Aký je modus operandi proruských a proukrajinských hackerov? Tieto typy útokov vystihujú znepriatelené tábory!
Vojna na Ukrajine priniesla aj konflikt v kybernetickom priestore. Ciele a taktika znepriatelených hackerov je ale rôzna.
Kybernetický priestor je čoraz významnejším bojovým polom, dokazuje to aj aktuálne prebiehajúca vojna na Ukrajine. Rusko ešte predtým, ako začalo s okupáciou nášho východného suseda, začalo s kybernetickými útokmi na Kyjev. Len krátko pred zahájením invázie, bol na Ukrajine aktivovaný malvér HermeticWiper, ktorý pochádza z rodiny škodlivých súborov „wiper“, ktoré odstraňujú dáta zo zariadení. Ako ale naznačili prvotné analýzy kódu, tak malvér bol nasadený niekoľko mesiacov predtým, ako Moskva reálne zaútočila na Ukrajinu, no škodlivý kód bol neaktívny.
🇺🇦 #BREAKING #ESETresearch continues to investigate the #HermeticWiper incident. We uncovered a worm component #HermeticWizard, used to spread the wiper in local networks. We also discovered another wiper, called #IsaacWiper deployed in #Ukraine. https://t.co/hBA2NKy5Lf 1/4 pic.twitter.com/NzPIsYiwWW
— ESET Research (@ESETresearch) March 1, 2022
Krátko potom, ako vypukla vojna na Ukrajine, tak demokratické krajiny vrátane hackerov z celého sveta, sa postavili na stranu Ukrajiny. No objektívne treba povedať, že mnohé známe skupiny hackerov vyjadrili sympatie Moskve. Medzi tie známejšie skupiny, ktoré bojujú v mene Ruska, patria napríklad Sandworm, Killnet, Conti, XakNet či UNC1151.
#Anonymous is currently involved in operations against the Russian Federation. Our operations are targeting the Russian government. There is an inevitability that the private sector will most likely be affected too. While this account cannot claim to speak for the whole (con)
— Anonymous (@YourAnonNews) February 24, 2022
Aký je modus operandi ruských hackerov?
V súčasnosti medzi najviac viditeľné skupiny proruských hackerov patria Killnet a Anonymous Russia. Tieto dve veľké skupiny hackerov realizujú najmä útoky typu DDOS. Pre tých, ktorí nevedia, tak cieľom tohto útoku je zhodiť webové stránky a online služby. Ide o pomerne efektívny nástroj, ako znepríjemniť život bežným ľuďom a prevádzkovateľom webov. No druhým dychom treba povedať, že v pravom slova zmysle nejde o kybernetický útok. Dôvodom je, že „len“ pošlú na server tak veľké množstvo požiadaviek, až ich nezvládne vybavovať a padne. Keď ich ale prestanú posielať, tak všetko funguje ako predtým. Rovnako treba poznamenať, že proti tomuto typu útoku sa dá pomerne efektívne brániť, ak prevádzkovateľ zabráni prístup k webu zo zahraničných IP adries. Vyžaduje si to ale rýchlu reakciu prevádzkovateľa služby.
Neprehliadnite
Aj v posledných hodinách hlásili hackeri útoky na ukrajinské vládne a poľské stránky. Napríklad v príspevku nižšie spred pár hodín, Anonymous Russia ohlásili, že znefunkčnili viacero vládnych stránok našich susedov.
Tieto útoky sú nepríjemne pre bežných ľudí najmä vtedy, keď potrebujú akútne využiť nejakú službu, no tá je nedostupná. Mohli sme byť napríklad svedkami zhodenia viacerých stránok letísk. Rovnako treba povedať, že do hľadáčiku hackerov sme sa dostali aj my, Slováci. Len nedávno ruskí hackeri zhodili weby viacerých väčších poskytovateľov online služieb vrátane vládnych stránok.
Samozrejme, tento typ útokov nie je jediný, aký ruskí hackeri vykonávajú. ESET nedávno prišiel so správou, v ktorej poukázal na kybernetické útoky na ukrajinskú energetickú infraštruktúru. Rovnako dali do pozornosti aj viacero malvérov typu wiper či ransomware. Ide o škodlivé kódy, ktorých cieľom je vymazať alebo zablokovať prístup k dátam.
