CYBERHUB UCRÂNIANO
A maior guerra no continente europeu desde a Segunda Guerra Mundial continua não só no solo e no ar, mas também no ciberespaço.
O Serviço Estadual de Comunicação Especial e Proteção da Informação de A Ucrânia é responsável pelos padrões de segurança cibernética no país e participa ativamente da defesa. As lições aprendidas durante esta guerra são extremamente importante para fortalecer a defesa dos estados democráticos atacado por países agressivos como a Rússia.
Nesse sentido, o SSSCIP inicia a disponibilização de um relatório sobre o estado e os meios de defesa cibernética. O SSSCIP CyberHub irá tornar públicos os seus dados e conclusões que possam ser utilizados pelo mundo cibernético comunidade para sua própria defesa.
45 DIAS DE CYBER FRONT
Destaques
- Um mês e meio de guerra: a situação está se agravando na frente cibernética;
- Tendências de frente cibernética: a rússia usa hackers militares nas tentativas de perseguir suas ambições políticas; hackers militares russos estão mirando civis e os países da UE;
- Os dados obtidos como resultado de phishing ataques é ainda usado para fins de agressão cibernética;
- Defesa de infraestrutura crítica ucraniana: como Ukrenergo repele ataques cibernéticos e o que aconteceu com Ukrtelecom em 28 de março;
- Cinco dicas para empresas ucranianas e internacionais sobre como combater a agressão de RF na frente cibernética.
DETALHES
Estratégia e táticas de guerra cibernética da rússia a rússia vem travando uma guerra contra a Ucrânia há oito anos, tanto no terreno e no ciberespaço. Durante todo esse tempo, estivemos testemunhando a escalada. Provavelmente todo especialista em defesa cibernética sabe o que BlackEnergy, NotPetya, ataque13 são ataques cibernéticos.
Antes da incursão militar da RF em nosso país, também observamos uma escalada em nossas fronteiras cibernéticas: em 15 de fevereiro, a Ucrânia sofreu o pior DDoS ataque em sua história. No entanto, devido à ação coordenada da segurança cibernética entidades, rapidamente eliminamos suas consequências. Logo nos acostumamos a viver com ele enquanto os ataques DDoS continuaram. Houve mais de 3.000 ataques DDoS com um pico de 100 Gbps.
Já faz um mês e meio de guerra. Nossos parceiros estrangeiros estão bem cientes da situação à nossa frente. O governo e a mídia, muitas vezes arriscando (e infelizmente perdendo) suas vidas, estão destacando em detalhes as ações do “segundo exército do mundo”. Eles incluem o bombardeio de foguetes de residências áreas, destruindo infra-estrutura civil, saqueando, criando catástrofes nos territórios ocupados e cometer atrocidades contra civis.
No entanto, nem tudo é óbvio na frente cibernética. Muitas vezes dizemos que a guerra cibernética é uma parte oculta da agressão da Rússia contra a Ucrânia, e é verdade. Algumas ações de nosso inimigo requerem identificação, coleta de prova, exame, atribuição, etc.
Gostaríamos de dedicar este resumo a uma recapitulação do primeiro mês e meio de guerra na frente cibernética e recomendações para instituições ucranianas e nossos parceiros internacionais na defesa contra a agressão russa.
UM MÊS E MEIO DE GUERRA:
SITUAÇÃO NA FRENTE CYBER
Durante o primeiro mês e meio de guerra, a Ucrânia sofreu 362 ataques cibernéticos ataques. É três vezes mais em relação ao mesmo período do ano anterior (122 ataques cibernéticos).
Ataques cibernéticos ao governo e autoridades locais, segurança e defesa e as organizações comerciais representaram metade do número total. Mais da metade dos ataques foram feitos para fins de coleta de dados ou distribuição de malware.
A cada semana detectamos ataques feitos pelos mesmos grupos que atacaram Ucrânia durante muitos anos.
CINCO TENDÊNCIAS DE CYBERWAR
Hackers militares russos fazem ataques cibernéticos para perseguir a política ambições da liderança do seu país Os hackers usam ataques cibernéticos para perseguir as ambições políticas da liderança da RF.
De acordo com o operador nacional do sistema de transporte, Ukrenergo, o número de ataques cibernéticos triplicou desde o início da guerra açao. O pico foi observado durante a conexão do ucraniano sistema de energia à ENTSO-E. Durante alguns dos ataques a Ukrenergo, hackers russos nem tentaram esconder sua origem e usaram IP russo endereços para varrer a rede do operador da rede nacional de transporte.
O exército russo não é capaz de destruir as comunicações da Ucrânia infraestrutura, pois nossas redes são descentralizadas e não há “botão vermelho” na Ucrânia para desconectá-lo da Internet. Ataques à infraestrutura física são de natureza local, e suas consequências são rapidamente eliminadas pela provedores.
