В нескольких словах
После оказания Испанией поддержки Украине, российские хакерские группы усилили кибератаки на испанские правительственные и корпоративные сайты. Атаки, в основном типа DDoS, являются частью «гибридной войны» и могут быть предвестником более серьезных угроз, включая кибершпионаж. Эксперты предупреждают, что DDoS-атаки могут использоваться для маскировки более опасных операций, таких как кража данных и внедрение вредоносного ПО.
Президент правительства Испании Педро Санчес встретился в Киеве со своим украинским коллегой 24 февраля.
Там он объявил о помощи в размере 1 миллиарда евро ежегодно в течение десяти лет для поддержки военных усилий страны. Через два дня после встречи началась кампания кибератак на испанские институциональные и корпоративные цели, которая продолжается до сих пор. Ответственность за атаки взяли на себя группы российских хакеров, и они являются частью того, что Санчес назвал гибридной войной, которую Москва ведет против стран ЕС. «Этими атаками мы хотим сказать испанскому правительству (sic), чтобы оно прекратило поддерживать Украину. Если этого не произойдет (sic), мы перейдем к правительственным сайтам. А также к крупным компаниям», — опубликовала группа российских хакеров TwoNet в Telegram-канале 3 марта.
Среди жертв, которые подтвердили факт атак или чьи взломы были идентифицированы хакерским сообществом, числятся городские советы, советы провинций, советы автономных сообществ и министерства, такие как Министерство внутренних дел, обороны, иностранных дел или интеграции, социального обеспечения и миграции. Национальный криптологический центр (CCN-CERT), Генеральный штаб обороны (EMAD) и Департамент национальной безопасности также подверглись атакам, как и Ла Монклоа, Королевский дом, фонды, такие как Королевский институт Элькано или Cidob, компании, такие как El Corte Inglés или Legálitas, и СМИ, такие как Newtral.
Смешение целей не случайно: сочетаются атаки на предположительно слабозащищенные системы, такие как системы городских советов или провинциальных советов, с атаками на наиболее представительные институты суверенной власти (Монклоа, оборона, внутренние дела или CCN). «Эти кибератаки направлены на привлечение внимания и создание ощущения, что мы беззащитны», — утверждает Марселино Мадригал, эксперт по сетям и кибербезопасности.
Подробнее
Большинство кибератак, зарегистрированных за последние три недели (по крайней мере, 70, согласно источникам), являются распределенными атаками типа «отказ в обслуживании» (DDoS), которые заключаются в перегрузке систем путем бомбардировки серверов лавиной запросов. «Как только они падают, злоумышленники делают скриншот в качестве доказательства своего успеха и выставляют его как трофей», — отмечает Эрве Ламберт, директор по глобальным операциям Panda Security.
Этот тип кибератак, имеющий очень низкую техническую сложность, приводит к прерыванию работы целевых систем, но не стирает данные. «В целом, мы наблюдали кратковременные и непродолжительные перебои, которые не имели длительных последствий для работы», — отмечают источники в Национальном институте кибербезопасности (Incibe). Автономные или скоординированные группы? По меньшей мере семь хакерских групп, связанных с Россией, были идентифицированы как авторы кампании кибератак. Среди наиболее активных — TwoNet и NoName057, но также участвовали и другие, такие как People's Cyber Army of Russia, Cyber Army of Russia Reborn, KillNet и Z-Pentest. «Хотя это нельзя подтвердить с уверенностью, они, вероятно, так или иначе связаны с российским правительством и его интересами», — уверяет Хосе Роселл, генеральный директор S2Grupo. Практически невозможно установить происхождение кибератаки, если тот, кто ее совершает, обладает достаточными техническими знаниями и хочет остаться незамеченным. Вот почему многие правительства неофициально прибегают к киберпространству для проведения диверсионных действий.
