Ukraina – historia cyberataków – cz. 1

Home / Aktualności / Ukraina – historia cyberataków – cz. 1

Obecna sytuacja na Ukrainie to nie tylko bezprecedensowe wydarzenie, zaburzające względny spokój panujący w Europie od II Wojny Światowej i tragedia naszych sąsiadów. To również poligon wykorzystania cyberataków jako aktywnego narzędzia prowadzenia działań wojennych.

Dla wielu może to być nowością, jednak eksperci wiedzą że Rosja już od lat traktowała Ukrainę jako poligon dla swoich hakerów. By uzupełnić waszą wiedzę przedstawiamy rys historyczny cyberataków na Ukrainę – od najstarszego do najnowszych związanych z obecną sytuacją.

22-26 maja 2014 – Ataki na instytucje publiczne związane z wyborami prezydenckimi na Ukrainie – CyberBerkut

Fala cyberataków przypisywanych rosyjskiej grupie CyberBerkut, mających na celu zakłócenie lub zmanipulowanie ukraińskich wyborów prezydenckich w 2014 roku. Ataki opisywane są jako „jedne z najniebezpieczniejszych cyberataków, jakie zostały dotychczas zastosowane w celu sabotowania wyborów krajowych”.

Kampania składała się z trzech oddzielnych ataków:

  1. Infiltracja centralnych sieci wyborczych i usuwanie plików w celu uniemożliwienia działania systemu liczenia głosów. CyberBerkut później ujawnił e-maile i pliki jako dowód. (22 maja 2014)
  2. W dniu wyborów na 40 minut przed ogłoszeniem wyników wyborów ukraińscy eksperci ds. cyberbezpieczeństwa usunęli szkodliwe oprogramowanie z komputerów Centralnej Komisji Wyborczej. Szkodliwe oprogramowanie miało na celu sfałszowanie wyników i przedstawianie jako zwycięzcę skrajnie prawicowego kandydata z wynikiem 37%, a Poroszenko z wynikiem 29%. Chociaż atak się nie powiódł, Channel 1 Russia pokazał te wyniki. (25 maja 2014)
  3. Ataki DDoS na łącza dostarczające dane do systemu liczenia głosów zablokowały wyniki wyborów i opóźniły ostateczny wynik. Atak został przypisany CyberBerkutowi. (26 maja 2014)

Skutki:

  • Opóźnienia w ostatecznym zestawieniu wyborów.

  • Próba zdyskredytowania systemu wyborczego w oczach opinii publicznej.

  • Próba rozpowszechniania fałszywych informacji.

23 grudnia 2015 – ataki na sektor energetyczny – APT Sandworm

Cyberatak skompromitował systemy trzech firm zajmujących się dystrybucją energii w obwodzie iwanofrankowskim na zachodniej Ukrainie. Atak był pierwszym znanym udanym cyberatakem na sieć energetyczną.

Przed awarią cyberprzestępcy przeprowadzili telefoniczny atak typu „odmowa usługi” na centra obsługi klienta.

Skutki:

  • Przerwy w dostawie prądu dla około 230 000 odbiorców przez 1-6 godzin.

  • Linie telefoniczne centrum obsługi klienta nie działają podczas uniemożliwiania klientom dzwonienia w celu zgłoszenia awarii. Dotknęło to 16 podstacji, przez co nie odpowiadały na żadne zdalne polecenia operatorów.

  • Próba osłabienia zaufania do ukraińskich firm energetycznych i rządu.

17 grudnia 2016 – kolejny atak na sektor energetyczny – grupa Electrum

Niemal rok po pierwszym ataku na sieć elektroenergetyczną cyberatak uderzył w podstację w Kijowie i pozostawił część stolicy i jej okolic bez prądu na ponad godzinę. Badacze opisują złośliwe oprogramowanie użyte w tym ataku jako tylko drugi znany przypadek złośliwego kodu stworzonego w celu zakłócania systemów fizycznych i że złośliwe oprogramowanie może zautomatyzować masowe przerwy w zasilaniu i zawiera wymienne komponenty wtyczek, które mogą pozwolić na jego adaptację do różnych dostawców energii elektrycznej i być uruchamiane jednocześnie w wielu celach.

