FOLLOW US ON SOCIAL

Кібератаки проти України у 2022 році здійснювали пов'язані з російськими ФСБ, ГУР і СЗР групи – Держспецзв'язку

Київ. 9 березня. ІНТЕРФАКС-УКРАЇНА – Хакерські атаки проти України здійснювали групи, асоційовані з російськими Федеральною службою безпеки (ФСБ), Головним управлінням розвідки (ГУР) та Службою зовнішньої розвідки (СЗР), їхньою метою було кібершпигунство та крадіжка даних, повідомила урядова команда реагування на комп’ютерні надзвичайні події України CERT-UA у звіті про кіберагресію Росії проти України у 2022 році.

Фахівці CERT-UA дійшли відповідних висновків завдяки опрацьованим вручну 2,2 тис. кібератак на українські структури у 2022 році, з яких 1,1 тис. містили високий і критичний рівень загрози, зазначається в документі.

Згідно зі звітом, найактивнішою у другій половині 2022 року була асоційована з ФСБ група Gamaredon. Тільки за друге півріччя від них було зафіксовано 74 атаки. Основною метою їхньої діяльності було кібершпигунство, але CERT-UA розслідує і випадки, коли мережа була заражена через шкідливе програмне забезпечення. Ключовими цілями були державні організації та підприємства сектору безпеки та оборони, йдеться в тексті звіту.

Фахівці CERT-UA зазначили, що Gamaredon діє, поширюючи шкідливі програми за допомогою електронних листів. Секрет їхнього успіху в тому, що вони використовують теми, які безпосередньо стосуються компетенції постраждалих організацій. Також Gamaredon ведуть розсилку від акаунтів електронної пошти, скомпрометованих унаслідок атак. Група працює за допомогою телеком/хостинг-провайдера окупованого Криму CrymCom.

Активну участь у кібератаках проти України брала група ГРУ Sandworm (UAC-0082). У другому півріччі CERT-UA проаналізував 14 інцидентів, які з високим рівнем впевненості можна віднести до Sandworm. Група спеціалізується насамперед на кібершпигунстві та деструктивній діяльності. Серед їхніх цілей – критично важливі інфраструктурні організації, об’єкти енергетики та логістичні компанії, популярні ЗМІ, державні ресурси, повідомили Держспецзв’язку.

Згідно зі звітом, здебільшого атаки здійснювалися групами хакерів, підконтрольних ГРУ, ФСБ, СЗР. У другому кварталі минулого року було зафіксовано участь у чотирьох кіберінцидентах і білоруської групи GhostWriter.

“Зменшення випадків кіберінцидентів у літній період можна пояснити і активним пошуком нових цілей/можливостей, і припущенням, що це спричинено внутрішньою зміною пріоритетів і процесами узгодження з вищим російським військовим командуванням. Іншим поясненням може бути вплив відпустки, що підтверджує припущення, що зловмисники – переважно “хакери в погонах”, – наголошується у звіті.

Згідно з ним, спалах кібератак високого і критичного рівня проти України фіксувався на початку і наприкінці 2022 року. Згідно з даними у звіті Держспецзв’язку, у січні-лютому фахівці зафіксували близько 130 кібератак критичного рівня. Також спалах атак було зафіксовано в грудні, коли фахівці виявили близько 30 критичних кібератак.

Основною мішенню російських кіберзлочинців залишалася цивільна інфраструктура, але пріоритети хакерів протягом повномасштабного вторгнення змінювалися відповідно до військових потреб.

У другій половині 2022 року фіксувалося зміщення фокусу російських хакерів зі ЗМІ і телекомунікаційної галузі, які були одними з головних цілей на початку війни, на енергетичний сектор, який також став мішенню для ракетних атак із жовтня минулого року. Причому цілі російських хакерських атак також змінилися: від цілеспрямованих атак вони перейшли до шпигунства і крадіжки даних.

“У другій половині 2022 року ФСБ/ГРУ/СВР переважно прагнули до збору розвідданих. Найагресивніші операції кібершпигунства здійснювали щодо цивільної інфраструктури, включно з урядом, установами критичної інфраструктури (енергетичні компанії, комерційні організації, логістичні підприємства), а також Міненерго, Мінфіном, МЗС, Міноборони, Держприкордонслужбою”, – ідеться в тексті звіту.

Ворожі кібератаки були націлені на різні сектори, зокрема 556 атак здійснено на урядовий сектор, 113 – на військовий, 43 – на телеком- та IT-сектори, 19 – на транспортний, по 29 – на медіа та енергетичний сектори, 12 – на банківський сектор.

Найбільш поширеним прийомом залишається фішинг, але також російські хакерські групи почали зосереджуватися на використанні технічних вразливостей організацій. Застосовувався шкідливий код, зараження шкідливим програмним забезпеченням. Злодії використовують для доступу до внутрішніх мереж VPN без 2 FA, компрометацію облікового запису через зараження шкідливим програмним забезпеченням або CobaltStrike імплантати, що доставляються через уразливість.

Зловмисники активно використовували електронну пошту і довіру між одержувачами для поширення шкідливого програмного забезпечення.

В інцидентах другої половини 2022 року 157 випадків були випадками з використанням виявлених вразливостей, 151 – фішингу, 141 – поширення шкідливих програм.