Мало что известно о российских хакерских командах, участвующих в кампании против Испании, помимо их самопровозглашенной приверженности общему делу (защите интересов России) и того, что они общаются друг с другом через Telegram, популярное приложение для обмена мгновенными сообщениями российского происхождения. Они используют этот канал для распространения своих заявлений и указания целей через призывы, к которым могут присоединиться автономные хакеры. Они действуют с начала войны, хотя в последние недели заметно активизировались. «Не стоит преувеличивать значение этих атак, которые являются скорее рутинными. У них сильный пропагандистский компонент», — сообщили этой газете источники в CCN-CERT.
Любопытно, что к этим группам российских хакеров присоединились другие группы различного происхождения, такие как Mr Hamza из Алжира; исламистская хактивистская группа из Малайзии, Dxploit, или антиизраильская группа Dark Storm, которая на этой неделе взяла на себя ответственность за кибератаку, затронувшую X. «Меня удивляет, что Dark Storm активизировала свою деятельность в Испании на прошлой неделе, как раз в то время, когда это делают российские группы. Очень сложно сказать, является ли это совпадением, оппортунизмом или координацией», — говорит Давид Арройо Гуарденьо, главный исследователь группы кибербезопасности и защиты конфиденциальности CSIC.
К этому коктейлю следует добавить пророссийские группы, расположенные в Испании, которые распространяют заявления хакеров и поддерживают их работу. «Есть много каналов пророссийской дезинформации, которые являются теми же самыми, что объявляют себя противниками повестки дня 2030, участвовали в тракторных протестах или распространяли антивакцинную пропаганду во время пандемии. Кажется очевидным, что это постоянные ячейки, которые стремятся создать шум и дестабилизировать правительство», — предполагает Мадригал.
Гибридная война
«DDoS-атаки раздражают, но не наносят большого ущерба», — отмечает Мадригал. И добавляет: «Эти кампании также используются для зондирования уровня безопасности жертвы с прицелом на будущие атаки». Это именно одна из неизвестных, окружающих кибератаки, от которых страдает Испания: будет ли их интенсивность уменьшаться со временем или они являются предвестником чего-то большего, что еще впереди. Сосредоточившись в последние дни на аргументации того, почему Испания должна увеличить военные расходы, президент правительства вписал эту кампанию в так называемую гибридную войну, которую Москва ведет против большей части ЕС. «На прошлой неделе у нас была кибератака, которая пришла из России», — признал президент в среду в Хельсинки после встречи со своим финским коллегой Петтери Орпо. «Важно вступить в основополагающие дебаты [об увеличении военных расходов]», — сказал он.
«DDoS-атаки иногда используются в качестве дымовой завесы, чтобы скрыть более вредоносные операции», — добавляет Ламберт. «Отвлекая внимание технических специалистов на устранение видимого сбоя, злоумышленники могут воспользоваться этим отвлечением, чтобы проникнуть другим путем, украсть конфиденциальные данные или внедрить вредоносное ПО [вредоносный код], не будучи обнаруженными».
Эта вторая, более сложная задача, ложится на плечи другого типа хакеров: так называемых продвинутых постоянных угроз (APT), команд, спонсируемых государствами, состоящих из профессионалов с возможностями, эквивалентными возможностям секретных служб. «Россия располагает высокотехнологичными группами военного кибершпионажа, такими как APT28 (Fancy Bear) и APT29 (Cozy Bear) – СВР, внешней разведки, – которые действовали против испанских целей», — добавляет Ламберт. Этот эксперт напоминает, что в 2023 году APT28 обвинялась в проведении фишинговых кампаний (подмена личности с помощью мошеннических сообщений) против компаний испанской оборонной промышленности, таких как Navantia, с целью кражи учетных данных и конфиденциальных технологических данных. Та же группа, согласно сообщениям CNI, в том же году атаковала внутренние сети испанских министерств. Со своей стороны, APT29 также удалось в 2023 году получить доступ к облачным сервисам испанского государственного сектора через скомпрометированные электронные письма, отправленные из посольств.
«Недавние DDoS-атаки в Испании были в основном актом кибервойны низкого уровня и ограниченного воздействия, в качестве видимого возмездия за поддержку Украины. Однако их не следует воспринимать легкомысленно: помимо своего пропагандистского и кратковременного разрушительного эффекта, они могут быть верхушкой айсберга более широкой стратегии», — считает Ламберт.
