Google, Amazon и Microsoft заявили, что хакеры из России и Беларуси непрерывно ддосят украинские сайты

Компании Google, Amazon и Microsoft рассказали, что в последние недели наблюдают «непрерывные» кибератаки со стороны России на Украину и ее европейских союзников. По данным IT-гигантов, атаки совершают хакерские группировки из России и Беларуси, в том числе известная FancyBear.  

Что известно

Группа анализа угроз Google, которая занимается ликвидацией хакеров и предупреждением о них пользователей, сообщила 7 марта в своем блоге, что в течение последних двух недель российское хакерское подразделение FancyBear, также известное как APT28, рассылает фишинговые электронные письма украинской медиакомпании UkrNet. 

Компании сообщили, что добывают информацию об угрозах безопасности благодаря с помощью массивных платформ для облачных вычислений, приложений, используемых многими правительствами и предприятиями, а также ряда решений по обеспечению безопасности. Вот какую информацию раскрыли в компании. 

Google

В Google заявили, что их группа анализа угроз (TAG) «наблюдала активность целого ряда угроз, которые в компании регулярно отслеживают и которые хорошо известны в правоохранительных органах». Среди них основных подозреваемых — хакеры из FancyBear/APT28, которые исследователи связывают с российским разведывательным управлением (ГРУ), и Ghostwriter/UNC1151, который исследователи связывают с министерством обороны Беларуси. 

«Их деятельность варьируется от шпионажа до фишинговых кампаний. Мы делимся этой информацией, чтобы помочь повысить осведомленность сообщества безопасности и пользователей с высоким риском», — сказал член команды анализа угроз Google Шейн Хантли. 

По данным аналитиков Google, FancyBear провела несколько крупных фишинговых кампаний, направленных на пользователей с адресом электронной почты ukr.net (от украинской медиакомпании UkrNet). Так, фишинговые письма отправляются с большого количества взломанных учетных записей (не-Gmail/Google) и содержат ссылки на контролируемые злоумышленниками домены. 

Ghostwriter/UNC1151 ранее обвиняли в фишинговых атаках, направленных на украинских военнослужащих. Однако, по словам Хантли, эта группа атаковала не только украинские правительственные и военные организации, но и отдельных лиц в польских вооруженных силах и правительстве. Вероятно, потому что Польша — член НАТО. 

Предполагается, что наряду с ukr.net фишинговые атаки UNC1151 были направлены и на других провайдеров электронной почты, чьи пользователи подверглись фишинговым атакам. Среди них: 

• i.ua;
• meta.ua;
• wp.pl;
• yandex.ru;
• rambler.ru.

В блоге Google также говорится, что атаки совершались против многочисленных украинских ресурсов, в том числе сайтов Министерства иностранных дел, Министерства внутренних дел, а также таких сервисов, как Liveuamap, который предназначен для помощи людям в поиске информации. 

Amazon

4 марта в своем блоге компания Amazon сообщила, что облачная платформа AWS тесно сотрудничает с украинскими клиентами и партнерами для обеспечения безопасности их приложений. Работа включает в себя: 

• помощь украинским клиентам в использовании передовых методов кибербезопасности;
• создание и предоставление технических услуг и инструментов клиентам в Украине;
• помощь в переносе локальной инфраструктуры на AWS для защиты от любых потенциальных физических или виртуальных атак.

Как сообщается, за последние две недели Amazon также обнаружил новые сигнатуры вредоносного ПО и активность ряда государственных субъектов, за которыми постоянно следит. Конкретные данные не были предоставлены, однако в компании заявили, что делится собранной информацией об угрозах с правительствами и IT-организациями в Европе, Северной Америке и других регионах. 

В частности, Amazon заявила, что наблюдала: 

• рост активности вредоносных государственных субъектов;
• более высокий темп работы других вредоносных субъектов;
• несколько ситуаций, когда вредоносные программы были специально нацелены на благотворительные, неправительственные и другие организации по оказанию помощи, чтобы «посеять смуту и вызвать сбой».

Представители  компании сообщили, что атаки в основном были нацелены на то, чтобы нарушить поставки медикаментов, продовольствия и одежды. 

Microsoft

Сообщение об атаках на украинские ресурсы подтвердили и в Microsoft.  Главный юрист и президент компании Брэд Смит в своем блоге от 28 февраля написал о кибератаках, которые направлены на гуманитарную помощь, службы экстренного реагирования, сельское хозяйство и энергетику. Правда, в Microsoft не предоставила более подробной информации. 

Смит отметил, что недавние кибератаки против гражданских объектов в Украине вызывают серьезные опасения в соответствии с Женевской конвенцией, ссылаясь на международный договор, определяющий то, что обычно называют «военным преступлением». 

Блог Смита стал третьим сообщением Microsoft на прошлой неделе, посвященным киберситуации в Украине. 2 марта Microsoft предупредила, что группа, стоящая за кибератаками HermeticWiper — серией атак вредоносных программ, уничтожающих данные, которые поразили множество украинских организаций 23 февраля -— остается постоянной угрозой. 

По оценке Microsoft, риск деструктивной активности со стороны этой группы сохраняется, поскольку после 23 февраля в компании наблюдали последующие вторжения с использованием этих вредоносных возможностей. 

После вторжения России в Украину 24 февраля российские и украинские хакеры обмениваются онлайновыми атаками, например, взломом правительственных сайтов. Украина публично призвала свое хакерское сообщество помочь защитить инфраструктуру и провести кибершпионские миссии против российских войск, создав IT-армию.