Microsoft ostrzega przed atakami DDoS ze strony rosyjskiej

Microsoft ostrzegł Europę, aby była czujna na cyberataki z Rosji tej zimy, ponieważ seria potężnych ataków uderzyła w rosyjskie organizacje — w tym drugi co do wielkości bank w Rosji.

Kontrolowana przez rząd petersburska instytucja finansowa VTB ogłosiła we wtorek, że stanęła w obliczu „bezprecedensowego cyberataku z zagranicy” i dodała, że zalew DDoS był największy w historii banku.

„Analiza ataku DDoS wskazuje, że jest on zaplanowany i na dużą skalę” – powiedział bank w oświadczeniu przekazanym rosyjskim mediom. „Jego celem jest spowodowanie niedogodności dla klientów banku poprzez utrudnienie działania usług bankowych”. Podczas gdy „większość” ruchu zalewającego sieć pochodziła z „zagranicznych części internetu”, część pochodziła z rosyjskich adresów IP, co, jak zauważył bank, było „szczególnie niepokojące”. „Nie wykluczamy, że niektóre z tych rosyjskich adresów mogą być wśród uczestników ataku w wyniku cyber oszustwa” – powiedział VTB. „Wszystkie zidentyfikowane rosyjskie adresy IP zostaną przekazane organom ścigania w celu weryfikacji, ponieważ organizowanie i udział w ataku DDoS jest przestępstwem”.

Atak DDoS na infrastrukturę techniczną banku nastąpił po doniesieniach o rozmieszczeniu w ubiegłym tygodniu oprogramowania do wymazywania  (wiperów)danych na komputerach rosyjskich burmistrzów i sądów. Według doniesień lokalnych mediów, oprogramowanie to udaje ransomware, żąda pół miliona rubli i niezależnie od tego, czy organizacje zapłacą, czy nie, usuwa pliki.

Najnowsza runda ataków typu wiper i DDoS pojawia się w momencie, gdy Microsoft ostrzega, że Rosja prawdopodobnie rozszerzy swoje działania w ramach wojny hybrydowej poza Ukrainę, i sugeruje Europie, aby spojrzała na Polskę jako „zwiastun” tego, co ma nadejść. W październiku wspierany przez GRU Sandworm (Microsoft nazywa ten cybergang „Iridium”) wdrożył ransomware Prestige przeciwko sieciom logistycznym i transportowym w Polsce i na Ukrainie, oznaczając pierwszy związany z wojną cyberatak poza Ukrainą od czasu operacji przeciwko Viasatowi, która wyłączyła satelity klientów i wyłączyła zdalny monitoring 5800 turbin wiatrowych w Niemczech.

„Październikowe wydarzenie Prestige może reprezentować wymierną zmianę w rosyjskiej strategii cyberataków, odzwierciedlając gotowość Moskwy do użycia swojej broni cybernetycznej przeciwko organizacjom poza Ukrainą w celu wsparcia trwającej wojny” – zauważył Clint Watts, GM Centrum Analiz Zagrożeń Cyfrowych Microsoftu, dodając, że Kreml może wykorzystać tego typu ataki sponsorowane przez państwo do zakłócenia zagranicznych łańcuchów dostaw.

Kraje europejskie i Stany Zjednoczone powinny również przygotować się na więcej wspieranych przez Kreml operacji wpływu — żerowanie na obawach obywateli o rosnące ceny energii i inflację oraz forsowanie prorosyjskich narracji, napisał Watts.

„Rosja koncentruje i prawdopodobnie będzie nadal koncentrować te kampanie na Niemczech, kraju krytycznym dla utrzymania jedności Europy i domu dla dużej liczby rosyjskich obywateli, starając się wpłynąć na kierunek rozwoju wydarzeń by był korzystny dla Kremla” – argumentował. Podczas gdy Francja jest mniej podatna na kampanie dezinformacyjne związane z energią niż Niemcy czy Włochy, według Microsoftu, istnieje ryzyko, że Rosja będzie próbowała wykorzystać kampanie w mediach społecznościowych, aby wtrącić się w sprawy francuskie, bazując na swoich wcześniejszych działaniach.