É por isso que, como podemos ver durante a guerra, os ataques de hackers a as redes de telecomunicações tornaram-se mais intensivas. Triolan, Ukrtelecom e provedores locais em Odessa sofreram ataques cibernéticos. Isso é evidente que os hackers visam destruir a infraestrutura ou ganhar controle sobre ele. Foi confirmado pelo inquérito publicado pela Viasat, um provedor de comunicações via satélite. O mesmo também foi confirmado pelo
investigação do ataque cibernético na Ukrtelecom.
O ataque consistiu em dois fases: a primeira fase incluiu a descoberta da rede do provedor, durante a segunda fase, houve tentativas de destruir a infra-estrutura e obter controle sobre o acesso à rede e equipamentos do provedor.
A Rússia também usa ciberataques para espalhar o pânico entre as pessoas e criar desconfiança na autoridade. Da mesma forma que tentam bloquear o acesso de pessoas aos cuidados de saúde, alimentação, ajuda humanitária e evacuação nas zonas temporárias
territórios ocupados, eles usam hackers no ciberespaço para bloquear a operação de serviços para pessoas.
Há uma semana, houve um ataque cibernético ao Centro de Contato do Governo. É uma ferramenta de interação entre as pessoas comuns e o governo. Como como resultado do ataque, os servidores de virtualização foram parcialmente removidos, o que causou interrupções na operação da linha direta do governo e do local na rede Internet.
Ataque cibernético na Ukrtelecom em 28 de março: o que aconteceu
A Ukrtelecom viu um aumento no número de ataques cibernéticos desde o início da incursão na Ucrânia. O ataque ocorrido em 28 de março era forte e complicado.
Consistia em duas fases. A primeira fase incluiu a descoberta. Foi realizado do território ucraniano, recentemente ocupado temporariamente por russos. Para fins de reconhecimento, eles usaram uma conta comprometida do funcionário da empresa. O ataque cibernético foi rapidamente detectado e neutralizado pela equipe SOC da Ukrtelecom.
A segunda fase envolveu um ataque cibernético em 28 de março, durante o qual os hackers tentou desativar os equipamentos e servidores da Ukrtelecom e obter controle sobre sua rede e equipamentos.
A segunda fase do ataque cibernético foi detectada em 15 minutos seu início. Os especialistas em TI da Ukrtelecom tomaram medidas imediatas para neutralizar o ataque cibernético. A fim de proteger a infraestrutura de informação crítica e assegurar a prestação ininterrupta de serviços aos militares e aos infra-estrutura crítica, a Ukrtelecom limitou temporariamente o acesso aos seus serviços para usuários particulares e empresas.
Eles começaram a restaurar o acesso à Internet para seus consumidores à noite, 28 de março. No dia seguinte, os serviços da Ukrtelecom ficaram quase totalmente disponíveis para todos dos consumidores.
A Ukrtelecom notificou o SSSCIP do ataque cibernético e coordenou com os especialistas do SSSCIP durante sua oposição. Tanto nacional como internacional parceiros do provedor estavam engajados na eliminação das consequências de o ataque, incluindo Cisco, Microsoft e ISSP.
De acordo com as conclusões atuais da investigação, os dados do usuário não foram afetado pelo ataque e não foi comprometido. Ukrenergo em guerra: o número de ataques triplicou para interromper a conexão com o sistema europeu de energia.
De acordo com o CERT-UA, o setor de energia da Ucrânia tem sido um dos mais alvos populares de hackers militares russos durante a guerra. Apesar disso, fornecimento de eletricidade é estável na Ucrânia.
Presidente do Conselho da NEC Ukrenergo Volodymyr Kudrytskyi disse à Interfax como a defesa está organizada em Ukrenergo e como funciona durante a guerra.
Ukrenergo é o coração do sistema de transmissão na Ucrânia. A empresa une geradores de eletricidade, interage com os sistemas de energia de países e garante a exportação e importação de eletricidade.
Desde o início da incursão, o número de ataques à empresa perímetro triplicou em comparação com o período pré-guerra. fevereiro e março viu o maior número de ataques, e o pico foi observado antes do ligação à ENTSO-E e antes da incursão.
Todos os ataques cibernéticos não tiveram sucesso. No entanto, eles ainda continuam. hackers russos nem tentam esconder. Durante algumas fases, eles escanearam o sistema usando endereços IP russos. O principal objetivo dos hackers era evitar O sistema energético da Ucrânia desde a ligação à ENTSO-E. A Ucrânia não pode e é não vai deixar isso acontecer.
O facto de, antes e durante a incursão, Ukrenergo não ter sofrido ataques cibernéticos podem ser atribuídos aos últimos dois anos de trabalho durante os quais a empresa construiu um forte sistema de defesa cibernética. O sistema de defesa cibernética protege tanto a rede de gerenciamento relacionada à Internet quanto o serviço rede, sendo o coração do sistema energético. O nível de segurança deste último é várias vezes maior.
