Evaluarea activitatilor cibernetice si a peisajului amenintarilor din Ucraina
calendar_month 18 Mai 2022, 13:42
De la inceputul razboiului, in fiecare saptamana au fost identificate noi atacuri cibernetice care au loc in Ucraina, atacuri care duc la o varietate de interpretari – si, intr-adevar, la un sentiment global de confuzie. In acest raport, Kaspersky cauta sa prezinte o evaluare tehnica strategica asupra evenimentelor curente.
Cercetatorii Kaspersky in domeniul securitatii cibernetice din Global Research and Analysis Team (GReAT) observa un peisaj de amenintari in legatura cu conflictul, cu comunitatea internationala mai larga si, astfel, contribuie la discutii mai ample privind stabilitatea cibernetica in curs de desfasurare a perspectivelor legate de amenintari.
Prezentare generala a activitatilor cibernetice
De la inceputul razboiului, comunitatea internationala a observat un numar foarte mare de atacuri de diferite feluri si cu diferite grade de sofisticare. Aceste atacuri includ:
Atacurile distructive precum:
Ransomware (IsaacRansom);
Ransomware fals (WhisperGate);
Wiper-e (HermeticWiper, CaddyWiper, DoubleZero, IsaacWiper); si
Wiper-e ICS/OT (AcidRain, Industroyer2).
Amenintari persistente avansate (APT) si campanii axate pe colectarea de informatii, cum ar fi:
Gamaredon;
Hades (sandworm);
PandoraBlade; si
UNC1151.
Daca analizam atacurile distructive, nu putem sa nu remarcam faptul ca multe dintre programele rau intentionate descoperite prezinta grade foarte diferite de sofisticare. La un capat al spectrului, HermeticWiper este un software extrem de bine conceput, care trebuie sa fi necesitat saptamani de dezvoltare (cel putin) inainte de a fi lansat. La celalalt capat, programe precum IsaacWiper par a fi produse in pripa – ca si cum operatorii lor ar fi fost insarcinati cu distrugerea de date pe ultima suta de metri.
Contrar unor declaratii, nu au fost observate eforturi deosebite de coordonare, nici intre aparitiile acestor atacuri, nici cu operatiuni militare care ar fi avut loc in acelasi timp (cu exceptia notabila a AcidRain). De asemenea, nu a fost identificata vreo tendinta speciala de targetare. Opinia noastra este ca anumite grupuri separate au decis sa profite si sa faca ravagii imediat dupa izbucnirea conflictului.
Impactul operational limitat, in general, al unor astfel de atacuri ar putea parea surprinzator, atunci cand consideram ca unii actori de amenintari, activi in regiune, au demonstrat in trecut capacitati extrem de perturbatoare (de exemplu, BlackEnergy). Putem doar specula de ce astfel de capabilitati nu au fost folosite de la sfarsitul lunii februarie, dar cea mai buna presupunere este ca atacurile nu au fost coordonate si fiecare astfel de atac cu un impact mai perturbator necesita, de obicei, mai mult efort de planificare si executie atenta din partea atacatorilor. Aceasta presupunere poate primi mai multa greutate data fiind descoperirea de catre ESET a Industroyer2 intr-o companie energetica ucraineana: cercetarea raporteaza ca actiuni distructive au fost planificate pentru 8 aprilie, dar ca „atacul fusese planificat pentru cel putin doua saptamani”. Putem presupune ca un astfel de atac necesita o planificare atenta si ca pregatirile pentru el au inceput abia dupa ce a devenit clar ca razboiul va dura mai mult decat se credea initial.
In acest sens, rezumand aspectele mentionate, acestea sunt cele trei concluzii principale:
Atacurile observate pana in prezent impotriva infrastructurii din Ucraina par a fi necoordonate si conduse de grupuri de niveluri tehnice diferite;
In timp ce aceste activitati cibernetice sugereaza rolul pe care spatiul cibernetic ar putea sa-l asume in timpul unui conflict militar, ceea ce am vazut pana acum nu poate fi privit drept amploarea completa a capacitatilor atacatorilor; si
Este probabil ca, pe masura ce apare o perceptie mai clara a amplorii si duratei razboiului, diferitele grupuri vor gasi modalitati de coordonare mai buna – iar acest lucru poate duce la situatii cu un impact extrem de perturbator.
Incidentul KA-SAT si riscurile de propagare
Pe 24 februarie, in jurul orei 04:00 UTC – in jurul orei inceperii invaziei ruse in Ucraina – mai multe modemuri Viasat KA-SAT au incetat sa mai functioneze din cauza unui alt atac wiper (AcidRain). Acest atac este raportat oficial ca a afectat comunicatiile militare ucrainene si este putin probabil sa fie o coincidenta, avand in vedere momentul derularii sale. Indiferent cine l-a orchestrat, acesta este un exemplu rar de atac cibernetic care ofera suport operational pentru o operatiune militara fizica, ceea ce in sine il face semnificativ pentru intelegerea razboiului modern. Cu toate acestea, nu este clar daca acesta a oferit vreo valoare tactica scurta sau de durata: din cate stim, alte mijloace de comunicare (de exemplu, 3G, 4G) au ramas disponibile in acelasi interval de timp.
Acest atac a dezactivat si controlul de la distanta al turbinelor eoliene situate in Germania, starnind ingrijorari cu privire la potentiala extindere a conflictului in alte tari europene. Nu este clar de ce au fost afectate routerele apartinand unui client german: poate ca mijloacele de distributie folosite pentru a raspandi malware-ul nu au permis directionarea granulara, sau poate ca operatorii au gresit. In orice caz, exista putine motive sa credem ca a existat vreo intentie de a provoca efecte adverse in afara Ucrainei.
