Російсько-українська війна: Операції в кіберпросторі (2022-2024)

Резюме
Росія проводить інформаційні операції поряд зі своїми звичайними військовими операціями у війні з Україною. Ці операції включають психологічні операції, кібервійну та кампанії дезінформації з використанням соціальних мереж, телекомунікацій, засобів масової інформації та Інтернету. Росія розглядає кіберпростір як частину ширшого інформаційного середовища, яке необхідно контролювати, щоб отримати інформаційну перевагу. Він реорганізував свої кіберпідрозділи в сили інформаційних операцій, здатні підтримувати інформаційну діяльність у кіберпросторі, і включив групи хактивістів для посилення своїх технічних можливостей і проведення операцій впливу. Операції Росії включають початкове проникнення в мережу, атаки зловмисного програмного забезпечення для видалення даних, DDoS-атаки, пошкодження веб-сайтів і дезінформацію, спрямовану на російську, українську, європейську та американську аудиторію.
В загальному
У російсько-українській війні, яка триває, Росія паралельно зі звичайними операціями проводить комплекс інформаційних операцій, які включають психологічні операції, операції з кібервійни та операції з дезінформації. У цьому типі операцій соціальні медіа, телекомунікації, ЗМІ та інтернет-провайдери відіграють важливу роль як у поширенні інформації про війну, так і у формуванні громадської думки.
Що стосується цифрової перспективи конфлікту, його умовно можна охарактеризувати як гібридний конфлікт високої інтенсивності в кіберпросторі, а краще – у ширшому єдиному інформаційному середовищі, частиною якого вважаються і кіберпростір, і електромагнітне поле.
Аналіз
На російську стратегію в ширшому інформаційному середовищі вплинуло бачення генерала Герасимова³, оскільки воно було сформоване еволюцією режиму конфлікту на початку 2000-х років між гібридними конфліктами та розмитою тонкою лінією між війною та миром. Нова перспектива конфлікту визнає, що:

• Форма воєн змінюється, і нова тенденція вимагає посилення впливу на громадську думку та цивільних важелів тиску.
• Знання інформаційного середовища та кіберпростору з технічної та тактичної точок зору, а також їх використання як важеля впливу сьогодні є фундаментальними та необхідними.
  Росія

Росія говорить не про кібербезпеку, а про інформаційну війну.
На що вказує еволюція російського бачення конфлікту та розмивання
просторово-часові межі між миром і війною, а також еволюцію сучасних конфліктів у бік гібридизації між традиційними та нетрадиційними важелями влади, російські еліти бачать кіберпростір як частину ширшого інформаційного середовища, у якому слід набувати та підтримувати інформаційну перевагу.
Тому вони створили власну концепцію того, що на Заході називають «кібербезпека» під назвою «інформаційна безпека». Мабуть, така ж логіка переноситься з боку оборони на сторону наступу, де вони посилаються на «інформаційну війну» замість кіберконфлікту. Російське визначення включає, крім бачення класичної кібербезпеки, психологічний і когнітивний вимір, який за допомогою технічних засобів може зробити можливим контроль інформаційного середовища.
Інформаційне середовище — це не транзитний простір, а простір, який потрібно контролювати в довгостроковій перспективі, оскільки це гнучкий простір, який дозволяє впливати під час миру та домінувати під час війни. Російське Міністерство

Захист:
«…Інформаційна війна — протистояння двох або більше держав в інформаційному середовищі, спрямоване на завдання шкоди інформаційним системам, процесам і ресурсам, критичним та іншим структурам, підрив політичної, економічної та соціальної систем, масове психологічне маніпулювання населенням з метою дестабілізації суспільства і держави, а також примушування держав приймати рішення в інтересах протилежної сторони…».
Враховуючи вищезазначене нове розуміння, Росія зробила наступні основні кроки: • Реорганізувала (кількісно, якісно, інституційно) свої кіберпідрозділи в сили інформаційних операцій, здатні підтримувати низку інформаційних дій у кіберпросторі.
Включив у своє оперативне планування приватні групи (групи хактивістів) для вдосконалення технічних можливостей у сфері кіберпростору та вирішення таких проблем, як визначення відповідальності за атаки на політичні цілі чи інші країни за межами України.

