Добро пожаловать обратно, мои кибервоины!
Война на Украине продолжается, и важно помнить, что она началась не в феврале этого года, а тлеет уже почти десять лет. С тех пор, как в 2014 году украинский народ сверг свою деспотичную марионетку, россияне непрерывно атакуют украинский народ и его государственные институты. Прежде чем перейти к российским кибератакам на Украину, давайте кратко рассмотрим недавнюю историю Украины.
Всегда сложно изложить 100 лет истории в нескольких абзацах, но вот моя жалкая попытка. Пожалуйста, отнеситесь ко мне с пониманием и простите мои упущения ради краткости.
Последние 100 лет украинской истории в двух словах
В 1922 году Украина была одной из республик-основательниц Советского Союза (Советский Союз вырос из русской революции 1917 года). Она пострадала от геноцида при Сталине и потеряла 6-8 миллионов человек от массового голода, спровоцированного советским государством. Когда Никита Хрущев стал главой Советской Коммунистической партии в 1954 году, он благосклонно относился к Украине и украинскому народу, поскольку был главой Украинской Коммунистической партии. Он передал части традиционной России Украинской республике. Это включало Крымский полуостров (Крым был захвачен Екатериной Великой у турок в 1781 году). Это расширило Украинскую республику, и Крым оставался частью Советского Союза до его распада в 1991 году. Когда Советский Союз распался, Украина затем пережила десятилетие экономических лишений с сокращением экономики более чем на 10% в год.
С 1994 по 2004 год президентом Украины был Леонид Кучма. Его президентство было отмечено коррупцией и скандалами. В результате он решил не баллотироваться снова, и за пост президента боролись два ведущих кандидата: Виктор Янукович и Виктор Ющенко (для тех из нас, кто живёт на Западе, эти два имени настолько похожи, что сложно запомнить их). Первый, Янукович, был тесно связан с Путиным, а второй, Ющенко, хотел приблизить Украину к Западу. Рискуя упростить, я буду называть их «российски связанным Януковичем» и «западно связанным Ющенко». Российско связанный кандидат Янукович одержал победу на выборах с небольшим перевесом, но оппозиция и объективные наблюдатели заявили о фальсификациях и нарушениях на выборах. Это привело к Оранжевой революции, которая произошла с ноября 2004 года по январь 2005 года. Оранжевая революция представляла собой серию протестов и политических событий, направленных против фальсификации результатов выборов Януковича.
В конце концов, в феврале 2005 года Верховный суд Украины признал выборы недействительными. После очередного второго тура выборов президентом стал прозападный политик Ющенко.
На следующих выборах 2010 года основными кандидатами на пост президента были Ющенко, Янукович и Юлия Тимошенко. Ющенко и Тимошенко были союзниками во время Оранжевой революции, но стали непримиримыми противниками во время выборов 2010 года.
На выборах, отмеченных повсеместной коррупцией и фальсификацией, премьер-министром был избран Виктор Янокович, связанный с Россией. Янокович имел тесные связи с Путиным и Кремлём и считался фаворитом Путина (его руководитель предвыборной кампании на Украине Пол Манафорт был руководителем президентской кампании Трампа в 2016 году. Совпадение?). Когда он заключил в тюрьму свою соперницу Юлию Тимошенко и начал ограничивать свободы и сближать Украину с Россией, украинский народ восстал, и в 2014 году парламент объявил ему импичмент. Янокович бежал из Украины в Россию, где и по сей день проживает под защитой Путина. Вскоре после этого Россия вторглась в Украину и взяла под контроль Крым и Донбасс. Затем начались кибератаки.
В феврале 2019 года Украина внесла поправки в Конституцию, которые облегчат её интеграцию в Европу. В апреле 2019 года бывший комик и актёр еврейского происхождения Владимир Зеленский был избран президентом Украины подавляющим большинством голосов, набрав 73%. Зеленский продолжил курс на отход Украины от России и дальнейшую интеграцию с Европой.
24 февраля 2022 года Россия вторгается в Украину.
Крупные российские кибератаки против Украины за последние годы
Чтобы дать вам некоторое представление о кибервойне, вот основные события последних десяти лет. В последние годы Россия совершила так много атак на Украину, что сложно ограничить этот список лишь несколькими из них. Большинство наиболее серьёзных атак произошло после массовых протестов 2013–2014 годов, которые привели к отстранению Януковича от власти.
Банкоматы атакованы с помощью Плутуса
В феврале 2014 года были взломаны банкоматы одного из крупнейших украинских банков. В пятницу банкоматы были загружены наличными, а к понедельнику опустели. Банды, нанятые Россией и её сепаратистами на Украине, просто опустошили их. Сообщается, что для атаки использовалась вредоносная программа Ploutus. Ploutus способен деактивировать и обходить традиционные антивирусные системы.