#BREAKING On January 25th #ESETResearch discovered a new cyberattack in 🇺🇦 Ukraine. Attackers deployed a new wiper we named #SwiftSlicer using Active Directory Group Policy. The #SwiftSlicer wiper is written in Go programing language. We attribute this attack to #Sandworm. 1/3 pic.twitter.com/pMij9lpU5J
— ESET Research (@ESETresearch) January 27, 2023
Tieto typy útokov sa považujú za veľmi sofistikované a nebezpečné. Rovnako treba spomenúť, že ruským hackerom sa v minulosti podarilo napadnúť aj ukrajinské média, prostredníctvom ktorých šírili rôzne falošné správy.
This media group manages nine major radio stations: Hit FM, Radio ROKS, KISS FM, Radio RELAX, Melody FM, Nashe Radio, Radio JAZZ, Classic Radio and (most recent) Radio Bayraktar. (2/4)
— SSSCIP Ukraine (@dsszzi) July 21, 2022
No útoky na ukrajinské média nie sú tak časté. Môžeme len dedukovať, že tieto útoky pre Rusov nie sú až tak zaujímavé vzhľadom na to, že disponujú veľkými trollími farmami, ktoré šíria proruské naratívy. Rovnako treba spomenúť i to, že v okupovaných oblastiach sa Rusi snažia presmerovať tok internetu cez ich infraštruktúru, čo im dáva do rúk ďalší nástroj, ako môžu ovládať obsah na internete.
⚠️ Confirmed: Metrics indicate that internet connectivity on provider Skynet (Khersontelecom) in Russian-occupied Kherson, south Ukraine, has been partially restored and rerouted via Russia's Rostelecom instead of Ukrainian infrastructure.
📰 Background: https://t.co/S0qJQ7CbNv pic.twitter.com/WhlSNODuqw
— NetBlocks (@netblocks) May 1, 2022
Aké sú hlavné kybernetické útoky Ukrajincov
Mohlo by sa zdať, že hackeri podporujúci Kyjev, budú realizovať rovnaké útoky. Platí to len z časti. Proukrajinskí hackeri sa v oveľa širšej miere sústreďujú na šírenie informácií medzi Rusov. Dôvodom je prísna cenzúra médií a informácií v Rusku. Pre tých, ktorí nevedia, tak ruské média nemôžu šíriť iné správy ako sú tie, ktoré pochádzajú z oficiálnych ruských zdrojov. V ruských médiách redaktori dokonca nemôžu používať pojem vojna v súvislosti s inváziou na Ukrajine, ale len „špeciálna vojenská operácia“. Mnoho Rusov preto riadne nevie, čo sa deje na Ukrajine. Rovnako miestny cenzorský úrad začal blokovať aj známe VPN služby, prostredníctvom ktorých ľudia obchádzali cenzúru.
Obzvlášť aktívni sú hackeri Anonymous. Podarilo sa im v minulosti napríklad vytvoriť niekoľko nástrojov, pomocou ktorých môžu Európania kontaktovať obyvateľov Ruska, aby im sprostredkovali informácie o vojne. Ide napríklad o nástroj 1920.in, prostredníctvom ktorého už po pár dňoch bolo odoslaných viac ako 7-miliónov správ náhodným Rusom. Tieto útoky zo strany Ruska získavajú čoraz viac pozornosti. Miestne úrady ešte v auguste minulého roka dokonca označili hackerov, ktorí vytvorili tento nástroj, za hrozbu.
Dear Cyber warriors! We have great news for you! Your 110 million messages kicked Putin's ass! The Kremlin's official propaganda tube @rianovostieng has recognized #Anonymous and Squad303 as one of the most dangerous tools in the hands of the free world! https://t.co/odcM0naif1
— squad303 =www.1920.in #Anonymous (@squad3o3) August 3, 2022
Hackeri sympatizujúci s Ukrajincami okrem iného viackrát napadli vysielanie ruských médií. Obzvlášť aktívni sú počas rôznych udalostí a osláv. Napríklad počas osláv Víťazstva nad fašizmom, sa nabúrali do vysielania mnohých miestnych médií, kedy Rusom pustili zábery z Ukrajiny, aby videli, aké zverstvá robí Putinov režim na Ukrajine. Túto kampaň nazvali „RussianShameDay“, teda Ruský deň hanby.
