Kilka przemyśleń od byłego dowódcy ze słynnej izraelskiej jednostki 8200… a przy okazji CEO Cybereason.
Miesiąc po ataku wojsk rosyjskich na ukrainę nie milkną spekulacje, że Rosja zaangażuje się w szeroko zakrojone i skoordynowane cyberataki na Ukrainę i jej sojuszników. Na Ukrainie pojawiły się pewne deformacje serwisów internetowych, ataki z użyciem wiper’ów czy DDoS ale nie było to nawet zbliżone do oczekiwanej skali ataków.
W tym tygodniu prezydent Biden wydał oświadczenie w sprawie cyberbezpieczeństwa. Biden stwierdza w nim: „ Rosja może prowadzić złośliwą działalność cybernetyczną przeciwko Stanom Zjednoczonym, w tym w odpowiedzi na bezprecedensowe koszty gospodarcze, które nałożyliśmy na Rosję wraz z naszymi sojusznikami i partnerami. To część rosyjskiego podręcznika. Dzisiaj moja administracja ponawia ostrzeżenia oparte na ewoluujących informacjach wywiadowczych, że rząd rosyjski bada opcje potencjalnych cyberataków”. Musimy pamiętać, że granica między wojną cybernetyczną a kinetyczną pozostaje niewyraźna, więc sojusznicy USA i NATO mogą unikać ujawniania szczegółów trwających obecnie na całym świecie ataków, aby zapobiec ewentualnej eskalacji konfliktu
W myśl maksymy „miej nadzieję na najlepsze ale szykuj się na najgorsze” – jest prawdopodobne, że rosyjscy hakerzy odpowiedzą na sankcje zmasowanymi cyberatakami. Głównymi celami byłyby organizacje rządowe, wojskowe i infrastruktury krytycznej, ale żaden sektor nie jest niedostępny. Atakujący mogą zaatakować tzw. „nisko wiszące owoce”, takie jak dostawcy i partnerzy tych organizacji, i wykorzystać zaufaną relację, aby uzyskać dostęp. Istnieje również możliwość niezamierzonych szkód ubocznych, takich jak atak NotPetya, który rozprzestrzenił się na całym świecie.
W ciągu ostatniego roku byliśmy świadkami intensywnego i stałego strumienia głośnych cyberataków z Rosji oraz napiętej wymiany zdań między Bidenem i Putinem na temat rosyjskiej cyberagresji. Jednak ostatnio było niesamowicie cicho. Rosja zorganizowała w styczniu bardzo publiczne widowisko aresztowania członków gangu ransomware REvil. Od tego czasu liczba ataków ransomware spadła prawie do zera. Na pierwszy rzut oka miał to być pokaz współpracy — aby pokazać, że Rosja współpracuje z narodami zachodnimi, aby powstrzymać zagrożenie oprogramowaniem ransomware. Był to jednak bardziej występ lub szarada.
W rzeczywistości uważamy, że Rosja powołała gangi z oprogramowaniem ransomware, wykorzystując ich umiejętności i doświadczenie, aby zaangażować się w skoordynowane cyberataki w imieniu rosyjskiego rządu. W ciągu ostatnich dwóch tygodni zaangażowanie w reagowanie na incydenty dramatycznie wzrosło, pokazując, że Putin ma kontrolę nad cyberprzestępcami i zdolność do wykorzystywania grup cyberprzestępczych i broni kontrolowanej przez państwo.
Ze względu na powyższe, wszystkim organizacjom zalecamy przestrzeganie wskazówek „Shields Up” CISA – https://www.cisa.gov/uscert/shields-technical-guidance. Ważne jest, aby zrobić wszystko, co możliwe, aby proaktywnie wzmacniać stan bezpieczeństwa oraz mieć plany i procesy gotowe do szybkiej i skutecznej reakcji w przypadku cyberataku.