Anne Neuberger, zastępca doradcy ds. bezpieczeństwa narodowego ds. cyberbezpieczeństwa, przyznała, że „obecnie nie ma żadnych konkretnych wiarygodnych zagrożeń dla Stanów Zjednoczonych”, kontynuowała jednak, że „pracujemy z sektorem prywatnym, angażując się, dzieląc się konkretnymi informacjami, prosząc o podjęcie działań w celu zmniejszenia ryzyka cyberbezpieczeństwa ich organizacji i zapewniając bardzo konkretne porady, jak to zrobić”. Te słowa padły 2 lutego podczas briefingu dla mediów. Neuberger mówiła wówcza o ciągłej obecności rosyjskich zagrożeń cybernetycznych dla Ukrainy i nie tylko. Neuberger była jednoznaczna: „Ostrzegaliśmy od tygodni i miesięcy, zarówno publicznie jak i prywatnie, że cyberataki mogą być częścią szeroko zakrojonych rosyjskich wysiłków mających na celu destabilizację i dalszą inwazję na Ukrainę. Rosjanie używali cyberprzestrzeni jako kluczowego komponentu projekcji siły w ciągu ostatniej dekady, w tym wcześniej na Ukrainie, w ramach czasowych 2015 roku”.

Mniej więcej w tym samym czasie analitycy zagrożeń z Jednostki 42 firmy Palo Alto Networks opublikowali informację o wykryciu ataków „Gamaredona” (a.k.a. Armageddon, Primitive Bear, Shuckworm, and ACTINIUM) na jeden z zachodnich podmiotów rządowych (nie został bliżej zidentyfikowany) na Ukrainie. Na marginesie: Gamaredon został zidentyfikowany w listopadzie 2021 r. przez Służbę Bezpieczeństwa Ukrainy (SSU) jako kierowany przez pięciu rosyjskich funkcjonariuszy Federalnej Służby Bezpieczeństwa (FSB), działających pod auspicjami Centrum Bezpieczeństwa Informacyjnego FSB z biur zlokalizowanych na okupowanym przez Rosję Krymie.

Zobacz również:

• Rzecznik Mety skazany przez rosyjski sąd na sześć lat więzienia
• Sztuczna inteligencja pomoże ukraińskim saperom rozbrajać miny
• Pishing metodą na e-TOLL. MF i KAS ostrzegają przed próbą wyłudzenia

W listopadzie SSU podkreśliło, że 5 000 ataków Gamaredona zostało zainicjowanych w celu:

• Przejęcia kontroli nad obiektami infrastruktury krytycznej (elektrownie, systemy zaopatrzenia w ciepło i wodę).

• Pozyskiwania danych, w tym kradzież i gromadzenie informacji wywiadowczych, w tym informacji o ograniczonym dostępie (związanych z sektorem bezpieczeństwa i obrony, agencjami rządowymi).

• Uzyskania wpływu informacyjnego i psychologicznego.

• Blokowania systemów informacyjnych.

Raport techniczny SSU na temat ataków Gamaredon szczegółowo opisuje powstanie grupy, jak również jej drogę od niejasności do realnego zagrożenia dla infrastruktury narodowej i wiarygodnego zagrożenia w działaniach ofensywnych cyberwywiadu.

Raport Jednostki 42 podkreśla wysiłki grupy Gamaredon w celu wykorzystania wyjątkowego zapotrzebowania na personel na Ukrainie przez zachodnią jednostkę rządową. Grupa przesłała życiorys kandydata w formacie Word. Gamaredon postawił na to, że CV załadowane przez „kandydata” nie zostanie poddane takiej samej kontroli, jaką otrzymywały wiadomości phishingowe grupy. Raport powołuje się również na raport estońskiego CERT-u z 27 stycznia 2021 r. dotyczący Gamaredona, w którym zauważono, że od 2020 r. grupa Gamaredon celuje w państwa Unii Europejskiej, wykorzystując techniki spear-phishingu (to metoda cyberataku, którą hakerzy wykorzystują do wykradania poufnych informacji lub instalowania złośliwego oprogramowania na urządzeniach konkretnych ofiar).

Tymczasem zespół Threat Hunter Team firmy Symantec opublikował 31 stycznia 2022 r. własne badania, w których zauważa, że Shuckworm specjalizuje się w „cyberszpiegostwie”, co jest zgodne z ustaleniami SSU z listopada 2021 r. Raport Threat Hunter Team zawiera interesujące studium przypadku łańcucha ataku Gamaredona, który rozpoczął się od złośliwego dokumentu. Ramy czasowe studium przypadku obejmują okres od 14 lipca do 18 sierpnia 2021 roku.

Niedługo potem, 4 lutego, Microsoft Threat Intelligence Center i Digital Security Unit podzieliły się informacjami na temat zagrożenia stwarzanego przez grupę ACTINIUM, która od dziesięciu lat celuje w Ukrainę. W raporcie podkreślono, że celem tej grupy jest rząd, wojsko, organizacje pozarządowe, sądownictwo, organy ścigania i organizacje non-profit. Ustalenia Microsoftu odzwierciedlają ustalenia innych analityków, że wysiłki grupy skupiają się na pozyskiwaniu poufnych informacji, zdobyciu przyczółka dla trwałego dostępu.

Neuberger podsumowała, że Stany Zjednoczone współpracują z UE i NATO w celu „zwiększenia odporności narodowej i sojuszniczej w cyberprzestrzeni”. Podkreśliła, że wysiłki Stanów Zjednoczonych mają na celu zapewnienie planów awaryjnych związanych z cyberprzestrzenią, aby „koordynować i wspierać Ukrainę i siebie nawzajem w przypadku wystąpienia takich incydentów.... Współpracujemy z sektorem prywatnym, angażując się, dzieląc się konkretnymi informacjami, prosząc, aby działali w celu zmniejszenia ryzyka cyberbezpieczeństwa ich organizacji i zapewniając bardzo konkretne porady, jak to zrobić”.

W związku z powyższym i wraz ze wzrostem napięcia na Ukrainie, 9 lutego władze ds. cyberbezpieczeństwa w Stanach Zjednoczonych, Australii i Wielkiej Brytanii wydały wspólne zalecenie dotyczące zwiększonego zglobalizowanego zagrożenia ransomware (Alert (AA22-040A)). Ostrzeżenie podkreśla wyraźny wzrost liczby incydentów ransomware w 14 z 16 sektorów infrastruktury krytycznej w USA.

David Klein, ewangelista cybernetyczny w Cymulate, skomentował: „Ten alert z różnych poleceń cybernetycznych powinien zostać wzięty pod uwagę przez CISO jako świadomość, że ofensywna i destrukcyjna działalność USA przeciwko przestępcom ransomware spowodowała, że niektóre organizacje przestępcze odwróciły uwagę od celów „dużej gry”i przeszły do łatwiejszych celów średniej wielkości. W obecnej klimacie oczywiste jest, że rozmiar nie jest wyznacznikiem bycia celem.

O Autorze

Christopher Burgess przez ponad 30 lat służył w Centralnej Agencji Wywiadowczej (CIA). Jest współautorem książki “Secrets Stolen, Fortunes Lost, Preventing Intellectual Property Theft and Economic Espionage in the 21st Century”.

Źródło: CSO