Типовим прикладом є мережа KillNet, яка складається з кількох кібергруп хактивістів однакової спрямованості та має на меті:

• Публічність, що дозволяє їм вести війну впливу, спрямовану на моральний стан європейського населення.
• Зміцнення іміджу про те, що Росія може втрутитися навіть там, де не має військ.
• Зміцнення переконання, що європейські уряди не здатні захистити свою інфраструктуру та громадян на всіх фронтах і в усіх сферах.
• Приховуючи через оприлюднення, дії груп проникнення становлять довгострокові загрози (Advanced Persistent Threats-APT).
• Збагатив свій арсенал новими видами передової кіберзброї (програми для видалення, програми-вимагачі тощо), які неможливо виявити та здатні створювати серйозні проблеми для опонентів.

Образ дії

Росія планує, проводить і координує наступні операції в рамках оновленого плану інформаційних операцій на базі кіберпространства, спрямованого на отримання інформаційної переваги в ширшому інформаційному середовищі:

• Початкові контактні операції з об’єктами всередині та за межами України з метою прихованого проникнення в інформаційні системи з метою їх наступної атаки та знищення або тривалого шпигунства та збору розвідувальної інформації.
• Цілеспрямовані атаки (переважно в межах України) з використанням зловмисного програмного забезпечення для видалення даних (зловмисне програмне забезпечення типу wiper), з метою знищення цільових інформаційних систем та створення відчуття збентеження та дезорієнтації у осіб, які приймають рішення.
• Розподілені атаки типу «відмова в обслуговуванні» (DDoS), з прямим ефектом переривання (на певний час) пропонованих послуг веб-сайту та опосередкованим створенням відповідних психологічних ефектів (страх, недовіра тощо) у вибраних аудиторіях. Атаки цього типу мають на меті моральний вплив, намагаючись створити та підтримувати відчуття незахищеності щодо систем та інфраструктури серед цільових груп населення, дозволяючи підтримувати тривалий соціально-політичний тиск за низькі витрати поряд із політичним чи військовим конфліктом. Це також дає політичну перевагу (система «важеля переваг»), проводячи агресивні операції у відповідь без дипломатичного чи військового залучення держави, яка організовує нападників.
• Спроби змінити вміст веб-сайтів (дефеймінг), з прямим ефектом зміни їхнього вмісту та опосередковано дезорієнтації та дезінформації їхньої аудиторії.
  Кампанії дезінформації, націлені на різні аудиторії:
• Російське населення, спрямоване на підтримку та підтримку війни.
• Підірвати віру українського населення в спроможність України протистояти російській агресії.
• Європейська та американська громадськість має поставити під сумнів єдність Заходу проти Росії та важливість підтримки України та вирішення внутрішніх проблем.
• Збір розвідданих через мережі проникнення та націлювання на уряди за межами України, які входять до коаліції країн, що його підтримують. Основною ціллю є державні установи, за якими йдуть НУО (або гуманітарні групи, які займаються наданням допомоги цивільному населенню, або аналітичні центри, що надають консультації щодо зовнішньої політики). Згодом кілька компаній у таких критичних секторах, як енергетика, оборона чи ІТ, постраждали від російського кібершпигунства, спрямованого на підтримку її військових зусиль.
• Операції впливу, значна частина яких здійснюється через Інтернет і соціальні медіа (SMS), які регулярно посилюються завдяки зв’язкам, встановленим між кібер-групами та групами хакерів у ширшому інформаційному середовищі. Нова тактика реалізується в конкретні кроки:
  По-перше, російські групи впливу намагаються використовувати процес перевірки фактів як зброю, щоб мати можливість поширювати наративи Кремля.
  По-друге, проросійські групи постійно поширюють інформацію нібито з
  витоки в Інтернеті, спрямовані на політиків і уряди, які підтримують Україну. По-третє, російський уряд та пов’язані з ним структури часто організовують прес-тури окупованою Україною, щоб отримати висвітлення міжнародної комунікації дружніх ЗМІ та сприяти досягненню комунікаційних цілей.
  По-четверте, окрім операцій, націлених на Молдову, Росія продовжує свої операції впливу в українському регіоні та по всій Європі, щоб збільшити розкол аудиторії, дискредитувати проукраїнське керівництво та просувати проросійські мережі в цих регіонах.

