Kibernetinėms atakoms vykdyti Rusijos programišiai naudojasi Ukrainą remiančių šalių organizacijų tinklais, teigiama naujausioje kibernetinio saugumo bendrovės „Lupovis“ ataskaitoje.
Tyrėjai, siekdami įvilioti rusų programišius, patalpino įvairių Ukrainos dokumentus ar interneto svetaines imituojančių masalų. Nežinodami tikrojo šių masalų pobūdžio, Rusijos įsilaužėliai bandė jais pasinaudoti, kad pradėtų kibernetines atakas prieš Ukrainą.
Pasak „Lupovis“ generalinio direktoriaus Ksavjero Bellekenso, Rusijos įsilaužėliai greitai sureagavo į naujai paskelbtą informaciją apie Ukrainą. Iki 60 programišių plūdo prie duomenų per minutę nuo jų pasirodymo internete.
„Kai dalijomės duomenimis tiesiogiai Rusijos forumuose, telegramų grupėse ir tamsiajame internete, reakcija buvo beveik momentinė“, – portalui „Cybernews“ sakė K. Bellekensas.
Nerimą kelia tai, kad programišiai vėliau pasinaudojo per masalą gautais duomenimis, kad pradėtų atakas prieš Ukrainą, nukreipdami jas per JAV, Jungtinės Karalystės, Prancūzijos, Brazilijos ir kitų šalių organizacijų IT tinklus.
Tyrėjai, siekdami suvilioti potencialius grėsmių dalyvius, visame internete patalpino įvairių Ukrainos vyriausybinių tarnybų ar ypatingos svarbos nacionalinės infrastruktūros (CNI) objektų vardais pavadintų masalų.
Pavyzdžiui, Rusijos forumuose ir tarp prorusiškų grupių buvo „nutekinti“ suklastoti dokumentai, kuriuos atidarius siunčiamas švyturėlis. Tyrėjai taip pat kūrė viliojančias svetaines, apsimesdami Ukrainos politinėmis ar vyriausybinėmis svetainėmis.
Paskutinis masalas – SSH paslaugos – buvo sukonfigūruotas taip, kad priimtų padirbtus įgaliojimus, paimtus iš suklastotų svetainių, ir praneštų apie kritinę ataką.
Tyrėjai išsiaiškino, kad kai kurie Rusijos priešininkai nusileisdavo į įsteigtas svetaines nesekdami masalu. Tikėtina, kad taip atsitiko todėl, kad priešininkai atliko savo atpažinimą. Tačiau kiti sekė iš anksto nustatytu atakos keliu.
Remiantis ataskaita, priešininkai vykdė įvairias atakas prieš masalus – nuo žvalgybos duomenų rinkimo iki jų pavertimo robotais DDoS atakoms vykdyti. Užpuolikai bandė prieš masalą panaudoti SQL injekciją, RCE atakas, „Docker“ išnaudojimą ir žinomų CVE panaudojimą.
Kadangi tyrėjai sukūrė ir ne ukrainietiškų masalų, jie galėjo daryti išvadą, kad programišiai buvo gerokai agresyvesni Ukrainos organizacijas imituojančių masalų atžvilgiu.
„Labiausiai nerimą kelianti mūsų tyrimo išvada yra ta, kad Rusijos kibernetiniai nusikaltėliai pažeidė daugelio pasaulinių organizacijų tinklus, įskaitant „Fortune 500“ sąrašo įmonę ir daugiau nei 15 sveikatos priežiūros organizacijų“, – rašoma ataskaitoje.
Organizacijos JAV, Jungtinėje Karalystėje, Prancūzijoje, Brazilijoje, Pietų Afrikos Respublikoje ir kitur buvo naudojamos nukreipiant Rusijos atakas į netikrus taikinius Ukrainoje.
Tai ne tik rodo, kad užsienio tinklų naudojimas atakoms yra įprasta Rusijos kibernetinių nusikaltėlių praktika, bet ir rodo, kad Rusijos įsilaužėliai aktyviai veikia užsienio tinkluose.
„Jungtinėje Karalystėje yra 13 skirtingų ypatingos svarbos nacionalinių infrastruktūrų, o JAV – 16. Kai kurios KNI yra gerai apsaugotos. Tačiau taip pat žinome, kad įvairūs sektoriai, pavyzdžiui, jūrų ir sveikatos priežiūros, taip pat mažesni subjektai susiduria su sunkumais įgyvendinant ir didinant kibernetinį saugumą. Tikėtina, kad jie yra pagrindiniai taikiniai“, – teigė K. Bellekensas.
