в режиме подготовки почти два месяца. ESET описал двоичный файл вредоносного ПО подписан действительным сертификатом подписи кода, выданным Hermetica Virtual Ltd.

Symantec сообщила, что вредоносное ПО было развернуто против организаций оборонного, финансового, авиационного и ИТ-сектора Украины. Похоже, вредоносное ПО предназначено исключительно для повреждения основной книги записей (MBR) в системах Home windows, что делает их не загружаемыми после взлома. В нескольких атаках злоумышленники развернули программу-вымогатель одновременно со очистителем диска, вероятно, в качестве приманки. Symantec заявила, что обнаружила доказательства присутствия HermeticWiper — или Trojan.Killdisk, как отслеживает поставщик систем безопасности — в системах, принадлежащих организациям в Литве, что позволяет предположить, что кибератаки в Украине уже начали распространяться на другие страны.

HermeticWiper похож на другой вредоносный инструмент для очистки дисков под названием WhisperGate, о котором Microsoft впервые сообщила об использовании против украинских организаций в январе. Как и в случае с HermeticWiper, этот очиститель маскировался под программу-вымогатель, но был разработан для перезаписи и уничтожения MBR. Жертвами WhisperGate до сих пор были украинское правительство, ИТ-провайдеры и некоммерческие организации.

Whispergate и HermeticWiper вызвали сравнения с NotPetya 2017 года, который также изначально казался вымогателем, но на самом деле был очистителем диска. Вредоносная программа заразила десятки тысяч систем по всему миру, хотя первоначально она была нацелена в основном на украинские системы.

«Российские кибератаки, такие как NotPetya, имевшие глобальные последствия в 2017 году, больше всего затронули Украину, но в конечном итоге обошлись гигантским транснациональным корпорациям и государственным организациям в миллиарды долларов», — говорит Кайаццо. «Сущности попали под перекрестный огонь независимо от политики, и то же самое может произойти снова».

Вызывает беспокойство и новая вредоносная среда Cyclops Blink, которую российский злоумышленник Sandworm, также известный как Voodoo Undergo, использует для нападения на сетевые устройства. Песчаный червь стоит за вспышкой NotPeyta, атакой BlackEnergy в 2015 году, которая временно вывела из строя энергосистему Украины, и Industroyer, первым кибероружием, разработанным специально для масштабных атак на электрические системы.

В совместном бюллетене на этой неделе Агентства кибербезопасности и инфраструктуры США, Национального центра кибербезопасности Великобритании, АНБ и ФБР Cyclops Blink описывается как вредоносное ПО, которое Sandworm теперь использует в качестве замены своего предыдущего VPNFilter для атак на сетевые устройства. VPNFilter заразил около 500 000 маршрутизаторов по всему миру, прежде чем он был закрыт в 2018 году. Cyclops Blink был разработан вскоре после этого в 2019 году. В настоящее время вредоносное ПО влияет только на устройства WatchGuard, но, вероятно, его можно изменить, чтобы повлиять на сетевые технологии других поставщиков, CISA и других. сказал.

Как и раньше, военным действиям России на Украине на этой неделе предшествовали многочисленные DDoS-атаки на ключевые правительственные сайты, в том числе сайты украинского парламента, Совета министров, Министерства иностранных дел и Службы безопасности Украины. На связанном с Россией веб-сайте, который служил командно-административным центром для атак, также были обнаружены клоны ключевых украинских правительственных веб-сайтов, включая веб-сайты президента и Министерства юстиции.

Волнующие киберэффекты

Пурандар Дас, генеральный директор и соучредитель Sotero, говорит, что на первый взгляд в кибератаках на Украине нет ничего особенного по сравнению с предыдущими периодами подобного конфликта. «Однако в настоящее время неясно, являются ли они диверсиями», — говорит он.

Вероятно, атаки являются тактикой привлечения внимания к тому, что воспринимается как проблема, в то время как более стратегические атаки на инфраструктуру могут происходить или уже произошли, говорит он. «Было бы слишком легко поверить, что другие страны, считающиеся враждебными, еще не подверглись нападению. Безусловно, может произойти эскалация против этих государств, чтобы воспрепятствовать их сотрудничеству или нарушить связь».

В последние дни CISA фактически предупредило о возможности того, что «иностранные субъекты» могут использовать дезинформацию, дезинформацию и вводящую в заблуждение информацию о реальных событиях для нацеливания на критически важную инфраструктуру США. В предупреждении говорится, что российско-украинский конфликт повысил риск операций иностранного влияния, нацеленных на американскую аудиторию с целью подрыва власти и интересов США и разрушения критически важной инфраструктуры США.

На этом этапе все организации, корпорации и малые предприятия должны проявить должную осмотрительность и защитить свою киберсреду. Нынешняя ситуация в отношениях между Украиной и Россией влияет на все организации, а не только на тех, кто ведет бизнес в Украине, говорит Ли Легнон, директор по маркетингу решений в Avertium. Организации, подверженные особому риску, — это организации, работающие в критически важных секторах инфраструктуры и поставщики цепочки поставок с высокой добавленной стоимостью. «Россия уже демонстрировала способность и готовность вызывать разрушения и ущерб и может сделать это снова, чтобы вызвать массовое замешательство на разных уровнях как в государственном, так и в частном секторе», — говорит он.

Ранее в этом месяце CISA призвала американские организации занять так называемую позицию «защищать щиты» в рамках подготовки к кибератакам со стороны поддерживаемых Россией злоумышленников.

В рамках должной осмотрительности организации должны убедиться, что они понимают, как текущие санкции против России могут повлиять на их способность выплачивать выкуп в случае атаки, говорит Алекс Ифтими, сопредседатель отдела глобальных рисков и кризисов Morrison & Foerster. группа управления. «Похоже, что новые российские санкции не включают санкции, направленные против групп вымогателей или других кибер-актеров или используемой ими криптовалютной инфраструктуры», — говорит Ифтими.

Но это может быстро измениться, если начнутся скоординированные атаки программ-вымогателей, связанных с российским вторжением в Украину, говорит он. Он отмечает, что ФБР предупредило предприятия, государственных и местных чиновников о возможности таких атак.

«В свете новых масштабных санкций крайне важно, чтобы жертвы программ-вымогателей и других атак с целью вымогательства проявляли должную осмотрительность, прежде чем платить выкуп», — говорит Ифтими.


https://cyberxhack.org/