Країни, на які спрямовані російські кібератаки всередині та за межами України:

• Урядові сайти.
• Медіа-сайти.
• Банківська система та фінансові установи.
• Військова інфраструктура
• Критична інфраструктура: енергетика, водопостачання, транспорт.
• Супутниковий зв’язок.

УКРАЇНА

Хоча Україна має обмежені можливості для контратак у кіберпросторі, вона намагалася зміцнити свій кіберзахист за допомогою таких дій:

• Реорганізація та модернізація державних служб кібербезпеки.
• Формування ІТ-«армії» за участю міжнародних волонтерів.
• Залучення всієї української кіберспільноти до кіберзахисту країни.
• Партнерство державного та приватного секторів.
• Зовнішня допомога, яка включає:
• Обмін інформацією про кіберзагрози.
  。 Направлення ЄС та дружніми країнами команд для боротьби з кіберінцидентами. Участь зовнішніх гібридних акторів (хактивістів) у кіберопераціях проти Росії.
  У відповідь на російські атаки Україна запустила велику кількість атак на відмову в обслуговуванні (DDoS), а також атак на видалення даних. Цілі включають об’єкти російського уряду, інформаційні системи великих російських медіакомпаній, фінансові установи, оборонні об’єкти, електромережі та залізниці.
  У рамках кіберконтратак незалежні хакери з усього світу перехопили та викрили російські урядові та фінансові дані, такі як електронні листи, інформацію, пов’язану з банківською діяльністю, виробництвом енергії та пропагандистською діяльністю, а також секретні деталі щодо російського ED та дії агентів Федеральної служби безпеки (ФСБ). Ця конфіденційна інформація потім передається світовим активістам як спосіб покарання Росії за її злочини в Україні.
  Побічним ефектом останніх дій хакерів є їхній успіх у нанесенні хаосу російському кібернетичному простору
  систем і руйнує уявлення про неприступність кіберзахисту Росії.
  Європейський Союз
  У своїй резолюції від 1 березня 2022 року Європейський парламент закликав до негайного та повного виконання всіх рішень, які покращать внесок ЄС у зміцнення обороноздатності України, включно з кібербезпекою. Крім того, парламент закликав ЄС, НАТО та інших партнерів-однодумців активізувати допомогу Україні в кіберсфері, одночасно закликаючи до повної активації режиму кіберсанкцій ЄС проти осіб, організацій та органів, відповідальних або причетних до в кібератаках проти України.

Дії ЄС можна підсумувати таким чином:

• Підвищення стійкості комунікаційної інфраструктури. Підтримка роботи телекомунікаційних послуг України має вирішальне значення для забезпечення нормального функціонування українського уряду, а також для пом’якшення гуманітарної кризи.
• Заборонити російську пропаганду у війні проти України. Боротьба з військовою пропагандою та дезінформацією є особливо актуальною проблемою у війні Росії
• Зміцнення інструментарію ЄС для боротьби з дезінформацією. Вже є пропозиції щодо збільшення фінансування Task Force East StratCom та розширення системи раннього попередження ЄС про дезінформацію, щоб охопити Україну та інші зацікавлені сторони.
• Підтримати боротьбу України з кіберзагрозами. Для цього була розгорнута група кібершвидкого реагування експертів ЄС.
• Посилення можливостей ЄС у сфері кібербезпеки. Було оголошено про подальші ініціативи щодо забезпечення стійкості європейської електронної комунікаційної інфраструктури та мереж, включаючи розширення співпраці на операційному рівні, майбутній закон про кібервідмовостійкість і створення резервного фонду для кібербезпеки.
• Обмежити доступ Росії до технологій подвійного призначення. Санкції ЄС, ухвалені 25 лютого 2022 року, насамперед покликані обмежити доступ Росії до критично важливих передових технологій. Технології подвійного призначення, зокрема ті, які можна використовувати як у мирних, так і у військових цілях, наприклад напівпровідники чи передові технології, технології радіозв’язку та криптоактиви, не можна продавати чи іншим чином надавати для використання в Росії чи російській організації.