Atak był powiązany z atakiem na sieć energetyczną w 2015 r. oraz atakami na ukraińskie koleje państwowe, ministerstwa itp.

Skutki:

  • Zaciemnienie trwało nieco ponad godzinę.

  • Odcięcie prądu spowodowało utratę około jednej piątej zużycia energii w Kijowie o tej porze nocy.

  • Potencjalny wpływ mógł obejmować wyłączenie dystrybucji zasilania, kaskadowe awarie i poważniejsze uszkodzenia sprzętu.

27 lipca 2017 – NotPetya, atak na sektor publiczny, finansowy i energetyczny

Atak przy użyciu szkodliwego oprogramowania do kasowania danych NotPetya w przeddzień Dnia Konstytucji Ukrainy wymierzony w podmioty sektora publicznego i prywatnego na Ukrainie (80% dotkniętych systemów), w tym instytucje finansowe, energetyczne i rządowe. Atak miał bardzo destrukcyjny charakter, ponieważ wyłączył komputery poprzez wyczyszczenie dysków twardych i rozprzestrzenił się niezależnie na firmy, które korzystały z popularnego oprogramowania do rozliczeń podatkowych (M.E.Doc). Złośliwe oprogramowanie nie zostało zaprojektowane do odszyfrowania. Oznaczało to, że ofiary nie miały możliwości odzyskania danych po ich zaszyfrowaniu. Atak rozprzestrzenił się na cały świat i zainfekował m.in. system monitorowania promieniowania w Czarnobylu oraz amerykańskie organizacje opieki zdrowotnej. Atak został określony jako „najbardziej niszczycielski cyberatak w historii”.

UE nałożyła sankcje (zamrożenie aktywów i zakaz podróży) za pośrednictwem swojego zestawu narzędzi dyplomatycznych, podczas gdy Stany Zjednoczone nałożyły sankcje za pośrednictwem Biura Kontroli Aktywów Zagranicznych Departamentu Skarbu (OFAC).

Skutki:

  • System monitorowania promieniowania w ukraińskiej elektrowni jądrowej w Czarnobylu został wyłączony.

  • Strata ekonomiczna dla ukraińskich podmiotów przez nieodwracalne szyfrowanie danych.

  • Infiltracja sieci informatycznych, w tym systemów Narodowego Banku Ukrainy, międzynarodowego lotniska Kijów-Boryspol i stołecznego metra.

  • Dotknęło 65 krajów i około 49 000 systemów na całym świecie.

  • Szacowane globalne straty gospodarcze przekraczające 10 mld USD.

11 lipca 2018 – Atak „VPN Filter” na system destylacji chloru

Próba cyberataku na urządzenia sieciowe Stacji Destylacji Chloru Auly, która dostarcza płynny chlor do oczyszczalni wody i ścieków w 23 prowincjach Ukrainy oraz Mołdawii i Białorusi. W ciągu kilku minut systemy kontroli procesów technologicznych firmy oraz systemy wykrywania oznak sytuacji awaryjnych zostały zaatakowane przez szkodliwe oprogramowanie VPNFilter. Jeśli nie zostanie zneutralizowane, złośliwe oprogramowanie może wykraść dane uwierzytelniające, monitorować sprzęt i całkowicie uniemożliwić działanie zainfekowanego urządzenia.

Jak widać – walka w sieci trwa już od jakiego czasu. Natomiast jej realizacja w warunkach fizycznych to czarny scenariusz, wobec którego mieliśmy nadzieję na brak realizacji…

W kolejnym artykule opiszemy atak z 2022 – bezpośrednio powiązane z inwazją.

Powiązane artykuły

TRELLIX O LOG4J
Rzut oka na standardy w cyberbezpieczeństwie
SASE & SSE - fundamenty
Nasz serwis używa plików cookies w celach statystycznych, reklamowych oraz funkcjonalnych. Dzięki nim możemy indywidualnie dostosować ofertę do Twoich potrzeb. Każdy może zaakceptować pliki cookies albo ma możliwość wyłączenia ich w przeglądarce, dzięki czemu nie będą zbierane żadne informacje.
Akceptuję Więcej informacji