“Todos os nossos sistemas estão em conformidade com os mais altos padrões globais, assim como os desempenho de nossa equipe, que perde apenas para a equipe SSSCIP no cyber concorrência na defesa e investimento no equipamento, em particular na Centro. Conseguimos nos defender porque nos preparamos da maneira certa”, disse. Volodymyr Kudrytskyi.
Ataque cibernético pesado ao setor de energia da Ucrânia
Em 12 de abril, o CERT-UA relatou um ataque cibernético Sandworm (UAC-0082) em Infraestrutura de energia da Ucrânia processando malware Industroyer2 e CaddyWiper.
Os invasores tentaram derrubar vários componentes de infraestrutura de seu alvo, a saber:
- Subestações elétricas — usando malware Industroyer2. Cada executável arquivo continha um conjunto de parâmetros exclusivos configurados estaticamente para um dos as subestações alvo.
- Sistemas de computação operados pelo Windows (computadores de usuários, servidores, estações de trabalho APCS) — usando o limpador de dados destrutivo CaddyWiper.
- Equipamento de servidor operado por Linux — usando scripts destruidores maliciosos.
- Equipamento de rede ativo.
A organização alvo sofreu duas ondas de ataque. O compromisso inicial ocorreu o mais tardar em fevereiro de 2022. E na noite de sexta-feira, 8 de abril de 2022, os atacantes planejavam desligar as subestações elétricas e tomar reduzir a infraestrutura da empresa. No entanto, a intenção maliciosa foi impedido.
Para determinar se existe uma ameaça semelhante para outras organizações ucranianas, as informações, incluindo amostras de software malicioso, foram compartilhadas com os parceiros internacionais e as empresas do setor de energia da Ucrânia.
A Equipe de Resposta a Emergências Informáticas da Ucrânia CERT-UA expressa sua agradecimento especial à Microsoft e à ESET.
Ataques cibernéticos como mais uma forma de disseminação de informações falsas enpropaganda
Para disseminar a desinformação, os hackers comprometem a mídia, o sites das autoridades locais e os dos provedores de Internet e publicar informações falsas a respeito. No entanto, os ucranianos não confiam no russo governo que mostrou sua verdadeira face.
De acordo com Meta, hackers militares bielorrussos do Ghostwriter (UNC1151) também atacam as contas do Facebook e Instagram de Militares ucranianos. Eles comprometem as contas usando links de phishing que enviam para o endereço de e-mail e exortam a depor as armas nome desses usuários. Meta bloqueia essas postagens.
Ataques de phishing contra civis
Quase 200 crianças foram mortas por invasores russos, mais de 100 profissionais de saúde instalações e ambulâncias foram afetadas. Há uma catástrofe humanitária em algumas cidades. os ataques da Rússia contra civis estão se tornando cada vez mais agressivo.
De acordo com vários relatos de testemunhas, nas cidades ocupadas, eles verificam o conteúdo do smartphone e pode deter pessoas inocentes por causa da conteúdo em seus gadgets.
Da mesma forma, a Rússia usa suas armas contra civis no ciberespaço. Antes do início da ação militar, as atividades dos russos hackers trabalhando para os militares ou sob sua gestão foram alvos principalmente nas autoridades públicas e na infraestrutura de informação crítica.
No entanto, atualmente detectamos o envio de e-mails de phishing para civis. Russos provavelmente estão tentando obter pelo menos qualquer informação para ser usada contra o exército, o governo, organizações comerciais e voluntárias.
Em 18 de março, o CERT-UA alertou sobre e-mails maliciosos supostamente enviados por autoridades. Eles estavam relacionados ao pagamento de benefícios e continham um link ao recurso perigoso.
Em 30 de março, o CERT-UA publicou informação sobre envio em massa de e-mails contendo um arquivo malicioso que ativou malware que foi classificado como MarsStealer e pode danificar o computador. Ele coleta as informações sobre computador, rouba credenciais de navegadores, plug-ins de carteira criptográfica e aplicativos de autenticação multifator, rouba arquivos e baixa arquivos tornando instantâneos de tela.
Em 5 de março, o CERT-UA informou sobre o envio de e-mails para ucranianos, que continha um link malicioso para o suposto site do Telegram, permitindo que o hackers para obter acesso não autorizado às contas, com a possibilidade de capturar um código único de um SMS. Especialistas em cibersegurança ucranianos bloqueados a hospedagem de onde os ataques foram feitos, mas os invasores tendem a se mudar para as hospedagens de RF.
