Кібервійна проти України та НАТО: експерти Google назвали ключові хакерські групи РФ

• Росія активізувала кібератаки в кінці 2021 року. Пік припав на перші чотири місяці 2022 року.
• Найбільше до нападів долучалася хакерська група на FrozenLake. Вона займалася переважно фішингом, а також розсилала листи з інфікованими zip-файлами.
• Після початку повномасштабної війни спеціалісти Google вперше виявили одночасне використання кінетичної атаки, шпигунства та інформаційної операції.

У кібератаках на Україну та союзників впродовж 2022 року були задіяні десятки хакерських об’єднань, до наймасованіших нападів залучалися вісім. Більшість з них афілійовані з Головним розвідувальним управлінням Росії. Їхніми головними завданнями були викрадення даних, поширення проросійських наративів та вірусів-стирачів, а також блокування конкретних ресурсів (DDoS атаки).

Заборона розповідає про зібрані аналітиками Google дані щодо хакерських атак в 2022 році.

Google: як бореться з кібератаками

Компанія-техногігант після повномасштабного вторгнення РФ активно допомагає Україні. Так, уряду надали близько 50 000 ліцензій на Google Workspace — це пакет спеціалізованого хмарного забезпечення, призначений для організації колективної роботи (колишній G Suite). Також Гугл допоміг із застосунком «Повітряна тривога» для Android, одразу відправивши його у топ рекомендованих на Play Market, йдеться у звіті компанії «Туман війни. Як конфлікт в Україні трансформував ландшафт кіберзагроз».

Чи не найбільшим викликом, як зазначають аналітики корпорації, став опір кіберзагрозам з боку РФ. Вони спрямовані на державні портали і на більш вузькоспрямовані цілі, наприклад, особисті дані громадян України. Для протидії хакерам компанія поширила захист від DDoS-атак Project Shield, який був створений для ЗМІ, на сторінки українських держустанов. Він дає змогу фактично поглинати небезпечний трафік і діє як щит навіть для невеликих сайтів.

Safe Browsing є фільтром, який ідентифікує сайти та домени, що порушують правила — їх включають у так званий чорний список. Цей перелік за 2022 рік значно розширили російськими ресурсами.

Крім того, техногігант, який є однією з найбільших рекламних платформ у світі, призупинив комерційну діяльність у Росії. Йдеться про блок російської реклами на ресурсах компанії, платежів більшості сервісів і монетизації на YouTube, а також бан на нові реєстрації у хмарі.

Safe Browsing: як увімкнути

В основному функція автоматично увімкнена у юзерів пошуковика. Крім того, користувачам Gmail та Workspace Сейф Браузинг надсилає сповіщення, коли на них здійснюється атака.

Як перевірити, чи працює:

• у Google Chrome — відкрийте Налаштування, прокрутіть вниз до Конфіденційності. Біля пункту «Захистити себе та свій пристрій від небезпечних сайтів» має стояти позначка;
• Firefox — відкрийте параметри безпеки. Біля пунктів «Блокувати сайти, про які повідомлено про атаку» та «Блокувати вебпідробки, про які повідомлено» мають стояти галочки;
• Safari — відкрийте «Параметри» та переконайтеся, що перемикач поруч із «Попередження про шахрайські вебсайти» увімкнено. На MacBook: «Параметри», розділ «Безпека» — має стояти прапорець «Попереджати під час відвідування шахрайського вебсайту».

Топ-10 цілей кібератак РФ у 2022 році

Масовані кібератаки на сайти та користувачів з України почалися ще у 2021 році. Це були в основному фішингові атаки, тобто викрадення персональних даних, наприклад, паролів від електронної пошти. Їхня кількість за той рік зросла на 250% у порівнянні з попередніми. Кульмінаційним був період з січня по квітень 2022 року — впродовж цього часу відбулося більше атак, аніж за вісім років до цього.

