Ilgam įsiminsime 2022 m. vasario 24 d. datą. Tai diena, kai Rusija įsiveržė į Ukrainą. Fiziškai taip, tačiau kibernetinės atakos prasidėjo gerokai anksčiau. Aprašau ir pateikiu dalį veiklų chronologine eile.

PxHere nuotr.

Paskutinę, didesnio masto kibernetinę ataką Ukraina patyrė 2018 metais, kada buvo kėsinamasi į chloro distiliavimo stoties, tiekiančios skystą chlorą 23 Ukrainos provincijų, Moldovos ir Baltarusijos vandens ir nuotekų valymo įrenginiams, tinklo įrangą.

2022 metų sausio 13 dieną „Microsoft” nustatė destruktyvios kenkėjiškos programinės įrangos (pavadintos „WhisperGate”) operaciją, nukreiptą prieš kelias organizacijas Ukrainoje. Tądien ši kenkėjiška programa pirmą kartą pasirodė sistemose Ukrainoje. Buvo įvertinta, jog kenkėjiška programa sukurta taip, kad atrodytų kaip išpirkos reikalaujanti programinė įranga, tačiau joje nėra išpirkos susigrąžinimo mechanizmo, ir ji skirta ne išpirkai gauti, o destruktyviai padaryti tikslinius įrenginius neveikiančiais. Nukentėjo daugybė vyriausybinių, ne pelno siekiančių ir informacinių technologijų organizacijų.

2022 m. sausio 14-15 dienomis, Stačiatikių Naujaisiais metais, daugiau kaip 70 Ukrainos vyriausybės interneto svetainių buvo pagražintais politiniais vaizdais ir pareiškimu rusų, ukrainiečių ir lenkų kalbomis, o vėliau laikinai išjungtos. Dauguma svetainių buvo atkurtos per kelias valandas. Dėl atakos buvo paralyžiuota didžioji dalis viešai prieinamos vyriausybės skaitmeninės infrastruktūros, įskaitant plačiausiai naudojamą vyriausybinių paslaugų tvarkymo internetu svetainę „Diia” (analogas Lietuvoje naudojamiems Valdžios vartams). „Diia” taip pat atlieka svarbų vaidmenį reaguojant į Ukrainos koronavirusą ir skatinant skiepytis. Taip pat buvo paralyžiuotos Ministrų kabineto, Energetikos, Sporto, Žemės ūkio, Veteranų reikalų ir Ekologijos ministerijų svetainės.

Spėjama, kad tai buvo Baltarusijos APT grupės – UNC1151 režisūra. Ukrainos oficialus pareiškimas teigė, jog šios atakos tikslas – destabilizuoti šalies vidaus padėtį, skleisti chaosą ir neviltį visuomenėje.

Vasario 15-16 dienų DDoS ataka apibūdinama kaip didžiausia iki šiol, įvykdyta Ukrainoje. Buvo išjungtos kelios Ukrainos interneto svetainės, o tai turėjo įtakos bankų, Vyriausybės ir kariuomenės interneto svetainėms. Atakų mastas buvo vidutinis, svetainės atsigavo per kelias valandas. Spėjama, kad taip siekta sukelti paniką, nes nebuvo galima pasiekti mažiausiai 10 Ukrainos interneto svetainių, įskaitant Gynybos ministerijos, Užsienio reikalų ministerijos ir dviejų didžiausių valstybinių bankų interneto svetaines. Bankų klientai pranešė apie problemas, susijusias su mokėjimais internetu, bankų programėlėmis ir, labai retais atvejais, su prieiga prie bankomatų.

Prie šių atakų prisidėjo apgaulingos SMS žinutės, siunčiamos į Ukrainos telefonus, siekiant sukelti paniką. Vieno iš valstybinių bankų klientai SMS žinutėmis pradėjo gauti informaciją apie bankomatų techninius gedimus. Ukrainos kibernetinė policija patvirtino, kad ši informacija yra melaginga.

Nuo vasario 24 dienos kibernetinės atakos faktiškai nesustodamos puola Ukrainos infrastruktūrą. Laikraštis „Kyiv Post” nuolat patiria atakas. „Eset“ taip pat pranešė aptikusi užkrėstą infrastruktūrą vyriausybiniuose kompiuteriuose. Netgi pasienio kontrolės postai susiduria su sunkumais. Ukrainos pasienio kontrolės postas patyrė duomenų kibernetinę ataką, dėl kurios sulėtėjo pabėgėlių praleidimo į Rumuniją procesas.

Vasario 24 d. „Microsoft” užfiksavo naują prieš Ukrainos skaitmeninę infrastruktūrą nukreiptų puolamųjų ir destruktyvių kibernetinių atakų seriją. Tarp jų – atakos prieš finansų, žemės ūkio sektorius, reagavimo į ekstremalias situacijas tarnybas, humanitarinės pagalbos tarnybas ir energetikos sektoriaus organizacijas bei įmones. Taip pat pranešta apie kibernetines pastangas pavogti įvairius duomenis, įskaitant su sveikata, draudimu ir transportu susijusią asmenį identifikuojančią informaciją (PII), taip pat kitus Vyriausybės duomenų rinkinius.

Bendrovė „Microsoft” atkreipė dėmesį į informacinėje ekosistemoje vykstantį gerai organizuotą mūšį, kurio amunicija yra dezinformacija, pakertanti tiesą ir sėjanti nesantaikos bei nepasitikėjimo sėklą.

Vasario 24 d. pastebėta, tikėtina, kad per galimai pažeistą Ukrainos ginkluotųjų pajėgų nario el. pašto dėžutę vykdyta sukčiavimo kampanija, nukreipta prieš Europos vyriausybių darbuotojus, dalyvaujančius tvarkant iš Ukrainos bėgančių pabėgėlių logistiką. Tyrėjai pripažįsta, kad kampanijos laikas, užkrėstų siuntėjų adresų naudojimas, atitinkantis Ukrainos vyriausybės pranešimus, ir viktimologija atitinka paskelbtą UNC1151 taktiką, apimančią taikinius ir informacijos rinkimą apie pabėgėlių judėjimą Europoje.

„FancyBear/APT28″ grėsmių sukėlėjas, priskiriamas Rusijos vyriausiajai žvalgybos valdybai (GRU), surengė kelias dideles kreditinių duomenų sukčiavimo kampanijas, nukreiptas į ukr.net vartotojus („UkrNet” yra Ukrainos žiniasklaidos bendrovė). Dviejų neseniai vykdytų kampanijų metu užpuolikai kaip pradinį nukreipimo puslapį naudojo naujai sukurtus „Blogspot” domenus, kurie vėliau nukreipdavo taikinius į kreditų sukčiavimo puslapius.

Ghostwriter/UNC1151, Baltarusijos grėsmių sukėlėjas, per pastarąją savaitę vykdė kreditinių duomenų sukčiavimo kampanijas prieš Lenkijos ir Ukrainos vyriausybines ir karines organizacijas.

Google TAG nustatė kenkėjiškus priedus su tokiais failų pavadinimais kaip „Situation at the EU borders with Ukraine.zip”, kuriuos atsisiuntus ir įvykdžius, atsisiunčiami papildomi kenkėjiški failai.

DDoS atakų bandymai toliau nukreipti prieš daugybę Ukrainos svetainių, įskaitant Užsienio reikalų, Vidaus reikalų ministerijas, taip pat tokias paslaugas kaip „Liveuamap”, skirtas padėti žmonėms rasti informaciją.