BlackEnergy3
Атака BlackEnergy3 представляла собой сложную атаку на украинскую электросеть. Blackenergy3 фактически представляла собой реконструированное вредоносное ПО, ранее использовавшееся для DDoS-атак. Вредоносное ПО использовало социальную инженерию для проникновения в корпоративную сеть электроэнергетической компании (использовался адрес электронной почты, якобы принадлежавший украинскому чиновнику), используя уязвимость MS Word (MS-2014-4144). Затем злоумышленники (Sandworm, хакерская группа, входящая в состав ГРУ) использовали mimikatz для сбора учётных данных, которые использовались для взлома интерфейса «человек-машина» (HMI) в сети SCADA. После этого они отключили 30 выключателей на подстанциях, что и привело к отключению электроэнергии. Подробнее о BlackEnergy3 можно узнать здесь.
CrashOveride (он же Industroyer)
CrashOveride был первым вредоносным ПО, специально разработанным для атак на электросети (BlackEnergy3 изначально был инструментом DDoS-атак, а затем трансформировался в инструмент социальной инженерии для получения доступа к человеко-машинному интерфейсу (HMI) электросети). Он был использован против Украины при атаке на передающую подстанцию 17 декабря 2016 года.
Системы SCADA/ICS используют множество протоколов, и практически не существует двух одинаковых систем, что ещё больше усложняет атаки. Тем не менее, существует унифицированный протокол, предназначенный для преобразования различных протоколов, известный как OPC. CrashOveride использовал
OPC для связи с различными модулями электрической подстанции.
CrashOveride привел к тому, что разомкнутые автоматические выключатели на удалённых терминалах (RTU) вошли в бесконечный цикл. В результате автоматические выключатели остаются разомкнутыми даже при попытках операторов их отключить.
Petya и NotPetya
Petya — это атака вируса-вымогателя, распространявшаяся через вложения к электронным письмам в 2016 году. В 2017 году, после публикации группой ShadowBrokers вируса EternalBlue, разработанного АНБ, эта вредоносная программа была переориентирована на использование EternalBlue для получения доступа к операционной системе. Исследователи назвали новый вирус-вымогатель NotPetya, чтобы отличать его от Petya. Эта атака была направлена на Украину, но быстро распространилась по всему миру, причинив системам ущерб на миллиарды долларов. Многие называют её самым дорогостоящим вредоносным ПО в истории. NotPetya — это пример того, как вредоносное ПО, нацеленное на одну страну или сектор, может сеять хаос по всему миру. АНБ также должно нести ответственность — отчасти — за эти разрушения.
NotPetya позиционировал себя как вирус-вымогатель, но даже после того, как жертвы заплатили выкуп, их файлы всё ещё не удалось восстановить. Вероятным виновником является российская хакерская группа ГРУ, известная как Sandworm.
Паралич Министерства финансов Украины
Как и большинство государственных казначейств, украинское казначейство осуществляет периодические выплаты как физическим, так и юридическим лицам. 6 декабря 2016 года Казначейство Украины, Министерство финансов и Пенсионный фонд были отключены на два дня, что привело к задержке выплат различным организациям. По всей видимости, это была скоординированная DDoS-атака на эти государственные ведомства.
Герметичный стеклоочиститель
Сразу после начала войны в феврале 2022 года ряд организаций на Украине подверглись атаке, известной как Hermetic Wiper. Это сложное вредоносное ПО, которое удаляет и повреждает файлы, в том числе фрагментирует их, что значительно затрудняет восстановление. В первую очередь атака была направлена на финансовый сектор, сельское хозяйство, службы экстренной помощи и энергетический сектор.
Industroyer и CaddyWiper
Российская хакерская группа Sandworm, спонсируемая государством, предприняла 12 апреля 2022 года очередную попытку вывести из строя украинскую электросеть. Целью этой атаки было вывести из строя крупного украинского поставщика электроэнергии путем отключения его электрических подстанций с помощью новой версии вредоносного ПО Industroyer2 для промышленных систем управления (ICS) и новой версии вредоносного ПО для уничтожения данных CaddyWiper.
Злоумышленник использовал версию вредоносного ПО Industroyer ICS, адаптированную для целевой высоковольтной электроподстанции. Затем эта вредоносная программа попыталась стереть следы атаки, запустив CaddyWiper и другие семейства вредоносных программ для удаления данных, известные как Orcshred, Soloshred и Awfulshred для систем Linux и Solaris.
Краткое содержание
Украинский народ отверг тираническую политику Путина и его марионеток и платит за это высокую цену. С тех пор, как Украина отвергла путинскую марионетку с поста премьер-министра, Россия непрерывно разрушает её экономику и институты. Этому нужно положить конец. К сожалению, Путин уважает только силу. Именно поэтому МЫ должны действовать.
