В феврале 2023 года Google выпустил обширный отчет под поэтическим названием “Туман войны. Как конфликт в Украине трансформировал ландшафт киберугроз”. В названии все еще фигурирует "конфликт", однако в тексте события четко называются термином "война".
Над отчетом работали три подразделения компании: Группа анализа угроз, Google Trust and Safety и Mandiant (разработчики динамической киберзащиты).
В 2022 году компания предоставила украинскому Правительству 50 000 лицензий на Google Workspace (облачный инструмент для организации процессов), помогла с приложением «Воздушная тревога» для Android, однако наибольшим вызовом стало сопротивление российским киберугрозам. Компания расширила защиту от DDoS атак Project Shield на страницы украинских госучреждений, приложилась к защите ключевых сайтов страны и постоянно анализирует и противодействует новым угрозам. В отчете отмечено, что уровень коллективной обороны правительств, компаний и органов безопасности всего мира в киберпространстве беспрецедентен.
Аналитики пришли к выводу, что в 2022 году Россия стремилась получить преимущество благодаря киберинструментам: “сбор информации, деструктивные атаки, использование “активных мер” для распространения пророссийских нарративов”.
Авторы указывают, что активные цифровые атаки начались еще в 2021 году. Тогда количество фишинговых атак (кража персональных данных, например, паролей от электронной почты), направленных на украинских пользователей, выросло на 250%. Кульминацией были первые четыре месяца 2022 года (тогда атак было больше, чем за предыдущие 8 лет). В период 2021 – 2022 гг. Россия атаковала ок. 150 военных и правительственных ресурсов с доменов gov.ua и mil.gov.ua.
По мнению аналитиков, часть российских кибергрупп интенсифицировали деятельность, а другие игроки перенаправили свой фокус на Украину. Вот топ-десять целей российских атак: Министерство обороны, Министерство иностранных дел, Национальное агентство Украины по вопросам государственной службы, Государственное агентство водных ресурсов, Государственная пограничная служба Украины, Служба Безопасности, Укрзализныця (прим. ред.: государственная железная дорога). Из этого списка вырисовывается четкое желание парализовать не только армию, но и государственный аппарат и критическую инфраструктуру.
В 2022 г. россияне также начали атаковать страны НАТО. Число атак возросло на 300%. К россиянам здесь присоединились также белорусы.
Когда Google идентифицирует сайты и домены, нарушающие правила, они включаются в фильтры Safe Browsing. Пользователи Gmail и Workspace также сообщают, если на них совершаются атаки.
Одним из ключевых российских инструментов являются так называемые “стиратели”, то есть вирусы, уничтожающие данные. Украину ими активно атаковали в 2015 – 2017 гг. Атака NotPetya перекинулась из Украины на весь мир и нанесла миллиардный ущерб. Эксперты ждали чего-то подобного в 2022 году, но этого не произошло.
Вот ключевые хакерские группы, воюющие против Украины и НАТО:
FROZENBARENTS – действует с 2009 года, аффилирована с ГРУ (Главное разведывательное управление России). В 2022 году, по данным аналитиков Google, отметилась атаками на компанию Байкар, производящую “Байрактары”, также атаковала украинские энергетические, транспортные и логистические компании.
FROZENLAKE – действует с 2004 года, аффилирована с ГРУ. В 2022 году занималась преимущественно крупными фишинговыми кампаниями, в частности, направленными на ukr.net. В мае она рассылала письма с инфицированными zip файлами, типа ua_report.zip, которые похищали сохраненные пароли.
COLDRIVER – действует с 2015 года, аффилирована с российским правительством. Эта группа работала со странами НАТО, похищала и публиковала персональные данные, в том числе партнеров, поддерживающих Украину.
FROZENVISTA – действует с 2021 года, предположительно аффилированная с ГРУ, присоединилась к массовым атакам в 2021 году и в начале 2022 года.
PUSHCHA – действует с 2016 года, аффилирована с правительством Беларуси. В 2022 году присоединилась к атакам на страны НАТО.
SUMMIT – действует с 2006 года, аффилирована с ФСБ. В 2022 году использовала вирусные файлы в приложениях Android.
Также в 2022 году две китайские группы CURIOUS GORGE и BASIN переключили свое внимание на Украину и страны НАТО.
Если речь идет о кремлевских информационных операциях, то в течение 2022 года Google на своих платформах заблокировал их 1950. Они осуществлялись на следующих языках: русский (93%), но также английский, французский, немецкий, украинский, болгарский, арабский и китайский.
В марте 2022 г. компания приостановила монетизацию и заблокировала рекомендации российских государственных СМИ на своих платформах. Под эти мероприятия попали сотни ресурсов вместе с одиозными RT и Sputnik.
Российские информационные операции проводили следующие основные игроки: INTERNET RESEARCH AGENCY (под контролем Пригожина) и KRYMSKYBRIDGE (сотрудничает с российским правительством).
Ключевые кремлевские нарративы, которые распространялись в информационных операциях – общеизвестны, типа: «американские лаборатории в Украине разрабатывают биологическое оружие»; «украинские воины используют гражданских как живой щит» и т.д.
Аналитики отмечают, что в 2022 году они впервые зафиксировали, как в конвенционной войне российские государственные органы одновременно использовали кибератаки, кибершпионаж и информационные операции.
Несмотря на то, что Google относится к мировым гигантам, интернет значительно больше, а значит, количество и нацеленность российских атак также значительно больше. Аналитики компании прогнозируют продолжение всех описанных агрессивных практик в этом году. Война продолжается и на цифровом фронте.
Автор Лэсь Бэлэй. Источник - Uchoose.info. Статью перевели и к публикации подготовили добровольцы Центра Гражданского Сопротивления "Res Publica".
