När ryska styrkor började invadera Ukraina den 24 februari 2022 förväntade sig många att cyberattacker skulle spela en viktig roll i kriget. Men medan Ryssland har en lång historia av att rikta in sig på Ukraina med cyberattacker, har det ännu inte lanserat en framgångsrik storskalig cyberattack riktad mot Ukrainas kritiska infrastruktur sedan kriget startade. I stället verkar det som om Rysslands cyberattacker främst används för att sprida desinformation.
Vissa experter anser att landets cyberkapacitet, precis som Rysslands militära makt, har överskattats, vilket kan förklara varför Ryssland har misslyckats med att genomföra framgångsrika cyberattacker mot Ukraina sedan den fullskaliga invasionen inleddes. Rysslands tidigare attacker och åtgärder har dock visat att hotet inte bör tas lättvindigt. Dessutom är några av de mest ökända cyberbrottsligorna kända för att verka från Ryssland, och vissa har sedan dess förklarat lojalitet mot Ryssland. Det är inte oväntat med tanke på att många av dessa ligor sponsras av staten.
Men ett stort antal hackergrupper har också ställt sig på Ukrainas sida. Hackerkollektivet Anonymous har förklarat krig mot Rysslands president Putin och har sedan dess genomfört flera framgångsrika cyberattacker. Ukraina har också skapat en egen IT-armé bestående av proffs från hela världen.
Rysslands tidigare cyberattacker mot Ukraina
Under de första dagarna av kriget mellan Ryssland och Ukraina utförde Ryssland flera cyberattacker riktade mot Ukrainas kritiska infrastruktur, särskilt landets elnät. I december 2015 utförde hackergruppen Sandworm den första framgångsrika elnätsattacken när den använde BlackEnergy-trojanen för att attackera Ukrainas energiföretag som ger energi till regionerna Kiev, Ivano-Frankivsk och Chernivtsi. Omkring 230 000 konsumenter hade ingen ström på 1-6 timmar. Attacken tillskrevs Sandworm (Unit 74455), en påstådd rysk cybermilitär enhet. Man tror att företagsnätverket ursprungligen komprometterades med spear-phishing-e-postmeddelanden med BlackEnergy-skadlig programvara.
Attacken mot Ukrainas elnät 2015 är den första lyckade attacken av detta slag, men man tror att Ukraina var ett specialfall och vissa omständigheter tillät attacken att ske. Det hävdades att det attackerade elnätet byggdes medan Ukraina var en del av Sovjetunionen och uppgraderades med ryska delar, vilket innebär att ryska angripare var mycket bekanta med elnätet och programvaran. Dessutom utfördes attacken under julhelgen, och inte många arbetare var närvarande.
Ett år senare, den 17 december 2016, attackerades Ukrainas elnät igen. Industroyer är skadlig programvara som tros ha använts under attacken. Det anses vara den första kända skadliga programvaran som specifikt gjorts för att attackera elnät. Ukrainas huvudstad Kiev stängdes av från makten i en timme. Attacken tros allmänt ha varit ett storskaligt test.
Under 2017 utsattes olika ukrainska organisationer (banker, ministerier, tidningar, elföretag och många andra) för en serie cyberattacker med petya-skadlig programvara. Petya är skadlig programvara som krypterar filer och tros drivas av Sandworm hackergruppen. Den skadliga programvaran skadade permanent viktiga filer på infekterade datorer, vilket indikerar att attackerna var avsedda att lamslå den ukrainska staten snarare än att tjäna pengar. Attacken utfördes under en helgdag, vilket innebar att många kontor stängdes, vilket gjorde att skadlig programvara kunde spridas mer allmänt. Bland de drabbade systemen fanns strålövervakningssystemet vid Ukrainas kärnkraftverk i Tjernobyl.
Den 14 januari 2022 drabbades ett 70-tal ukrainska regeringswebbplatser av en massiv cyberattack. Bland de drabbade fanns officiella webbplatser för utrikesministeriet, ministerkabinettet och säkerhets- och försvarsrådet. Hackade webbplatser visade en text på ukrainska, polska och ryska som säger att medborgarnas personuppgifter har laddats upp till det offentliga nätverket. Bilder av den överkorsade ukrainska flaggan, Ukrainas karta och symbolen för den ukrainska rebellarmén visades också. Webbplatser som visar bilderna togs ner och togs tillbaka online inom några timmar. UNC11151, en hackergrupp associerad med vitrysk underrättelsetjänst, tros ligga bakom attacken. Cyberattacken kom vid en tidpunkt då spänningarna mellan Ryssland och Ukraina var höga, med över 100 000 ryska trupper stationerade nära gränsen. En dryg månad senare inledde ryska styrkor en storskalig invasion av Ukraina.