Война на Украине продолжается, и важно помнить, что она началась не в феврале этого года, а тлеет уже почти десять лет. С тех пор, как в 2014 году украинский народ сверг свою деспотичную марионетку, россияне непрерывно атакуют украинский народ и его государственные институты. Прежде чем перейти к российским кибератакам на Украину, давайте кратко рассмотрим недавнюю историю Украины.
Всегда сложно изложить 100 лет истории в нескольких абзацах, но вот моя жалкая попытка. Пожалуйста, отнеситесь ко мне с пониманием и простите мои упущения ради краткости.
Последние 100 лет украинской истории в двух словах
В 1922 году Украина была одной из республик-основательниц Советского Союза (Советский Союз вырос из русской революции 1917 года). Она пострадала от геноцида при Сталине и потеряла 6-8 миллионов человек от массового голода, спровоцированного советским государством. Когда Никита Хрущев стал главой Советской Коммунистической партии в 1954 году, он благосклонно относился к Украине и украинскому народу, поскольку был главой Украинской Коммунистической партии. Он передал части традиционной России Украинской республике. Это включало Крымский полуостров (Крым был захвачен Екатериной Великой у турок в 1781 году). Это расширило Украинскую республику, и Крым оставался частью Советского Союза до его распада в 1991 году. Когда Советский Союз распался, Украина затем пережила десятилетие экономических лишений с сокращением экономики более чем на 10% в год.
С 1994 по 2004 год президентом Украины был Леонид Кучма. Его президентство было отмечено коррупцией и скандалами. В результате он решил не баллотироваться снова, и за пост президента боролись два ведущих кандидата: Виктор Янукович и Виктор Ющенко (для тех из нас, кто живёт на Западе, эти два имени настолько похожи, что сложно запомнить их). Первый, Янукович, был тесно связан с Путиным, а второй, Ющенко, хотел приблизить Украину к Западу. Рискуя упростить, я буду называть их «российски связанным Януковичем» и «западно связанным Ющенко». Российско связанный кандидат Янукович одержал победу на выборах с небольшим перевесом, но оппозиция и объективные наблюдатели заявили о фальсификациях и нарушениях на выборах. Это привело к Оранжевой революции, которая произошла с ноября 2004 года по январь 2005 года. Оранжевая революция представляла собой серию протестов и политических событий, направленных против фальсификации результатов выборов Януковича.
В конце концов, в феврале 2005 года Верховный суд Украины признал выборы недействительными. После очередного второго тура выборов президентом стал прозападный политик Ющенко.
На следующих выборах 2010 года основными кандидатами на пост президента были Ющенко, Янукович и Юлия Тимошенко. Ющенко и Тимошенко были союзниками во время Оранжевой революции, но стали непримиримыми противниками во время выборов 2010 года.
На выборах, отмеченных повсеместной коррупцией и фальсификацией, премьер-министром был избран Виктор Янокович, связанный с Россией. Янокович имел тесные связи с Путиным и Кремлём и считался фаворитом Путина (его руководитель предвыборной кампании на Украине Пол Манафорт был руководителем президентской кампании Трампа в 2016 году. Совпадение?). Когда он заключил в тюрьму свою соперницу Юлию Тимошенко и начал ограничивать свободы и сближать Украину с Россией, украинский народ восстал, и в 2014 году парламент объявил ему импичмент. Янокович бежал из Украины в Россию, где и по сей день проживает под защитой Путина. Вскоре после этого Россия вторглась в Украину и взяла под контроль Крым и Донбасс. Затем начались кибератаки.
В феврале 2019 года Украина внесла поправки в Конституцию, которые облегчат её интеграцию в Европу. В апреле 2019 года бывший комик и актёр еврейского происхождения Владимир Зеленский был избран президентом Украины подавляющим большинством голосов, набрав 73%. Зеленский продолжил курс на отход Украины от России и дальнейшую интеграцию с Европой.
24 февраля 2022 года Россия вторгается в Украину.
Крупные российские кибератаки против Украины за последние годы
Чтобы дать вам некоторое представление о кибервойне, вот основные события последних десяти лет. В последние годы Россия совершила так много атак на Украину, что сложно ограничить этот список лишь несколькими из них. Большинство наиболее серьёзных атак произошло после массовых протестов 2013–2014 годов, которые привели к отстранению Януковича от власти.
Банкоматы атакованы с помощью Плутуса
В феврале 2014 года были взломаны банкоматы одного из крупнейших украинских банков. В пятницу банкоматы были загружены наличными, а к понедельнику опустели. Банды, нанятые Россией и её сепаратистами на Украине, просто опустошили их. Сообщается, что для атаки использовалась вредоносная программа Ploutus. Ploutus способен деактивировать и обходить традиционные антивирусные системы.
