Російська кібервійна очима Google

У лютому 2023 року компанія Google випустила обширний звіт під поетичною назвою «Туман війни. Як конфлікт в Україні трансформував ландшафт кіберзагроз». У назві все ще фігурує «конфлікт», проте в тексті події чітко називаються терміном «війна».

Над звітом працювали три підрозділи компанії: Група аналізу загроз, Google Trust and Safety та Mandiant (розробники динамічного кіберзахисту).

Протягом 2022 року компанія надала українському Уряду 50 000 ліцензій на Google Workspace (хмарний інструмент для організації процесів), допомогла з додатком «Повітряна тривога» для Android, однак найбільшим викликом став опір російським кіберзагрозам. Компанія поширила захист від DDoS атак Project Shield на сторінки українських держустанов, доклалася до захисту ключових сайтів країни і постійно аналізує та протидіє новим загрозам. У звіті зазначено, що рівень колективної оборони урядів, компаній та органів безпеки всього світу у кіберпросторі безпрецедентний.

Аналітики прийшли до висновку, що у 2022 році Росія прагнула отримати перевагу завдяки кіберінструментам: «збір інформації, деструктивні атаки, використання «активних заходів» для поширення проросійських наративів».  

Автори вказують, що активні цифрові атаки почалися ще у 2021 році. Тоді кількість фішингових атак (викрадення персональних даних, наприклад, паролів від електронної пошти), спрямованих на українських користувачів, зросла на 250%. Кульмінацією були перші чотири місяці 2022 року (тоді атак було більше, ніж за попередні 8 років). У період 2021 – 2022 рр. Росія атакувала бл. 150 військових та урядових ресурсів з доменами gov.ua та mil.gov.ua.

На думку аналітиків, частина російських кібергруп інтенсифікувала діяльність, а інші гравці переспрямували свій фокус на Україну.  Ось топ десять цілей російських атак: Міністерство оборони, Міністерство закордонних справ, Національне агентство України з питань державної служби, Державне агентство водних ресурсів, Державна прикордонна служба України, СБУ, Укрзалізниця.  Із цього переліку вимальовується чітке бажання паралізувати не тільки армію, але й державний апарат і критичну інфраструктуру.

У 2022 році росіяни також почали атакувати країни НАТО. Кількість атак зросла на 300%. До росіян тут долучилися також білоруси.

Коли Google ідентифікує сайти та домени, що порушують правила, їх включають у фільтри Safe Browsing. Користувачам Gmail та Workspace також повідомляють, якщо на них здійснюються атаки.

Одним із ключових російських інструментів є так звані «стирачі», тобто віруси, що знищують дані. Україну ними активно атакували у 2015 – 2017 рр.  Атака NotPetya перекинулася з України на весь світ і завдала мільярдні збитки. Експерти чекали чогось подібного у 2022 році, але цього не сталося.

Ось ключові хакерські групи, що воюють проти України та НАТО:

FROZENBARENTS – діє з 2009 року, афілійована з ГРУ (Головне розвідувальне управління Росії). У 2022 році, за даними аналітиків Google, відзначилася атаками на компанію Байкар, що виробляє «Байрактари», також атакувала українські енергетичні, транспортні та логістичні компанії.

FROZENLAKE – діє з 2004 року, афілійована з ГРУ. У 2022 році займалася переважно великими фішинговими кампаніями, зокрема спрямованими на ukr.net. У травні вона розсилала листи з інфікованими zip файлами, на кшталт ua_report.zip, які викрадали збережені паролі.

COLDRIVER – діє з 2015 року, афілійована з російським урядом. Ця група працювала з країнами НАТО, викрадала і публікувала персональні дані, зокрема партнерів, які підтримували Україну.

FROZENVISTA – діє з 2021, імовірно, афілійована з ГРУ, долучилася до масових атак у 2021 році та на початку 2022 року.

PUSHCHA – діє з 2016 року, афілійована з урядом Білорусі. У 2022 році долучилася до атак на країни НАТО.

SUMMIT – діє з 2006 року, афілійована з ФСБ. У 2022 році використовувала вірусні файли у додатках Android.

Також у 2022 році дві китайські групи CURIOUS GORGE та BASIN перемкнули свою увагу на Україну та країни НАТО.

Якщо йдеться про кремлівські інформаційні операції, то протягом 2022 року Google на своїх платформах заблокував їх аж 1950. Вони здійснювалися такими мовами: російська (93%), але також  англійська, французька, німецька, українська, болгарська, арабська та китайська.

У березні 2022 р. компанія призупинила монетизацію та заблокувала рекомендації російських державних ЗМІ на своїх платформах. Під ці заходи потрапили сотні ресурсів разом з одіозними RT та Sputnik.

Російські інформаційні операції проводили такі основні гравці: INTERNET RESEARCH AGENCY (під контролем Пріґожина) та KRYMSKYBRIDGE (співпрацює з російським урядом).  

Ключові кремлівські наративи, які поширювалися в інформаційних операціях – загальновідомі, на кшталт: «американські лабораторії в Україні розробляють біологічну зброю»; «українські воїни використовують цивільних як живий щит» тощо.

Аналітики зазначають, що у 2022 році вони вперше зафіксували, як у конвенційній війні російські державні органи одночасно використовували кібератаки, кібершпигунство та інформаційні операції.

Попри те, що Google належить до світових гігантів, інтернет значно більший, а отже, кількість і націленість російських атак також значно більша. Аналітики компанії прогнозують продовження усіх описаних агресивних практик у цьому році. Війна триває також на цифровому фронті.

ЛЕСЬ БЕЛЕЙ