Den 12 april 2022 bekräftade ukrainska tjänstemän att de förhindrade en rysk cyberattack på Ukraine’s power grid . Om det hade varit framgångsrikt skulle över två miljoner människor ha förlorat makten. Men medan Ukraina kunde förhindra denna attack, anses den ha varit mycket sofistikerad, vilket väcker rädsla för att Ryssland kan börja öka sin användning av cybervapen. Kiev har skyllt attacken på Sandworm.
Anonym meddelar krig mot Putin
Hackergruppen Anonymous har aktivt utfört cyberattacker mot Ryssland. Hacktivistkollektivet har förklarat ett ”cyberkrig” mot Rysslands president Putin och har hittills utfört många cyberattacker. Två dagar efter att Rysslands militära styrkor började invadera Ukraina genomförde Anonymous en cyberattack mot Rysslands tv-nätverk. Gruppen kunde avbryta normal programmering och visa bilder av det krig som Ryssland orsakat sina medborgare. Enligt Anonymous visades bilderna i 12 minuter.
Sedan, i början av mars, meddelade gruppen att de hade tagit över mer än 400 ryska kameror och delat flödet på sin webbplats. Kameraflödet hade också överlagrat texter med meddelanden om de grymheter som Ryssland försöker dölja för sina medborgare. Den 23 mars tillkännagav hacktivistgruppen ett hack på Rysslands centralbank av sin affiliate-grupp och läckte 28 GB information. Enligt those vem som har tittat igenom den enorma mängden läckt information innehåller datadumpen fakturor, intern kommunikation, dokument, pm, kontoutdrag, namn och adresser till högprofilerade kunder etc.
Den 3 april meddelade Anonymous att gruppen har förvärvat personuppgifter om 120 000 ryska soldater. Twitter-meddelandet innehåller också en länk till informationen. Den läckta informationen innehåller födelsedatum, adresser, passnummer och enhetstillhörighet.
”Alla soldater som deltar i invasionen av Ukraina bör utsättas för en krigsförbrytartribunal”, står det i hacktivistgruppen Twitter announcement .
Anonyma associerade gruppen Network Battalion 65 har också meddelat en läcka av 900 000 e-postmeddelanden från All-Russia State Television and Radio Broadcasting Company (VGTRK), Rysslands största statliga medieföretag. VGTRK (eller RTR) har varit verksamt sedan 1990 och kontrollerar fem nationella TV-kanaler, fem radiostationer, två internationella nätverk och över 80 regionala TV- och radionät. Enligt Daily Dot , täcker e-postmeddelandena mer än 20 års kommunikation och inkluderar e-postmeddelanden från cirka 250 inkorgar, samt diskuterar frågor relaterade till daglig verksamhet och till och med internationella sanktioner mot Ryssland.
It-armén i Ukraina
Den 26 februari 2022 tillkännagav Ukrainas Mykhailo Fedorov vice premiärminister att Ukrainas IT-armé skulle inrättas av frivilliga som skulle strida på cyberfronten. Detta är utan tvekan den största ansträngningen av den ukrainska regeringen för att samordna hackare från hela världen. Mål publiceras ofta på speciella Telegram-kanaler med hundratusentals hackare som sedan fortsätter att starta cyberattacker på de angivna målen. Hittills är Ukrainas IT-armé ansvarig för att utföra attacker mot ryska banker, det ryska elnätet / järnvägssystemen, liksom många DDoS-attacker.
Malware gäng sida med Ryssland
Ett av de första cyberbrottsligorna som ställde sig på Rysslands sida var Conti Ransomware-gänget. Medlemmar av gänget gick till och med så långt som att hota med vedergällning mot alla cyberattacker riktade mot Ryssland. Conti Ransomware-gänget är ett av de mest framgångsrika gängen i drift idag och fungerar på samma sätt som legitima företag (vanliga löner, fem dagars arbetsvecka, kontor etc.). Ligan tros ha utpressat åtminstone $180 million från offer 2021. Conti Ransomware-gänget är känt för att rikta in sig på hälso- och sjukvårdssektorn. Medan ransomware-gänget har visat stöd för Ryssland, tror man inte att det finns några formella band mellan det och den ryska regeringen.