Hackers que atacam autoridades públicas na Ucrânia também atacam o membro da UE Estados
Foi repetidamente confirmado pela Equipe de Resposta a Emergências de Computadores da Ucrânia (CERT-UA), atuando no âmbito do SSSCIP.
Por exemplo, e-mails contendo links para arquivos RAR maliciosos com o nomes “Assistance.rar”, “Necessary_military_assistance.rar” foram enviados para o endereço de correio electrónico de uma das autoridades públicas letãs. Cada um daqueles arquivos continham arquivos de atalho maliciosos com nomes em inglês relacionados a a ajuda humanitária para o nosso país.
O ataque é atribuído ao grupo UAC-0010 (Armageddon), o mesmo grupo que enviou e-mails maliciosos às autoridades públicas ucranianas.
Hackers russos usam os dados obtidos através de e-mails de phishing para fazer mais ataques à infraestrutura de informação crítica
Ataques de phishing com o objetivo de roubar detalhes da conta do usuário fazem parte do guerra cibernética. Detalhes de conta de usuário roubados podem ser usados por hackers para fazer outros ataques com o objetivo de roubar informações públicas ou interferir com o funcionamento do sistema.
Por exemplo, durante o último ataque ao Ministério das Relações Exteriores, hackers usou as credenciais que supostamente foram roubadas durante o ataque de phishing.
CONCLUSÕES E RECOMENDAÇÕES
Tendo em conta a experiência adquirida pela Ucrânia na luta contra a guerra russa máquina, o SSSCIP está disposto a compartilhar suas recomendações com os estados que planejam fortalecer sua defesa contra a influência perniciosa da RF.
Invista nas defesas mais simples
Nos últimos anos, as técnicas de ataque cibernético mais populares da Rússia hackers militares incluíram:
- e-mails de phishing através dos quais eles podem obter credenciais para o acesso a sistemas de informação;
- disseminar malware com o objetivo de roubar dados ou destruir o a infraestrutura;
- usando vulnerabilidades conhecidas.
É possível prevenir esses ataques cibernéticos e minimizar seus riscos por meio de o cumprimento das regras de higiene cibernética, uma atitude responsável política de uso de senha e atualizações de software oportunas. Portanto, o mais alto nível de defesa é alcançado através do investimento nas defesas cibernéticas mais simples.
Identifique seus pontos fracos de defesa cibernética e fortaleça-os
Hackers estão continuamente realizando reconhecimento na Ucrânia. Se eles atacar você, eles encontrarão suas fraquezas e atacarão usando-as.
Não existem sistemas 100% protegidos. No entanto, quanto mais fácil for hackear seu sistema, maior será a motivação dos hackers. O mencionado conformidade com as regras de higiene cibernética aumenta a resiliência cibernética de instituições. Portanto, torna a vida mais difícil para os hackers.
Cada ucraniano está em risco
Durante o primeiro mês de guerra, a infraestrutura de informação crítica ucraniana conseguiu evitar danos. Isso prova tanto que nos tornamos mais fortes e que a capacidade dos hackers poderia ter sido superestimada. Parece que, tanto na guerra cibernética como na ação militar no terreno e na no ar, a Rússia usa muita força de baixa qualificação que não é capaz de infligir graves dano.
No entanto, tratamos a ameaça com a maior seriedade e esperamos provável escalada na frente cibernética.
Cada instituição tem que perceber que está em risco, pois os hackers russos atacam até mesmo pessoas comuns para roubar seus dados. Ele representa uma ameaça tanto para usuários comuns e funcionários de algumas instituições.
Os militares e os estadistas correm um risco particular. A higiene cibernética deve torne-se não. 1 hábito para essas pessoas.
A segurança física dos usuários críticos da infraestrutura de informações é tão importante como a protecção das suas contas
Como mostrou um dos recentes ataques cibernéticos, hackers russos podem usar as credenciais dos usuários que permanecem nos territórios temporariamente ocupados. As empresas, especialmente aquelas inseridas na infraestrutura crítica, têm que percebem que a segurança física de seus funcionários é, entre outros, um investimento em sua defesa cibernética.
Além disso, gostaríamos de lembrar que o SSSCIP State Cybersecurity Centro e a Equipe de Resposta a Emergências Informáticas da Ucrânia (CERT-UA), em conjunto com as equipas dos melhores especialistas em cibersegurança ucraniana empresas e os maiores produtores mundiais de soluções fornecem assistência abrangente no estabelecimento de defesa cibernética de vários níveis sistemas de infraestrutura de TI para instituições e organizações, independentemente da titularidade.
Todos nós devemos permanecer resilientes aos desafios externos, continuar fornecendo serviços às pessoas e garantir o funcionamento do negócio e da economia como um todo.
Tradução: Richard Guedes
Com informações de especialistas e analistas do Serviço Estadual de Especialidades – Comunicação e Proteção da Informação da Ucrânia