КИТАЙ
Наразі відомо, що китайські хакери здійснюють кібератаки проти України, але можна лише припускати, чи мали ці (атаки) якусь державну підтримку. Також відомо, що китайські хакери, користуючись нинішнім конфліктом, проводять кібероперації і проти Росії.

Двосторонні відносини між Китаєм і Росією в більш широкому інформаційному середовищі і особливо в сфері кіберпростору реалізуються в двох операційних осях:

• Проведення кібератак (атак) до та під час російсько-українського конфлікту.
• Подвоєння зусиль наведення та проникнення як на українські, так і на російські цілі.

Ключові моменти-Висновки-Уроки
Ризики латералізації та поширення.
Взаємозв’язаність інформаційних систем та залучення до кібероперацій незалежних хакерських кібергруп, які практично не контролюються державою, підвищує ризики поширення кібератак або їх результатів за межі України.
Загроза кібератак на європейській території має два аспекти:
По-перше, атаки на українські мережі можуть поширитися на європейські мережі.
По-друге, Росія може почати прямі атаки на європейські цілі через свої розвідувальні служби або групи кіберзлочинців, щоб перешкодити діям Заходу в українській кризі.
Великі атаки та конфлікт високої інтенсивності
У разі ескалації застосованих засобів і радикалізації конфлікту інтенсивність бізнесу в ширшому інформаційному середовищі і зокрема в кіберпросторі також може зрости, тому важливо, перш за все, повернутися до характеристик, які він володіє та дозволяє за певних умов пропонувати рішення там, де звичайні засоби можуть бути обмежені.
Питання попереднього позиціонування
При розробці вірогідних сценаріїв питання попередження є важливим, оскільки це дозволяє Росії визначити точне місце для нападу на організацію, таким чином максимізуючи тактичні та стратегічні результати. Щоб запобігти ефективному попередньому розміщенню російських акторів на українських системах, США проводять оборонні ударні дії, щоб вивести з ладу наступальні можливості російської загрози, які вже скомпрометували українську інфраструктуру.
Зловмисне програмне забезпечення як послуга (MAAS)
Слід зазначити, що сьогодні кіберзброї не обов’язково проходити всі етапи виробництва, оскільки в останні роки майже все доступно як «як послуга». В останні роки з’явилася можливість придбання «зловмисного програмного забезпечення як послуги» (MaaS-Malware-as-a-Service) або «кіберзлочинності як послуги» (CaaS- Cybercrime-as-a-Service).
Контроль і керування шкідливою мережею як послуга. Команда та керування як послуга (C2aaS)
Послуги «Контроль шкідливої мережі» (C2aaS-C2 як послуга) стають все більш доступними на ринку. Ці служби створені, щоб дати технічно недосвідченим гравцям з невеликими ресурсами можливість запускати переважно розподілені кібератаки типу «відмова в обслуговуванні» (DDoS). Така послуга пропонує цілу групу шкідливих комп’ютерів (ботів) для використання в атаках (DDoS). Ці можливості свідчать про те, що кількість кіберакторів у російсько-українському конфлікті може зрости разом із можливостями цих недорогих послуг.
Хакер на наймі
(Hacker for Hire або hacker-for-hire proxy або Hacker as a Service-Haas)
Вибір Росії використовувати для досягнення своїх тактичних і стратегічних цілей найнятих хакерів дозволяє їй підтримувати високий рівень відмови від відповідальності за свої дії.
Ризик ескалації конфлікту в космічній сфері
Супутникова інфраструктура є важливою системою у воєнний час, оскільки вона забезпечує координацію
наземні війська за допомогою зображень і телекомунікацій, у цьому світлі порушення супутникової інфраструктури супротивника під час операцій дозволяє отримати значні тактичні переваги у військовій сфері. Росія має засоби протикосмічної або протисупутникової АСАТ, як кінетичні (наприклад, ракети, лазерні системи тощо), так і некінетичні (США, кіберзброя), здатні завдавати фізичних і віртуальних оборотних і цілеспрямованих ушкоджень, що ускладнює атрибуцію .
Військове керівництво Росії розглядає кіберзброю як заміну та/або доповнення до зброї радіоелектронної боротьби, маючи на увазі її можливе спільне використання в операції (операція США може передувати кібератаці на систему, засновану на космосі, і навпаки.