Cyberbrottslingar bakom Conti tillkännagav ursprungligen fullt stöd från den ryska regeringen men inte långt efter att ha släppt ett modifierat uttalande där de hävdar att de fördömer kriget men hotar med vedergällning om attacker mot rysk kritisk infrastruktur gjordes. Strax därefter läckte en påstådd ukrainsk säkerhetsforskare Contis chat logs . Chattloggarna visar att åsikterna om kriget skiljer sig åt mellan medlemmarna i Conti. Det visar också hur ransomware-gruppen fungerar som en organisation och hur offer väljs.
Många andra cyberbrottsgrupper har också valt sides . Men medan grupper som Sandworm är kända för att vara anslutna och förvaltas i viss utsträckning av den ryska regeringen, är många andra grupper som står på Rysslands sida oberoende. Det är inte omöjligt att dessa grupper kan starta attacker riktade mot Ukraina eller dess allierades kritiska infrastruktur med liten förståelse för vad deras handlingar kan innebära.
Rysslands desinformationsattacker
Även om Ryssland inte är främmande för desinformationsattacker är omfattningen av den nuvarande strömmen av falsk information från Ryssland häpnadsväckande. Rysslands desinformation sprider full kraft, med sociala medieplattformar, forum och till och med nyhetsbyråer som kämpar för att hänga med. Från påståenden om att USA hade ett biologiskt vapenlabb i Ukraina till uttalanden om att offren för massakern i Bucha var aktörer, gör illvilliga aktörer bakom sådana kampanjer sitt bästa för att få Ryssland att framstå som offer för ett krig som det startade.
Desinformation kommer från alla håll, den ryska regeringen, ryska troll och vanliga användare i Ryssland. Och det påverkar inte bara människor som bor i Ryssland, falska berättelser som drivs av denna farliga propagandamaskin når människor över hela världen. Omfattningen av dessa attacker har visat sig vara svår att hantera för sociala medieplattformar som misslyckas med att ta bort desinformation innan den sprids för brett. Plattformar som YouTube och Facebook har fått kritik för hur de hanterar desinformationsattacker, med mycket av kritiken fokuserad på deras oförmåga att helt ta bort falsk information. Men även om den falska information som Ryssland driver ofta är för löjlig för att ta på allvar, gör den sitt jobb med att ytterligare övertyga människor som redan står på Rysslands sida.
Desinformation i Ryssland är en särskilt stor fråga. Med plattformar som TikTok som begränsar deras närvaro i Ryssland, den ryska regeringen blockerar plattformar som Instagram och oberoende ryska nyhetsplattformar som stängs ner, är ryska medborgare särskilt mottagliga för desinformation om Rysslands roll och dess brott i det nuvarande Ryssland-Ukraina kriget. Den ryska staten har monopol på informationen i landet, vilket gör det möjligt för den att sprida falska berättelser och skylla krigets skuld på Ukraina och västländer.
Bedragare vill dra nytta av människor som donerar till Ukraina
Till ingens förvåning började bedragare dra nytta av människor som vill donera pengar för att stödja Ukraina. Skadliga aktörer från olika länder har lanserat spamkampanjer som riktar sig till personer som vill donera till Ukraina. Användare kan stöta på dessa bedrägerier i e-postmeddelanden och på sociala medier. Spamkampanjerna använder ofta namn på legitima organisationer / institutioner som Ukrainas centralbank för att lura användare. Vissa kampanjer har till och med länkar som leder till legitima kampanjer men ger felaktiga bankkonton eller ber om att göra donationer i kryptovalutor. Dessa bluffkampanjer var särskilt vanliga under den första veckan av Rysslands invasion av Ukraina eftersom många människor rusade för att donera pengar. Hur framgångsrika dessa bluffkampanjer är är diskutabelt men användare bör inte släppa garden.
Människor bör vara mycket försiktiga när de donerar pengar till välgörenhetsorganisationer och organisationer, särskilt nu. Om inte personer prenumererar på någon organisation och har gått med på att ta emot e-postmeddelanden kommer de inte att få e-postmeddelanden som ber om donationer. Innan du gör någon form av donation är det viktigt att människor undersöker organisationen / välgörenheten och ser till att pengarna faktiskt skulle nå de behövande.