Загалом впродовж 2021-2022 років Росія атакувала близько 150 військових та урядових ресурсів з доменами gov.ua та mil.gov.ua. Головними цілями були:

• Міністерство оборони;
• Міністерство закордонних справ;
• Національне агентство України з питань державної служби (НАДС);
• Державне агентство водних ресурсів;
• Держприкордонслужба;
• СБУ;
• Укрзалізниця;
• Дніпровська міська рада;
• Верховна Рада України;
• Міністерство юстиції.

У 2022 році росіяни також почали атакувати країни НАТО. Кількість цифрових нападів на Альянс зросла на 300% порівняно з попередніми роками.

«Москва використала весь спектр інформаційних операцій — від відкритих державних ЗМІ до таємних платформ і акаунтів — щоб сформувати суспільне сприйняття війни. Ці операції мають три цілі: підірвати український уряд; перервати міжнародну підтримку України; підтримувати внутрішню підтримку війни Росією. Ми спостерігали сплески активності, пов’язані з ключовими подіями, такими як нарощування, вторгнення та мобілізація військ у РФ», — кажуть експерти. 

Держава-агресорка більшою мірою використовувала такі кіберінструменти:

• збір інформації;
• деструктивні атаки;
• поширення проросійських наративів;
• віруси-стирачі, що знищують дані;
• DDoS.

Після початку повномасштабної війни також вперше було помічено одночасне використання кібератаки, кібершпигунства та інформаційної операції.

Хакерські групи, що воюють проти України

У кібервійні проти України та НАТО задіяні десятки таких об’єднань, але ключових вісім:

• FrozenBarents — група афілійована з Головним розвідувальним управлінням Росії (ГРУ). Діє з 2009 року. У 2022 році причетні до атаками на компанію Baykar, що виробляє БПЛА Байрактари. Також нападали на українські енергетичні, транспортні та логістичні компанії;
• FrozenLake — діє з 2004 року, також афілійована з ГРУ. У 2022 році займалася переважно великими фішинговими атаками, які в основному були спрямовані на ukr.net. У травні також розсилала листи з інфікованими zip файлами (наприклад, ua_report.zip) — вони викрадали збережені паролі;
• Coldriver — діє з 2015 року, знаходиться під впливом російського уряду. Група працювала над атаками на країни-членкині НАТО: викрадала і публікувала персональні дані, зокрема партнерів, які підтримували Україну;
• Frozenvista — діє з 2021, імовірно, під впливом ГРУ. Долучилася до масових атак на Україну у 2021 та на початку 2022 років;
• Pushcha — діє з 2016 року, афілійована з урядом Білорусі. У 2022 році долучилася до атак на країни НАТО;
• Summit — діє з 2006 року у співпраці з російським ФСБ. У 2022 році використовувала вірусні файли у додатках Android;
• Curious George та Basin — китайські групи. Після початку повномасштабної війни раптово перемкнули свою увагу на Україну та країни НАТО.

Також РФ активно проводить інформаційні кампанії — це в основному поширення фейків та наративів. Такі операції проводяться більшою мірою через двох основних гравців: 

• Internet Research Agency (або Тролі з Ольгіна). Це об’єднання користувачів-провокаторів/ботів, які лишають дописи та коментарі під новинами інтернет-видань та на інших ресурсах. Її засновником вважається Євген Пригожин ;
• KrymskyBridge — подібне об’єднання, яке співпрацює з урядом РФ.

Так, тільки на платформах Google за 2022 року було заблоковано 1950 таких операцій. Вони в основному здійснювалися російською мовою (у 93%), але також англійською, французькою, німецькою, українською, болгарською, арабською та китайською.

Раніше Заборона розповідала про ключові пропагандистські наративи, які використовує Кремль. Вони відрізняють в залежності від країни, у якій їх поширюють. Приміром, у Польщі сіяли вкиди про те, що країна не повинна допомагати Україні. Для просування наративу використовували тему Волинської трагедії та інші суперечливі історичні події.