Ori de cate ori apare intrebarea cu privire la spillover (raspandirea involuntara), aceasta este de obicei asociata cu amintirea incidentului NotPetya (ransomware fals distribuit printr-un atac al lantului de aprovizionare in Ucraina in 2017). Merita subliniat faptul ca NotPetya continea cod care se raspandeste automat si raspandirea sa incontrolabila a fost alimentata de un exploit Windows foarte puternic. Nu s-a observat asa ceva in niciuna dintre familiile de programe malware utilizate recent in Ucraina. Ca atare, estimam ca riscul de a asista la un alt eveniment la
Un ultim punct de interes este legat de probabilitatea ca evenimente similare sa aiba loc in continuare, pe durata conflictului. Este important de inteles ca atacurile ICS sunt departe de a fi banal de organizat, data fiind natura complexa a sistemelor pe care le afecteaza si faptului ca astfel de masini nu sunt, de obicei, conectate la internet. Acest lucru inseamna ca un atacator ar trebui sa sparga mai intai reteaua victimei, sa-si dea seama unde sunt amplasate dispozitivele tinta si, in cele din urma, sa elaboreze un scenariu de atac care implica echipamente specifice pe care, insa, nu poate efectua experimente in prealabil. Cu alte cuvinte, atacurile extrem de perturbatoare necesita o pregatire meticuloasa, care variaza ca durata – de ordinul saptamanilor – daca nu chiar lunilor. In concluzie, astfel de atacuri ar fi realizabile doar pe termen lung – cu exceptia cazului in care atacatorii deja prezenti in retelele strategice dispun deja, dar au ales sa nu foloseasca acest tip de acces pana in prezent.
Rezumand aspectele mentionata mai sus, concluziile cheie sunt urmatoarele:
Atacul Viasat este un eveniment cibernetic foarte semnificativ. Este greu de spus daca altele vor avea loc in viitorul apropiat, dar aceasta probabilitate creste semnificativ pe masura ce trece timpul.
Descoperirea recenta a Industroyer2 indica faptul ca ar putea exista o dorinta in randul atacatorilor cibernetici de a conduce, in curand, atacuri extrem de perturbatoare.
Campaniile de amenintare observate pana acum au fost foarte concentrate asupra Ucrainei.
Orice raspandire involuntara observata pana in prezent ar trebui interpretata ca accidentala, iar potentialul de raspandire necontrolata a malware-ului a fost pana acum inexistent.
Recomandari referitoare la stabilitatea in spatiul cibernetic
Intrucat inca trecem de la o faza a conflictului la alta, ne asteptam ca unele dintre observatiile prezentate in acest raport sa devina, cu timpul, mai putin exacte. Desi diferitele atacuri cibernetice observate pana acum au fost dezorganizate si necoordonate, consideram ca o activitate mai structurata ar putea aparea in curand, pe fondul acestui zgomot de fond constant.
Pe masura ce conflictul se prelungeste, anticipam ca infractori tot mai sofisticati se vor implica si isi vor reorienta activitatile de colectare a informatiilor. Din acest motiv, sfatuim companiile din intreaga lume sa se pregateasca pentru un reviriment al atacurilor ransomware.
Dintr-o perspectiva mai larga asupra peisajului amenintarilor din aceste zile, in lumina negocierilor interstatale aflate in desfasurare la ONU, comunitatea internationala trebuie sa avanseze mai mult decat oricand in operationalizarea normelor cibernetice neobligatorii convenite si a masurilor de consolidare a increderii (CBM), si sa le extinda catre toate partile interesate relevante. In special, este important sa se promoveze discutiile privind cooperarea transfrontaliera intre comunitatea CERT/CSIRT si expertii in securitate relevanti, pentru a se asigura ca isi pot face treaba – protejand victimele incidentelor cibernetice – in ciuda oricarui context politic sau geopolitic. Si in acest sens, unul dintre aspectele de baza pentru care, la Kaspersky, accentul este pus in mod continuu pe dezvoltarea unei interactiuni eficiente intre punctele de contact nationale (PoC), precum si punctele de contact ale partilor interesate relevante (cum ar fi sectorul privat, proprietarii si producatorii de TIC, experti in securitate cibernetica si altele), care pot fi utilizate in timpul unor evenimente cibernetice semnificative.
Una dintre intrebarile deschise care raman pentru comunitatea internationala este legata de clarificarea privind protectia infrastructurii civile in spatiul cibernetic. In acest sens, mai multe informatii si transparenta din partea statelor, cu privire la modul in care interpreteaza aplicarea dreptului international si, in special, a dreptului international umanitar, sunt necesare urgent, pentru a oferi garantii eficiente infrastructurii civile din spatiul cibernetic. Eforturile in curs, precum cele ale Comitetului International al Crucii Rosii (CICR), de a semnala protectia juridica prin embleme digitale par a aduce o contributie importanta in acest sens.
Nu in ultimul rand, nucleul public al internetului, ale carui securitate si disponibilitate sunt vitale pentru societatile si economiile digitalizate, trebuie sa fie discutat in continuare si recunoscut de statele membre ONU si de comunitatea internationala in general. Tensiunile geopolitice acute actuale prezinta un risc serios de fragmentare a infrastructurii fundamentale de internet de baza, care a fost creata si proiectata initial intr-un spirit descentralizat, pluripartit. Acesti factori au potentialul de a crea o insecuritate mai mare, care afecteaza multi utilizatori de TIC si, prin urmare, mai mult ca niciodata necesita dialog international intre toate statele pentru a proteja spatiul cibernetic.
De asemenea, Kaspersky a impartasit anterior opiniile legate de dialogul cibernetic al ONU (adica grupul de lucru deschis al ONU), care poate fi gasit pe pagina oficiala a ONU OEWG.
Noutati