Ainakin kuusi erilaista Venäjään sitoutunutta toimijaa käynnisti peräti 237 kyberhyökkäystä Ukrainaa vastaan 23. helmikuuta - 8. huhtikuuta, mukaan lukien 38 erillistä tuhoavaa hyökkäystä, jotka tuhosivat peruuttamattomasti tiedostoja sadoissa järjestelmissä kymmenissä organisaatioissa maassa.
"Yhteisesti kyber- ja kineettiset toimet häiritsevät tai heikentävät Ukrainan hallituksen ja sotilaallisia toimintoja ja heikentävät yleisön luottamusta samoihin instituutioihin", yhtiön digitaalisen turvallisuuden yksikkö (DSU) sanoi erikoisraportissa.
Suurempia haittaohjelmaperheitä, joita on hyödynnetty tuhoamiseen osana Venäjän säälimättömiä digitaalisia hyökkäyksiä, ovat: WhisperGate, HermeticWiper (FoxBlade eli KillDisk), HermeticRansom (SonicVote), IssacWiper (Lasainraw), CaddyWiper (DoubleertWiper, DeLaskeertWiper) , ja Industroyer2.
WhisperGate, HermeticWiper, IssacWiper ja CaddyWiper ovat kaikki tietojen pyyhkimet, jotka on suunniteltu korvaamaan tiedot ja tekemään koneet käynnistyskelvottomiksi, kun taas DoubleZero on .NET-haittaohjelma, joka pystyy poistamaan tietoja. DesertBlade, myös tietojen pyyhkijä, käynnistettiin Ukrainassa nimeämätöntä yleisradioyhtiötä vastaan maaliskuun 1. päivänä.
SonicVote puolestaan on tiedostojen salauslaite, joka havaitaan yhdessä HermeticWiperin kanssa tunkeutumisen naamioimiseksi kiristysohjelmahyökkäykseksi, kun taas Industroyer2 on erityisesti suunniteltu iskemään operatiivisiin teknologiaverkkoihin sabotoidakseen kriittistä teollista tuotantoa ja prosesseja.
Microsoft katsoi HermeticWiperin, CaddyWiperin ja Industroyer2:n kohtuullisella luottamuksella venäläisen valtion tukeman näyttelijän Sandworm (alias Iridium) ansioksi. WhisperGate-hyökkäykset on sidottu aiemmin tuntemattomaan klusteriin nimeltä DEV-0586, jonka uskotaan liittyvän Venäjän GRU:n sotilastiedusteluun.
32 prosentissa kaikista 38 tuhoisasta hyökkäyksestä on arvioitu nostavan esiin Ukrainan hallituksen organisaatioita kansallisella, alueellisella ja kaupunkitasolla, ja yli 40 prosenttia hyökkäyksistä kohdistui kriittisen infrastruktuurin alojen organisaatioihin valtioissa.
Lisäksi Microsoft ilmoitti havainneensa Nobeliumia, vuoden 2020 SolarWinds-toimitusketjuhyökkäyksestä syytettyä uhkatekijää, joka yritti murtautua NATO-jäsenvaltioiden hallinnollisia asiakkaita palveleviin IT-yrityksiin käyttämällä länsimaisten ulkopoliittisten organisaatioiden sifondataa.
Muut haitalliset hyökkäykset sisältävät tietojenkalastelukampanjoita, jotka kohdistuvat sotilasyksiköihin (Fancy Bear eli Strontium) ja valtion virkamiehiin (Primitive Bear eli Actinium) sekä tietovarkauksiin (Energetic Bear eli Bromine) ja tiedusteluihin (Venomous Bear). eli Krypton) -toiminnot.
"Venäjän kyberhyökkäysten käyttö näyttää olevan vahvasti korreloituneena ja joskus suoraan ajoitettua sen kineettisten sotilasoperaatioiden kanssa, jotka kohdistuvat siviilien kannalta tärkeisiin palveluihin ja instituutioihin", Tom Burt, yrityksen asiakasturvallisuudesta ja luottamuksesta vastaava varajohtaja, sanoi.
"Koska Venäjän uhkatoimijat ovat peilaaneet ja tehostaneet sotilaallisia toimia, uskomme kyberhyökkäykset jatkavan eskaloitumista konfliktin raivotessa. On todennäköistä, että havaitsemamme hyökkäykset ovat vain murto-osa Ukrainaan kohdistuvasta toiminnasta."
"Kyberhyökkäysten määrä Ukrainassa kasvaa seuraavan kuuden kuukauden aikana", venäläinen kyberturvallisuusyhtiö Kaspersky sanoi omassa analyysissaan Ukrainan hyökkäyksistä viime kuussa. "Vaikka useimmat nykyisistä hyökkäyksistä ovat vähän monimutkaisia - kuten DDoS tai hyökkäyksiä hyödykkeitä ja huonolaatuisia työkaluja käyttäen - on olemassa myös kehittyneempiä hyökkäyksiä, ja lisää odotetaan tulevan."
Oliko tämä artikkeli kiinnostava? Seuraa THN:ää Facebookissa, Twitterissä ja LinkedInissä lukeaksesi lisää julkaisemamme eksklusiivista sisältöä.
