Використання кіберзброї у війні Росії з Україною поки що було обмеженим. Протягом 6 місяців після вторгнення Росії в Україну, кібервійна стала важливим інструментом супроводження бойових дій у фізичному просторі. Станом на початок вересня 2022 року у кібервійні в Україні взяли участь щонайменше 76 кіберугруповань. Спостерігаються постійні російські кібератаки, спрямовані на українських громадян, підприємства та критичну інфраструктуру. У той же час спостерігається безпрецедентна кількість атак, спрямованих на російські корпорації та уряд. Ландшафт кіберзагроз, динамічний та швидко змінюється, але існують також деякі спільні тактики, прийоми та процедури, які використовуються російськими суб’єктами кіберзагроз.
До вторгнення, Росія майже не була в цільових списках програм-вимагачів. Зараз ситуація змінилася, і сьогодні кіберзлочинці зосереджують свої зусилля більше на Росії, ніж на інших країнах світу. Причини цього включають зростання кількості активістів програм-вимагачів, які протестують проти війни, і загальну відсутність міжнародного бажання зупиняти кібератаки, націлені на Росію. У той же час посилення міжнародних санкцій ускладнює здатність для компаній у США та Європі платити російськомовним кіберугрупованням програм-вимагачів, що призвело до незначного зниження кількості атак програм-вимагачів у США та Європі. Хоча було кілька резонансних атак, загальний обсяг виявлення програм-вимагачів зменшився на 4% з липня 2021 року по березень 2022 року. На сьогоднішній день єдиними значущими складними кіберопераціями Росії були кібератаки на супутникову мережу Viasat, урядову систему України (спроби встановити зловмисне програмне забезпечення для знищення даних) та атаки на українські телекомунікаційні компанії.
Відомі атаки включають атаки кіберугруповання Conti (53% щоденних виявлень) та LockBit (швидко займає своє місце як одне з найдосвідченіших кіберугруповань програм-вимагачів). Інші атаки включають низку злочинних і фінансованих Росією державних атак на українські організації. Існують великі кіберугруповання програм-вимагачів, які зберігають вірність російському уряду та націлюються на підприємства та уряди по всьому світу.
Спостерігається помітне зростання активності російських кіберакторів, спрямованих на уряди за межами України, зокрема в кампаніях кібершпигунства. Кібероперації спрямовані на збір розвідданих про західних союзників, які допомагають Україні у військових діях. З початку війни встановлено спроби вторгнення російських хакерів в мережу 128 різних цілей у 42 країнах за межами України. За останні 6 місяців спостерігається постійна кількість атак з боку російськомовних кіберугруповань програм-вимагачів, причому зловмисники відкрито присягають на вірність Росії. Ці атаки здебільшого спрямовані проти компаній США та Європи, головними цілями яких є приватні підприємства. У США атаки, як правило, зосереджені на великих багатомільярдних компаніях, які не вважаються критичною інфраструктурою. Це свідчить про обережність російських кіберзлочинців, щоб зруйнувати важливі цілі, не викликаючи відповіді, яка могла б призвести до відкритої війни. Європейські компанії в галузях відновлюваної та альтернативної енергетики піддаються нападу для ускладнення можливості переходу цих країн від російської нафти до більш чистих джерел енергії.
Німеччина, друга після Китаю найбільший імпортер російської нафти, стала особливою мішенню для російської кібердіяльності. На початку війни німецька компанія Enercon спостерігала, як 5800 вітрових турбін, якими вона керує через канал SATCOM у Центральній Європі, втратили зв’язок зі своїм сервером SCADA. За останні 6 місяців відбулося ще щонайменше 2 помітні кібератаки на німецькі вітроенергетичні компанії. Були також напади на виробника вітрових турбін Nordex і компанію з обслуговування вітряних електростанцій Deutsche Windtechnik.
Однією з помітних тенденцій стало різке зростання використання шкідливого програмного забезпечення Wiper російськими загрозливими суб’єктами. На відміну від програм-вимагачів, інструмент не має фінансової складової, але спеціально розроблений для знищення даних і систем. Цей тип атак зараз явно відроджується, оскільки РФ за останні 6 місяців застосовує більш цілеспрямований підхід до зловмисного програмного забезпечення.
Росія вже використовувала програмне забезпечення Wiper, останній раз під час атаки NotPetya 2017 року. У грудні 2016 року українці стали жертвами першої в історії кібератаки з використанням програмного забезпечення, спеціально розробленого для атаки на електромережі. Встановлено, що зловмисне програмне забезпечення пов’язане з російською групою APT Sandworm і називається Industroyer. Дослідники відзначили, що зловмисне програмне забезпечення було “другим після Stuxnet” у своїй витонченості. До квітня 2022 року Industroyer пролежав у бездіяльному стані.