Військовий сектор
Основні спостереження та висновки
Кібератаки здатні порушити системи командування та управління (C2C), які є критично важливими для координації та проведення військових операцій. Зловмисники мають можливість проникнути в такі системи та втручатися в комунікації, щоб порушити процес прийняття рішень. Кібератаки на військовий сектор можуть призвести до викриття скоординованих сил, витоку військового трафіку та/або даних про заплановані наступальні/оборонні дії, що робить захист військового сектору критично важливим для захисту особового складу, обладнання та отримання/підтримки переваги проти ворог.
Військовий кіберпростір України — це поле битви високої інтенсивності з постійними загрозами та атаками, що походять від різних суб’єктів і з різних країн, здебільшого спрямованих на викрадення даних, шпигунство та знищення активів з метою створення негайного та опосередкованого впливу на здатність Здатність України боротися.

України довелося значно прискорити розвиток та зміцнення своїх кібер -можливостей у військовому секторі з новими можливостями, які модернізують “традиційні” рішення кібер -оборони:

• Окремий підрозділ у військовій структурі, що відповідає за кібер -захист, здатний проводити діяльність з придбання розвідки, кібер -операції, кібер -інформаційні операції.
• Встановіть механізм залучення необхідної кількості експертів для відбиття кібер -агресії. Можливість швидко створювати нові безпечні канали зв’язку, програмні рішення.
• Швидко досліджувати нові загрози, надавати результати досліджень організаціям з кібербезпеки, а також створювати, переглядати та редагувати плани реагування на інциденти.
  Налагодження постійного зв’язку з іноземними партнерами як військовими, так і комерційними секторах.
• Адаптація систем кіберзахисту, що швидко розвиваються, до існуючого законодавства та регуляторних директив.
• Хоча це не стосується кіберзахисту, у разі військового конфлікту чи стихійного лиха рекомендується швидке розгортання веж зв’язку GSM/4G. Це самохідні (генераторні) вежі зв’язку, встановлені на транспортних засобах, які охоплюють місця, які страждають від перебоїв з електропостачанням, і забезпечують передачу голосу та даних через супутник або лінію прямої видимості та можуть покривати радіус дії 3-6 км.