BlackEnergy3
Атака BlackEnergy3 представляла собой сложную атаку на украинскую электросеть. Blackenergy3 фактически представляла собой реконструированное вредоносное ПО, ранее использовавшееся для DDoS-атак. Вредоносное ПО использовало социальную инженерию для проникновения в корпоративную сеть электроэнергетической компании (использовался адрес электронной почты, якобы принадлежавший украинскому чиновнику), используя уязвимость MS Word (MS-2014-4144). Затем злоумышленники (Sandworm, хакерская группа, входящая в состав ГРУ) использовали mimikatz для сбора учётных данных, которые использовались для взлома интерфейса «человек-машина» (HMI) в сети SCADA. После этого они отключили 30 выключателей на подстанциях, что и привело к отключению электроэнергии. Подробнее о BlackEnergy3 можно узнать здесь.
CrashOveride (он же Industroyer)
CrashOveride был первым вредоносным ПО, специально разработанным для атак на электросети (BlackEnergy3 изначально был инструментом DDoS-атак, а затем трансформировался в инструмент социальной инженерии для получения доступа к человеко-машинному интерфейсу (HMI) электросети). Он был использован против Украины при атаке на передающую подстанцию 17 декабря 2016 года.
Системы SCADA/ICS используют множество протоколов, и практически не существует двух одинаковых систем, что ещё больше усложняет атаки. Тем не менее, существует унифицированный протокол, предназначенный для преобразования различных протоколов, известный как OPC. CrashOveride использовал
OPC для связи с различными модулями электрической подстанции.
CrashOveride привел к тому, что разомкнутые автоматические выключатели на удалённых терминалах (RTU) вошли в бесконечный цикл. В результате автоматические выключатели остаются разомкнутыми даже при попытках операторов их отключить.
Petya и NotPetya
Petya — это атака вируса-вымогателя, распространявшаяся через вложения к электронным письмам в 2016 году. В 2017 году, после публикации группой ShadowBrokers вируса EternalBlue, разработанного АНБ, эта вредоносная программа была переориентирована на использование EternalBlue для получения доступа к операционной системе. Исследователи назвали новый вирус-вымогатель NotPetya, чтобы отличать его от Petya. Эта атака была направлена на Украину, но быстро распространилась по всему миру, причинив системам ущерб на миллиарды долларов. Многие называют её самым дорогостоящим вредоносным ПО в истории. NotPetya — это пример того, как вредоносное ПО, нацеленное на одну страну или сектор, может сеять хаос по всему миру. АНБ также должно нести ответственность — отчасти — за эти разрушения.
NotPetya позиционировал себя как вирус-вымогатель, но даже после того, как жертвы заплатили выкуп, их файлы всё ещё не удалось восстановить. Вероятным виновником является российская хакерская группа ГРУ, известная как Sandworm.
Паралич Министерства финансов Украины
Как и большинство государственных казначейств, украинское казначейство осуществляет периодические выплаты как физическим, так и юридическим лицам. 6 декабря 2016 года Казначейство Украины, Министерство финансов и Пенсионный фонд были отключены на два дня, что привело к задержке выплат различным организациям. По всей видимости, это была скоординированная DDoS-атака на эти государственные ведомства.
Герметичный стеклоочиститель
Сразу после начала войны в феврале 2022 года ряд организаций на Украине подверглись атаке, известной как Hermetic Wiper. Это сложное вредоносное ПО, которое удаляет и повреждает файлы, в том числе фрагментирует их, что значительно затрудняет восстановление. В первую очередь атака была направлена на финансовый сектор, сельское хозяйство, службы экстренной помощи и энергетический сектор.
Industroyer и CaddyWiper
Российская хакерская группа Sandworm, спонсируемая государством, предприняла 12 апреля 2022 года очередную попытку вывести из строя украинскую электросеть. Целью этой атаки было вывести из строя крупного украинского поставщика электроэнергии путем отключения его электрических подстанций с помощью новой версии вредоносного ПО Industroyer2 для промышленных систем управления (ICS) и новой версии вредоносного ПО для уничтожения данных CaddyWiper.
Злоумышленник использовал версию вредоносного ПО Industroyer ICS, адаптированную для целевой высоковольтной электроподстанции. Затем эта вредоносная программа попыталась стереть следы атаки, запустив CaddyWiper и другие семейства вредоносных программ для удаления данных, известные как Orcshred, Soloshred и Awfulshred для систем Linux и Solaris.
Краткое содержание
Украинский народ отверг тираническую политику Путина и его марионеток и платит за это высокую цену. С тех пор, как Украина отвергла путинскую марионетку с поста премьер-министра, Россия непрерывно разрушает её экономику и институты. Этому нужно положить конец. К сожалению, Путин уважает только силу. Именно поэтому МЫ должны действовать.
