В першому півріччі 2024 році року спостерігається зміщення фокусу кібератак російських хакерів на все, що безпосередньо пов'язане з театром бойових дій та атаками на постачальників послуг. Про це йдеться в аналітичному звіті «російські кібероперації» H1 '2024, який підготували фахівці Держспецзв’язку.
Зокрема, у 2022 ворог робив акцент на операціях знищення ІТ інфраструктур організацій сектору критичної інфраструктури, а також отримання баз даних, списків. Також активно проводили кампанії проти медіа та комерційних організацій. Ворожі хакери йшли туди, де були очевидні недоліки, вразливості і можливості, якими вони могли легко скористатися.
У 2023 році їх стратегія поступово змістилася до закріплення і прихованого отримання інформації та використання кіберкомпоненту для отримання зворотного зв'язку про результати їхніх кінетичних уражень. ІТ показала себе як галузь, яка швидко відновлювалася після зламів та ставала сильнішою.
У 2024 році спостерігається зміщення фокусу атак на все, що безпосередньо пов'язане з театром бойових дій та атаками на постачальників послуг, з метою якомога довше залишатися непомітними, утримувати присутність в системах, які мають зв'язок з війною та державною діяльністю.
Наприклад, на початку першого півріччя 2024 року, як і в другому півріччі 2023 року, кібератаки з метою шпигунства мали вигляд таргетованих розсилок шкідливого програмного забезпечення. Також за H1 2024 ми фіксуємо значну активність 8 кластерів кіберзагроз, які відслідковуємо з початку цього чи кінця минулого року. Деякі з них відомі давно, але з тих чи інших причин ми не фіксували їх операцій протягом тривалого часу:
1. UAC-0184 (кібершпіонаж, рф)
2. UAC-0027 (кібершпіонаж, Китай)
3. UAC-0195 (викрадення акаунтів месенджерів)
4. UAC-0020 (кібершпіонаж, т.о. Луганськ)
5. UAC-0149 (кібершпіонаж, рф)
6. UAC-0188 (атаки на фінансові та страхові установи ЄС, США та України)
7. UAC-0063 (кібершпіонаж, можливо, підкластер UAC-0001)
8. UAC-0180 (кібершпіонаж) Кібершпигунство, збір даних, підготовка
На початку H1 2024 найбільше розсилок електронних листів зі шкідливим вкладенням було зафіксовано від російського хакерського угруповання UAC-0050. Фахівці фіксували до 5 таких інцидентів щотижня. Проте з березня ця активність знизилася, і вже в квітні не було зафіксовано жодної такої розсилки. У цей же період їм на заміну прийшли угруповання UAC-0149 та UAC-0184. Їх підхід більш витончений, атаки таргетовані на конкретних осіб Сил Оборони України.
Натомість атаки UAC-0010 ФСБ рф продовжуються з 2014 року і донині. Варто зазначити, що хакерські групи, які здійснюють атаки проти України в рамках так званої «СВО», щодо яких ще не здійснено підтверджену атрибуцію, можуть належати до кластерів загроз:
• росгвардія
• мвд рф
• спецзвʼязок фсо рф
• генштаб рф