Цифрові послуги на підтримку військових зусиль
Традиційні канали зв’язку та інформації (телебачення, радіо, новини тощо) все ще важливі, але не дозволяють швидко попереджати про небезпечні події, такі як авіаудари чи артилерійські удари, стихійні лиха та кіберзагрози.
Також існує значна потреба у різного роду зворотному зв’язку з населенням, наприклад, інформація про військові частини противника на окупованих територіях, пошкоджену критичну інфраструктуру тощо. Мобільний інтернет, різноманітні системи месенджерів, спеціальні мобільні додатки – це деякі сучасні цифрові сервіси. хто може найкраще виконувати цю роль.
З іншого боку, запровадження цифрових сервісів підвищує ризик кіберзагроз як для самих сервісів, так і для їх користувачів.
Україна продемонструвала досвід широкого використання цифрових технологій для забезпечення стабільного зв’язку населення з органами державного управління та навпаки в кризовий період.
Методи зв’язку демонструють важливість постійного доступу населення до послуг зв’язку та Інтернету, а також інформування всіх громадян про будь-які потенційні загрози, таким чином дозволяючи їм допомагати збройним силам у виявленні ворога.
Кожна країна чи альянс повинні розглянути наявність добре розробленої, перевіреної та надійної системи зв’язку з громадськістю та раннього попередження.
Варто також зазначити, що окремої системи недостатньо в сучасному складному комунікаційному ландшафті, і з цієї причини органи державної безпеки та державні урядові установи повинні підтримувати присутність в Інтернеті в таких мережах, як Signal, Telegram, Twitter та інших. Ключовим моментом є те, що облікові записи на таких платформах мають бути перевіреними та надійними. Довіра та конфіденційність у таких облікових записах мають бути на високому рівні, щоб уникнути видавання себе за іншу особу чи дезінформації.
Загальні висновки
Використання кіберпростору як поля для проведення операцій фактично вперше почалося в 2007 році з кібератак в Естонії, продовжилося з атаками в Грузії в 2008 році, де кібератаки та операції кібервпливу використовувалися поряд зі звичайними операціями.
Повна інтеграція таких операцій у всі військові зусилля відбулася під час війни в Україні, де кібероперації відігравали і продовжують відігравати важливу роль ще до початку звичайних операцій, підриваючи наступальні та оборонні можливості супротивника, тим самим впливаючи на його моральний стан. Дії в кіберпросторі з боку Росії мали своєю основною метою підтримку звичайних, переважно наземних операцій, а також створення відповідного психологічного впливу на конкретні цільові аудиторії.
Згідно зі статистичним звітом Державного центру кіберзахисту України, у 2022 році кіберінцидентів сталося у 2,8 рази більше, ніж у 2021 році. Кількість кіберінцидентів, пов’язаних із поширенням шкідливого програмного забезпечення, та відновленням інформації зросла у 18,3 та 2,2 рази відповідно.
Кількість виявлених інцидентів, пов’язаних з Росією, зросла на 26%. У 2022 році було виявлено та офіційно розслідувано 2194 кібератаки (1655 станом на лютий 2022 року).
Агресивні кібероперації Росії разом із радіоелектронною боротьбою не змогли порушити систему командування та управління (C2) України та її критичну приватну та державну інфраструктуру протягом тривалого періоду часу. Україні за допомогою приватних компаній і західних урядів вдалося не тільки пом’якшити більшість кібератак на свою інфраструктуру, але й розвинути власні наступальні кіберпотенціали.
Найбільшу кіберзагрозу для України становлять хакерські угруповання, пов’язані з ФСБ, ГРУ та СВР. Меншою мірою загрозу становлять також фінансово вмотивовані хакерські групи та проросійські хактивістські групи. Найбільш активними хакерськими групами є Sandworm, APT28, EmberBear, Turla, Gamaredon, Calisto та APT29, а найактивнішими проросійськими хакерськими групами є KillNet, NoName057, Народна кіберармія, Xaknet Team і RaHDit.
Знахідки в полі (кіберпростір)
Два роки війни в Україні дали кілька висновків щодо використання кіберпотужностей під час звичайних конфліктів:
Росія розвинула та вичерпала свої початкові кіберспроможності незадовго до та під час вторгнення 24 лютого 2022 року. Російські кібероперації були спрямовані на підрив військових операцій України, економічного та урядового секторів, отримання доступу до критичної інфраструктури, а також на заборону громадськості доступу до інформації. Багато атак були спрямовані на критично важливу інфраструктуру України з метою порушити її роботу.

• Російські кібератаки не створили серйозної довгострокової проблеми в критичній інфраструктурі України.
• Росіяни зосереджені в основному на атаках розподіленої відмови в обслуговуванні (DDoS), операціях з пропаганди та наклепу та фішингових операціях. Відтак Україна приділяє більше уваги специфіці таких атак.
• Росія намагається знайти нових союзників, щоб допомогти їй у її кібер/військових операціях, які потенційно завдадуть більшої шкоди, оскільки вона намагається досягти своїх цілей, можливо звернувшись до Китаю, який сподівається взяти активну участь у геополітичній ситуації в Європі.
• Майже напевно, що суб’єкти кіберзагрози, які спонсоруються російською державою, продовжуватимуть свою діяльність для досягнення стратегічних і тактичних цілей російської армії в Україні.
• Незважаючи на те, що російська кібер-діяльність зосереджена в основному на цілях в Україні, існує висока ймовірність того, що атаки будуть передані-розширені (розповсюджені) на Європу та країни, які підтримують Україну.
• З огляду на те, що Росія зосереджена на знищенні або створенні серйозної проблеми в критичній інфраструктурі України, можна з упевненістю припустити, що кібероперації застосовуються і будуть використовуватися в майбутньому в рамках міжгалузевого планування операцій на підтримку звичайних операцій мобільної війни.

Решта статті була заблокована. Щоб продовжити читання, увійдіть.