Кібервійна проти України та НАТО: експерти Google назвали ключові хакерські групи РФ

Автор: Ілона Ківва

Проект міліметрової/субміліметрової матриці (ALMA) на плато Чахнантор, у Сан-Педро-де-Атакама, пустеля Атакама, Чилі. Космічний телескоп відновив роботу майже через два місяці після закриття через кібератаку. Фото: ALBERTO PENA / AFP

Ілона Ківва

Росія активізувала кібератаки в кінці 2021 року. Пік припав на перші чотири місяці 2022 року.
Найбільше до нападів долучалася хакерська група на FrozenLake. Вона займалася переважно фішингом, а також розсилала листи з інфікованими zip-файлами.
Після початку повномасштабної війни спеціалісти Google вперше виявили одночасне використання кінетичної атаки, шпигунства та інформаційної операції.

У кібератаках на Україну та союзників впродовж 2022 року були задіяні десятки хакерських об’єднань, до наймасованіших нападів залучалися вісім. Більшість з них афілійовані з Головним розвідувальним управлінням Росії. Їхніми головними завданнями були викрадення даних, поширення проросійських наративів та вірусів-стирачів, а також блокування конкретних ресурсів (DDoS атаки).

Заборона розповідає про зібрані аналітиками Google дані щодо хакерських атак в 2022 році.

Google: як бореться з кібератаками

Компанія-техногігант після повномасштабного вторгнення РФ активно допомагає Україні. Так, уряду надали близько 50 000 ліцензій на Google Workspace — це пакет спеціалізованого хмарного забезпечення, призначений для організації колективної роботи (колишній G Suite). Також Гугл допоміг із застосунком «Повітряна тривога» для Android, одразу відправивши його у топ рекомендованих на Play Market, йдеться у звіті компанії «Туман війни. Як конфлікт в Україні трансформував ландшафт кіберзагроз».

Чи не найбільшим викликом, як зазначають аналітики корпорації, став опір кіберзагрозам з боку РФ. Вони спрямовані на державні портали і на більш вузькоспрямовані цілі, наприклад, особисті дані громадян України. Для протидії хакерам компанія поширила захист від DDoS-атак Project Shield, який був створений для ЗМІ, на сторінки українських держустанов. Він дає змогу фактично поглинати небезпечний трафік і діє як щит навіть для невеликих сайтів.

Особливості Project Shield. Інфографіка: Google

Safe Browsing є фільтром, який ідентифікує сайти та домени, що порушують правила — їх включають у так званий чорний список. Цей перелік за 2022 рік значно розширили російськими ресурсами.

Крім того, техногігант, який є однією з найбільших рекламних платформ у світі, призупинив комерційну діяльність у Росії. Йдеться про блок російської реклами на ресурсах компанії, платежів більшості сервісів і монетизації на YouTube, а також бан на нові реєстрації у хмарі.

Safe Browsing: як увімкнути

В основному функція автоматично увімкнена у юзерів пошуковика. Крім того, користувачам Gmail та Workspace Сейф Браузинг надсилає сповіщення, коли на них здійснюється атака.

Приклад заблокованого Safe Browsing сайті. Фото: Threat post

Як перевірити, чи працює:

у Google Chrome — відкрийте Налаштування, прокрутіть вниз до Конфіденційності. Біля пункту «Захистити себе та свій пристрій від небезпечних сайтів» має стояти позначка;
Firefox — відкрийте параметри безпеки. Біля пунктів «Блокувати сайти, про які повідомлено про атаку» та «Блокувати вебпідробки, про які повідомлено» мають стояти галочки;
Safari — відкрийте «Параметри» та переконайтеся, що перемикач поруч із «Попередження про шахрайські вебсайти» увімкнено. На MacBook: «Параметри», розділ «Безпека» — має стояти прапорець «Попереджати під час відвідування шахрайського вебсайту».

Топ-10 цілей кібератак РФ у 2022 році

Масовані кібератаки на сайти та користувачів з України почалися ще у 2021 році. Це були в основному фішингові атаки, тобто викрадення персональних даних, наприклад, паролів від електронної пошти. Їхня кількість за той рік зросла на 250% у порівнянні з попередніми. Кульмінаційним був період з січня по квітень 2022 року — впродовж цього часу відбулося більше атак, аніж за вісім років до цього.