Окрім використання зловмисного програмного забезпечення, Росія окремо зосереджується на розгортанні свого “суверенного” Інтернету — абсолютно незалежної, ізольованої, тоталітарної мережі. Національні держави все більше об’єднуються за ідеологічними принципами, винаходячи нові способи ізоляції свого інтернет-простору. Це, у свою чергу, визначає більш чіткі бойові лінії, ніж будь-коли раніше існували в кіберпросторі. Це має кілька потенційних наслідків для кіберактивності:
1. Буде важче отримати розвідувальні дані про Росію. Вдавшись до більш радикальних заходів для досягнення цієї мети можна потенційно спричинити супутні збитки.
2. Російські кіберзлочинці можуть завдати більше шкоди, почуваючись у безпеці за стіною ізольованого Інтернету.
3. Є потенціал для майбутньої “співпраці” між російським, північнокорейським і китайським Інтернетом, що збільшить кількість загроз та здатність здійснювати атаки.
Повністю незалежна російська технологічна інфраструктура забезпечить ще більш руйнівні атаки єдиної точки відмови (SpoF).
Російські передові постійні суб’єкти загроз APT використовують бажаний набір технологій як початкові вектори входу в мережу. Встановлено принаймні 12 технологій, які російські APT зазвичай використовують для отримання початкового доступу: CISCO ROUTER, ORACLE WEBLOGIC SERVER, FORTIGATE VPNS, KIBANA, ZIMBRA SOFTWARE, EXIM MAIL PROTOCOL, PULSE SECURE, CITRIX, MICROSOFT EXCHANGE, VMWARE, ORACLE WEBLOGIC, BIG-IP. Аналіз провідних російськомовних кіберугруповань програм-вимагачів показує й використання певних тактик, прийомів і процедур, яким вони зараз віддають перевагу.
Обмін розвідувальною інформацією та обізнаність про ситуацію в кіберпросторі виявилися життєво важливими до та під час війни в Україні, але майбутня ефективність стратегій по стримуванню та пом’якшенню кібератак залежатиме від готовності країн-партнерів України надавати своєчасну та дієву розвідувальну інформацію.
У тій мірі, в якій кібератаки завдали шкоди Україні, можна виділити наступні уроки:
1. Так звані російські “інформаційні війська”, які деякі експерти вважали за рівнем підготовки та оснащення приблизно еквівалентними кіберкомандуванню США, насправді виявилися оптимізованими та придатними більше для ведення інформаційно-психологічних операцій (пропаганди), ніж для проведення успішних та масштабних наступальних чи оборонних дій.
2. Кіберпростір, як п’ятий вимір (сфера) збройного конфлікту, є сферою, штучно сформованою діяльністю людини. Засоби як кібер-, так і радіоелектронної боротьби потребують постійного коригування в ході ведення бойових дій в залежності від розвитку ситуації. Кіберзброя потребує постійного випробування, перевірки, налаштування та оптимізації для її вдалого розгортання та подальшого ведення війни в кіберпросторі.
3. Радіоелектронна боротьба (придушення сигналів) та радіопеленгація дедалі більше набирають значення, оскільки збройний конфлікт перейшов у звичайну затяжну війну. Важливо, щоб кібероперації разом з радіоелектронною війною були інтегровані в операції загального збройного типу, щоб забезпечити збройним силам швидкість і релевантність на полі бою. Наразі, як РЕБ, РЕР, так і проведення атак в кіберпросторі відіграють важливу роль у бойових діях в Україні.
4. Кібер- та радіоелектронні атаки, є більш помітними в зоні без активних бойових дій. Коли зона переходить в активний домен ведення бойових дій, вони залишаються корисними, але більше не відіграють центральної ролі. Ефективне поєднання РЕБ, РЕР та кіберзброї з дальнім точним вогнем є найбільш ефективним застосуванням спроможностей збройних сил.
Кібероперації Росії в Україні не змогли досягти своїх цілей. Підготовка, планування та інтеграція кібероперацій з іншими способами атак дозволяє досягти максимального ефекту. Кіберугруповання програм-вимагачів, лояльні до Росії, продовжуватимуть атакувати підприємства, тоді як спонсоровані державою кіберзлочинці зосередяться на державних установах. У випадку перемир’я, кібер- та дезінформаційні операції Росії будуть одним із небагатьох доступних для Росії шляхів завдати шкоди Україні за межею прямого зіткнення.