The hacking collective #Anonymous hacked into the Russian streaming services Wink and Ivi (like Netflix) and live TV channels Russia 24, Channel One, Moscow 24 to broadcast war footage from Ukraine [today] pic.twitter.com/hzqcXT1xRU
— Anonymous (@YourAnonNews) March 6, 2022
Rovnako sme mohli byť svedkami aj mnohých únikov dát a to nielen z miestnych úradov a organizácií, ale aj z firiem. Cieľom týchto útokov je vytvoriť tlak na miestnych oligarchov, aby prispeli svojou troškou ku koncu vojny. Časť týchto útokov smerovala aj na populárne služby. Napríklad známy hackerský kolektív Batallion 65 zverejnil milióny bankových kariet Rusov z platformy Qiwi. Prípadne môžeme spomenúť únik dát, kedy došlo k zverejneniu miliónov mobilných čísiel Rusov.
Ohai Qiwi. We warned you. Here's over 7 million card numbers along with the full table of payment records.
К черту Родину.
https://anonfiles[dot]com/paZ6hbd2y7/decrypted_cards_txt
https://anonfiles[dot]com/Laj5i0d4y1/full_payments_dump_csv#SlavaUkraini pic.twitter.com/mo3SvBeKTY
— NB65 (@xxNB65) May 4, 2022
Len pár dní dozadu hackeri dali napríklad Rusom pocítiť ich vlastnú medicínu, kedy sa nabúrali do vysielania viacerých rádií, kde im pustili oznam, že lieta na nich rakety a aby si urýchlene našli čo najskôr úkryt. Samozrejme, žiadne rakety na Rusov neleteli. Išlo len o psychologickú ukážku toho, čo prežívajú Ukrajinci každý deň, keď ich bombarduje Kremeľ.
Жителей регионов решили массово запугать воздушной тревогой по радио. В Белгороде, Саратове, Старом Осколе, Уфе, Воронеже, Казани, Новоуральске и Подмосковье вместо любимых песен играла только сирена. pic.twitter.com/2IMwf72ju9
— Игорь Пачковский (@Q0MT6pFmbVqynsM) February 22, 2023
Rovnako treba povedať, že niektoré z útokov smerovali aj na kritickú infraštruktúru Rusov. Napríklad bieloruským hackerom, ktorí sympatizujú s Ukrajinou, sa podarilo v začiatku vojny narušiť riadny chod železničnej dopravy v Bielorusku, ktorú využívali Rusi za účelom prepravy zbraní na Ukrajinu. Dali im tak nesmierne cenný čas, aby sa boli schopní pripraviť na útok okupantov.
What we forget about – that Belarusians are still resisting, this war is not supported in Belarus. How they can. As railway partisans, as hackers. https://t.co/ZwJuBRi59N
— cilvēks no Rīgas (@cilveksnorigas) April 5, 2022
Aký je teda rozdiel medzi ruskými a ukrajinskými hackermi?
Samozrejme, nie všetky kybernetické útoky jednej či onej strany sa dostali na verejnosť. No z toho čo vieme, tak ruskí hackeri sa snažia hlavne znepríjemniť život ľuďom prostredníctvom DDOS útokov a organizáciám znefunkčniť prístup k rôznym dátam a informačným systémom. Prípadne narušiť riadny chod kritickej infraštruktúry, najmä tej energetickej. Rovnako treba povedať, že v hľadáčiku ruských hackerov sú okrem iného aj členovia NATO a ďalšie krajiny, ktoré sympatizujú s Ukrajinou. Zaujímavým je aj postoj Ruska k hackerom, ktorí hackujú v súlade s politikou štátu. Len pár dní dozadu začali miestne orgány s prípravou legislatívy, prostredníctvom ktorej zbavia hackerov zodpovednosti za to, ak hackujú ciele v súlade s politikou Moskvy.
Na druhej strane stoja proukrajinskí hackeri, ktorí z veľkej časti sa snažia dostať čo najviac informácií o vojne medzi Rusov s cieľom, aby pomohli k ukončeniu krviprelievania. Sú pre nich typické najmä útoky na miestne média. No rovnako treba povedať, že vo veľkej miere prispeli aj k únikom dát z mnohých miestnych služieb a firiem.
Komentáre