Výzkumný tým Check Point Research analyzoval dopady rusko-ukrajinské války v kyberprostoru, od září 2022 sledujeme zásadní změnu útočných strategií. Postupně klesl počet kybernetických útoků na Ukrajinu (o 44 %), naopak sledujeme masivní kybernetické útoky na členské státy NATO, v některých případech se jedná až o 57% nárůst.
„Vidíme první velkou hybridní válku, která využívá kyberprostor jako jedno z bojišť. Válka přinesla vzestup hacktivismu a destruktivního malwaru a je stále složitější určit, jestli za některými kybernetickými aktivitami stojí národní státy, hacktivisté nebo kyberzločinci,“ říká Daniel Šafář, Area Manager CEE regionu z kyberbezpečnostní společnosti Check Point Software Technologies
Válka výrazně změnila také použití wiperů, které mají mazat data a celkově ničit a narušit provoz zasažených systémů. Dříve se wipery používaly jen ojediněle, v posledním roce ovšem vidíme velmi aktivní využití destruktivního malwaru.
Na začátku války došlo k dramatickému nárůstu kybernetických útoků, které proti Ukrajině vedli útočníci napojení na Rusko. V předvečer únorové invaze byly nasazeny tři wipery: HermeticWiper, HermeticWizard a HermeticRansom. K dalším útokům na ukrajinskou rozvodnou síť byla v dubnu 2022 použita nová verze nebezpečného malwaru Industroyer, který ochromil Ukrajinu už v roce 2016. Celkově bylo na Ukrajině za necelý rok použito nejméně devět různých wiperů. Řada z nich byla vyvinuta ruskými zpravodajskými službami a využívá pokročilé destruktivní a maskovací mechanismy.
Na Rusko napojená hacktivistická skupina From Russia With Love (FRwL) nasadila wiper Somnia proti ukrajinským cílům. CryWiper byl zase použit k útokům na ruské úřady a soudy. A těmito útoky se inspirovaly i další hackerské skupiny, které použily wipery i v dalších regionech. Skupiny napojené na Írán zaútočily na cíle v Albánii a po celém světě se šířil záhadný ransomware Azov, který byl ve skutečnosti destruktivním data wiperem.
Check Point upozorňuje, že některé kyberútoky proti Ukrajině měly jen způsobit škody a narušit každodenní život a morálku civilního obyvatelstva. Jiné útoky byly naopak přesně cílené a měly pomoci dosáhnout taktických cílů a byly koordinovány s pozemním bojem. Útok na společnost Viasat, který začal několik hodin před pozemní invazí na Ukrajinu, měl za cíl narušit satelitní komunikaci a ochromit vojenské a civilní subjekty na Ukrajině. Útok využíval wiper AcidRain a poškozoval modemy a routery a odřízl přístup k internetu desítkám tisíc systémů. Další příklad takticky koordinovaného útoku je z 1. března 2022, kdy byla ruskými raketami zasažena kyjevská televizní věž a kyberútoky měly ještě zesílit dopady ofenzivy a znemožnit televizní vysílání.
„Tyto přesně cílené kyberútoky vyžadují pečlivou přípravu a plánování. Základem je získat přístup k cílovým sítím, což často vyžaduje i vytvoření speciálních nástrojů pro různé fáze útoku. Podobně jako u pozemní ofenzívy i v případě kybernetické války vše naznačuje, že se Rusové nepřipravovali na dlouhou kampaň. Od dubna 2022 jsme viděli změnu a odklon od přesných útoků s jasnými taktickými cíli, jako byl útok na Viasat. Nasazení nových nástrojů a wiperů, které bylo charakteristické pro počáteční fázi kampaně, bylo později nahrazeno rychlým využíváním aktuálních příležitostí s pomocí již známých útočných nástrojů a taktik, jako jsou CaddyWiper a FoxBlade. Cílem těchto útoků nebylo koordinovaně podpořit jiné operace, ale spíše způsobit fyzické i psychické škody ukrajinskému civilnímu obyvatelstvu,“ dodává Daniel Šafář.
Data kyberbezpečnostní společnosti Check Point Software Technologies ukazují, že ve třetím čtvrtletí 2022 začal na Ukrajině postupný, ale významný pokles útoků. Naopak došlo k výraznému nárůstu útoků proti členským státům NATO. Obrovskému riziku čelí i české organizace. V průměru mířilo na jednu českou společnost během února více než 1800 kyberútoků týdně, přitom celosvětový průměr je „jen“ okolo 1350 útoků týdně na jednu organizaci.
Reakce Ukrajiny na kybernetické útoky se výrazně zlepšila a šéf britské zpravodajské, kybernetické a bezpečnostní agentury ji dokonce označil za „nejúčinnější obrannou kybernetickou aktivitu v historii“. Důvodem úspěchu je částečně skutečnost, že Ukrajina byla od roku 2014 opakovaně vystavena kybernetickým útokům a zkušenosti využila k lepšímu zabezpečení. Například útok pomocí Industroyeru2 na energetický sektor v březnu 2022 nebyl vzhledem k jeho schopnostem a potenciálu tak ničivý jako v případě prvního útoku Industroyeru v roce 2016. Ukrajina také s pomocí zahraničních vlád a soukromých společností zvládla lépe odstraňovat škody způsobené těmito kybernetickými útoky a rychle převedla velkou část své IT infrastruktury do cloudu, aby byla datová centra co nejdále od bojových zón a získala další ochranné vrstvy od poskytovatelů služeb.
