Руските киберпрестъпници и техните дейности срещу Запада, с кратък поглед върху Китай, Иран и Северна Корея
От началото на двадесет и първи век киберпространството се превърна в ново бойно поле между държавите. Русия, в частност, се разглежда от западните разузнавателни агенции и компаниите за киберсигурност като един от най-активните и напреднали участници в областта на кибероперациите. Освен това Китай, Иран и Северна Корея също играят значителна роля, всяка със своя собствена стратегия и цели.[1][2]
Руските кибердейности често се свързват с военното разузнаване ГРУ, външното разузнавателно бюро СВР и службата за сигурност ФСБ.[3] В анализи на компании за киберсигурност често се споменават групи като APT28, по-известна като Fancy Bear, и APT29, известна още като Cozy Bear.[4] Важно е да се отбележи, че тези имена не са избрани от самата Русия. Повечето имена на кибергрупи произхождат от международната общност за киберсигурност. APT означава: Advanced Persistent Threat- Усъвършенствана постоянна заплаха. И следва пореден номер на конкретната група за кибер престъпления. Изследователи от компании като Mandiant, CrowdStrike и Microsoft присвояват работни или кодови имена на новите групи, за да улеснят идентифицирането и разграничаването им.[5] В резултат на това една и съща група може да има различни имена. Например, APT29 е известна още като Cozy Bear и Midnight Blizzard.[6] Следователно тези имена са аналитични етикети, използвани от изследователите, а не официални имена на самите групи.
Руските кибероперации са насочени предимно към геополитическо влияние, шпионаж и саботаж. Кибератаките се разглеждат като част от хибридна война, където цифровите средства се комбинират с политическо влияние и информационна война.[7] Целта обикновено не е финансова печалба, а по-скоро получаване на стратегически предимства и подкопаване на противниците.
Един от най-известните примери за руска операция е атаката NotPetya от 2017 г. Този зловреден софтуер наподобява ransomware, но всъщност е предназначен да унищожи компютърните системи.[8] Атаката започва в Украйна, но в последствие се разпространява по целия свят, причинявайки щети за милиарди долари.[9] Атаките срещу украинската електропреносна мрежа през 2015 и 2016 г. също се приписват на руските престъпници.[10] Те успяват макар и временно да оставят стотици хиляди хора без ток, демонстрирайки за първи път, че кибератаките могат да имат преки последици върху физическата инфраструктура. Друг пример е операцията SolarWinds от 2020 г., при която хиляди организации, включително американски правителствени агенции и технологични компании, бяха шпионирани незабелязано за дълъг период от време.[11]
Характерно за руските кибероперации е тяхната дългосрочна подготовка, използването на съвременни техники и тясното преплитане между държавните служби и престъпните мрежи.[12] В резултат на това често е трудно да се направи разграничение между традиционен шпионаж, саботаж и киберпрестъпност.
Китай използва различна стратегия. Китайските кибероперации са насочени предимно към икономически, технологичен и индустриален шпионаж.[13] Групи, наричани от изследователите APT10 или APT41, често са свързани с китайското Министерство на държавната сигурност.[14] За разлика от Русия, Китай се фокусира по-малко върху унищожението и повече върху дългосрочното събиране на информация. Чрез атаки срещу компании, университети и доставчици на ИТ услуги, Китай се опитва да получи достъп до технологични знания и търговски тайни. Добре известен пример е кампанията Cloud Hopper, при която стотици компании по света бяха шпионирани чрез доставчици на ИТ услуги.[15]
Иран притежава по-малко ресурси от Русия или Китай, но използва кибератаки като инструмент в регионални конфликти.[16] Иранските групировки, наричани от изследователите APT33 и APT34, наред с други, са насочени предимно към енергийни компании, държавни институции и противници в Близкия изток.[17] Атаката на Shamoon срещу саудитската петролна компания Saudi Aramco през 2012 г. унищожи десетки хиляди компютри и се смята за един от най-известните примери за разрушителен зловреден софтуер.[18] Иранските операции често са насочени към разрушаване, влияние и политически опоненти.
Северна Корея заема уникална позиция. За разлика от Русия и Китай, страната използва кибероперации не само за шпионаж, но и като източник на приходи за режима.[19] Най-известната група, наречена от изследователите Lazarus Group, е държана отговорна за атаката с рансъмуер WannaCry през 2017 г. и за множество мащабни атаки срещу банки и крипто платформи.[20] Стотици милиони долари бяха откраднати при тези атаки. Следователно севернокорейските кибердейности са комбинация от държавни операции и финансови престъпления.
Voetnoten en bronnen
[1] Microsoft Digital Defense Report 2024.
[2] Mandiant M-Trends 2024 Special Report.
[3] U.S. Cybersecurity and Infrastructure Security Agency (CISA), Russian State-Sponsored Cyber Actors.
[4] CrowdStrike, Global Threat Report.
[5] Mandiant, APT Naming Methodology.
[6] Microsoft Threat Intelligence, Midnight Blizzard (APT29).
[7] NATO Cooperative Cyber Defence Centre of Excellence (CCDCOE), Cyber and Hybrid Warfare Studies.
[8] Wired, Andy Greenberg, The Untold Story of NotPetya.
[9] U.S. Department of Justice, Russian Military Officers Charged in NotPetya Attacks.
[10] SANS Institute & ESET, BlackEnergy and Ukraine Power Grid Attacks.
[11] CISA, FBI, NSA & ODNI, Joint Statement on the SolarWinds Compromise, 2021.
[12] Royal United Services Institute (RUSI), Russian Cyber Operations.
[13] Microsoft Digital Defense Report 2024.
[14] U.S. Department of Justice, Chinese MSS-linked Hackers and APT10.
[15] PwC & BAE Systems, Operation Cloud Hopper.
[16] Center for Strategic and International Studies (CSIS), Significant Cyber Incidents.
[17] FireEye/Mandiant, APT33 and APT34 Reports.
[18] Symantec, Shamoon: The Wiper Malware Attacks.
[19] U.S. Department of the Treasury, North Korean Cyber-enabled Activities.
[20] FBI, NSA en CISA Joint Advisory on Lazarus Group and WannaCry.
[21] International Institute for Strategic Studies (IISS), Cyber Capabilities and National Power.
Всички изображения са от доклада на Майкрософт за 2024г. Microsoft Digital Defense Report 2024