Рашахакери кардинально змінили свою тактику

Замість широких, деструктивних атак на українські відомства росіянські  хакери почали зосереджуватися на прихованому зборі розвідувальних даних.

Про це зазначають автори звіту «Війна та кібер: три роки боротьби та уроки для глобальної безпеки», який підготували фахівці Держспецзв'язку спільно з аналітичним центром ICE Task Force, повідомляє пресслужба відомства.

Звіт розкриває еволюцію стратегії ворога – від масованих деструктивних кібератак до фокусу на зборі даних, розвідці та інформаційно-психологічних операціях.

Так на початку повномасштабного вторгнення у 2022 році російські хакери зосереджувалися на деструктивних операціях, намагаючись паралізувати критичну інфраструктуру України, викрасти дані та посіяти паніку. Тоді основними цілями були енергетичний та телекомунікаційний сектори, а також державні установи. Були зафіксовані такі шкідливі програми, як WhisperGate, HermeticWiper, Industroyer2. Однак, завдяки швидкому реагуванню українських фахівців, значних збоїв у наданні критичних послуг вдалося уникнути.

У 2023 році стратегія ворога змінилася. Замість широких, деструктивних атак російські хакери почали зосереджуватися на прихованому зборі розвідувальних даних та закріпленні присутності в ключових системах. Зросла кількість складних атак, а також з'явилися нові, раніше невідомі хакерські угруповання. Особлива увага приділялася атакам на месенджери, популярні серед військових, з метою збору критичних даних. Також збільшилася кількість фінансово мотивованих кібератак.

У 2024 році цей тренд продовжився. Фокус змістився на об'єкти, безпосередньо пов'язані з військовими операціями та постачальниками послуг, які підтримують військові зусилля. Кількість критичних інцидентів зменшилася, натомість значно зросли кібератаки на державні організації та органи місцевого самоврядування (до 60% всіх інцидентів), що може бути пов'язано зі спробами початкового доступу через фішинг та поширення шкідливого програмного забезпечення.

Ворог дедалі частіше використовує атаки на ланцюги постачання, компрометуючи постачальників та розробників спеціалізованого програмного забезпечення, щоб непомітно отримати доступ до критичних систем. Фішингові кампанії стали ще більш витонченими, а для приховування свого місцезнаходження хакери використовують складні ланцюжки SSH-тунелів через TOR.

Найбільш активним російським угрупованням, за яким спостерігає CERT-UA протягом 2022 - 2024 років, є UAC-0002 (Sandworm), що належить гу гш зс рф (гру) та активно діє в енергетичному та телекомунікаційному секторах. Угруповання UAC-0010 (Gamaredon, Primitive Bear), пов'язане із Центром 18 фсб, є найактивнішим – 829 зафіксованих інцидентів за три роки.

У Держспецзв'язку наголосили, що кібервійна проти України постійно розвивається, вимагаючи від українських фахівців безперервного вдосконалення методів захисту та активної протидії.