Загалом впродовж 2021-2022 років Росія атакувала близько 150 військових та урядових ресурсів з доменами gov.ua та mil.gov.ua. Головними цілями були:

Міністерство оборони;
Міністерство закордонних справ;
Національне агентство України з питань державної служби (НАДС);
Державне агентство водних ресурсів;
Держприкордонслужба;
СБУ;
Укрзалізниця;
Дніпровська міська рада;
Верховна Рада України;
Міністерство юстиції.

Топ доменів, на які у 2022 році були націлені російські кібератаки. Інфографіка: Google

У 2022 році росіяни також почали атакувати країни НАТО. Кількість цифрових нападів на Альянс зросла на 300% порівняно з попередніми роками.

«Москва використала весь спектр інформаційних операцій — від відкритих державних ЗМІ до таємних платформ і акаунтів — щоб сформувати суспільне сприйняття війни. Ці операції мають три цілі: підірвати український уряд; перервати міжнародну підтримку України; підтримувати внутрішню підтримку війни Росією. Ми спостерігали сплески активності, пов’язані з ключовими подіями, такими як нарощування, вторгнення та мобілізація військ у РФ», — кажуть експерти.

Держава-агресорка більшою мірою використовувала такі кіберінструменти:

збір інформації;
деструктивні атаки;
поширення проросійських наративів;
віруси-стирачі, що знищують дані;
DDoS.

Після початку повномасштабної війни також вперше було помічено одночасне використання кібератаки, кібершпигунства та інформаційної операції.

Хакерські групи, що воюють проти України

У кібервійні проти України та НАТО задіяні десятки таких об’єднань, але ключових вісім:

FrozenBarents — група афілійована з Головним розвідувальним управлінням Росії (ГРУ). Діє з 2009 року. У 2022 році причетні до атаками на компанію Baykar, що виробляє БПЛА Байрактари. Також нападали на українські енергетичні, транспортні та логістичні компанії;
FrozenLake — діє з 2004 року, також афілійована з ГРУ. У 2022 році займалася переважно великими фішинговими атаками, які в основному були спрямовані на ukr.net. У травні також розсилала листи з інфікованими zip файлами (наприклад, ua_report.zip) — вони викрадали збережені паролі;
Coldriver — діє з 2015 року, знаходиться під впливом російського уряду. Група працювала над атаками на країни-членкині НАТО: викрадала і публікувала персональні дані, зокрема партнерів, які підтримували Україну;
Frozenvista — діє з 2021, імовірно, під впливом ГРУ. Долучилася до масових атак на Україну у 2021 та на початку 2022 років;
Pushcha — діє з 2016 року, афілійована з урядом Білорусі. У 2022 році долучилася до атак на країни НАТО;
Summit — діє з 2006 року у співпраці з російським ФСБ. У 2022 році використовувала вірусні файли у додатках Android;
Curious George та Basin — китайські групи. Після початку повномасштабної війни раптово перемкнули свою увагу на Україну та країни НАТО.

Також РФ активно проводить інформаційні кампанії — це в основному поширення фейків та наративів. Такі операції проводяться більшою мірою через двох основних гравців:

Internet Research Agency (або Тролі з Ольгіна). Це об’єднання користувачів-провокаторів/ботів, які лишають дописи та коментарі під новинами інтернет-видань та на інших ресурсах. Її засновником вважається Євген Пригожин ;
KrymskyBridge — подібне об’єднання, яке співпрацює з урядом РФ.

Хакерські групи, які найбільше були задіяні у кібератаках проти України і НАТО. Інфографіка: Google

Так, тільки на платформах Google за 2022 року було заблоковано 1950 таких операцій. Вони в основному здійснювалися російською мовою (у 93%), але також англійською, французькою, німецькою, українською, болгарською, арабською та китайською.

Раніше Заборона розповідала про ключові пропагандистські наративи, які використовує Кремль. Вони відрізняють в залежності від країни, у якій їх поширюють. Приміром, у Польщі сіяли вкиди про те, що країна не повинна допомагати Україні. Для просування наративу використовували тему Волинської трагедії та інші суперечливі історичні події.

Сподобався матеріал?

Підтримай Заборону на Patreon, щоб ми могли випускати ще більше цікавих історій

Підтримати Заборону