Hybridné hrozby pre Slovensko zo strany Ruskej Federácie KGB agenta Putina. Posun Ruska k tajnejším operáciám znamená, že sa menej spolieha na techniky, ako je tradičný phishing a útoky odmietnutia služby. Namiesto toho sa zameriavame na pokročilejšie taktiky narušenia, ako je získavanie poverení, kompromisy v dodávateľskom reťazci a infiltrácia kritických platforiem poskytovateľov služieb. Hybridné hrozby na Slovensku.

Hybridné hrozby Ruska na Slovenskom Internete

Slovensko je zamorené ruskými dezinformačnými webstánkami napríklad rusko slovenskej spoločnosti určite pod záštitou ruského Sputniknews. Tito majú zase spústu trolov fo sociálonych médiach širiacich ruské dezinformácie pre neznalých, ale hlavne pre rusky hovoriacich SK občanov. Ruské občianstvo za ruský jazyk. Potom rusko skáče, že ohrozujú jeho občanov v zahraničí a to považujú na útok na seba. To sú dnešné ruské zákony aj o stratégii tzv. zelených mužíkov.

Rastúca technická vyspelosť Ruska je evidentná v jeho rastúcej závislosti od prispôsobeného malvéru namiesto nástrojov a programov zakúpených na čiernom trhu. Bezpečnostná firma Crowdstrike sledovala tento vývoj naprieč rôznymi ruskými skupinami a identifikovala, ako ruskí aktéri hrozieb vyvinuli vlastné zásuvné moduly pre komoditné malvérové produkty, ako je Black Energy, a potom prešli na vývoj celých rodín vlastného malvéru., vrátane Snake, Chinch, Skipper, Kazuar a Gayzer.

Nedávny vlastný malvér tiež ukázal pokročilú implementáciu kryptografických techník, ako aj antianalytickú ochranu, ktorá pomáha chrániť ho pred detekciou antivírusovým softvérom. Rusko pri navrhovaní a doručovaní malvéru obetiam využilo existujúce populárne platformy vrátane stránok sociálnych médií a prenosovej siete Tor . To naznačuje zvyšujúcu sa schopnosť a ochotu využívať širší online ekosystém v kybernetických operáciách.

Ruské kybernetické útoky

Ruské kybernetické útoky však naďalej využívajú nástroje s otvoreným zdrojom a komerčne dostupné nástroje, pričom nedávne varovanie ministerstva vnútornej bezpečnosti upozornilo na to, že SVR používa open source nástroj na ukladanie poverení Mimikatz a komerčne dostupný nástroj na využívanie Cobalt Strike.

Ako sa ruský malvér stáva čoraz zložitejším, tak aj zraniteľné miesta, ktoré je Rusko schopné využiť v počítačových systémoch obetí. Útoky NotPetya z roku 2017 sa skvele spoliehali na využitie zraniteľnosti EternalBlue v protokole Windows Server Message Block, ktorý vyvinula Národná bezpečnostná agentúra a potom v apríli 2017 unikol skupinou, ktorá sa nazýva Shadow Brokers. Rusko nielenže neidentifikovalo zraniteľnosť EternalBlue, ale nebolo ani prvé, kto túto zraniteľnosť zneužil – Severná Kórea spustila útoky WannaCry, ktoré využili rovnakú zraniteľnosť skôr v roku 2017, hoci neskoršie útoky NotPetya sa ukázali byť oveľa škodlivejšie.

Podobne aj pokusy Ruska kompromitovať počítačové siete v roku 2020 prostredníctvom infraštruktúry virtuálnych privátnych sietí (VPN)
používa skôr niektoré predtým identifikované a opravené zraniteľnosti než nové zraniteľnosti zero-day. Tento krok naznačuje, že Rusko nevenovalo značné zdroje na vývoj alebo nákup svojich vlastných zraniteľností a namiesto toho sa rozhodlo spoliehať sa vo veľkej miere na tie, ktoré už boli identifikované. Tento model v niektorých prípadoch obmedzil dosah ruských kybernetických útokov a možno čiastočne motivoval k prechodu na taktiku infiltrácie založenú na dodávateľskom reťazci a poskytovateľoch služieb, ktorá umožnila širší prístup k väčšiemu počtu obetí.

Rozšírenie dosahu, ako aj utajenia jeho aktivít v oblasti online narušenia, bolo ústrednou témou ruských kybernetických operácií v roku 2020, ktoré sa uskutočňovali najmä infiltrovaním tretích strán, a nie priamym zacielením na obete. Tieto prieniky tretích strán sťažujú odhalenie kompromisov pre narušené entity pretože sú zavedené prostredníctvom dôveryhodných zdrojov, ako je bezpečnostný panel spoločnosti alebo poskytovateľ e-mailu a umožňujú zamerať sa na oveľa viac obetí súčasne, a to prostredníctvom kompromitácie jedinej spoločnosti.

Vo svojej správe o globálnych hrozbách za rok 2021 Crowdstrike poznamenáva, že cielený malvér a phishingové kampane sa stali menej ústrednými súčasťami ruských kybernetických operácií. Podľa správy: „Zatiaľ čo rôzni ruskí protivníci naďalej používajú malvér ako súčasť svojich operačných nástrojov, stále viac sa snažia skrátiť tradičné operačné pracovné postupy a zamerať sa priamo na zhromažďovanie spravodajských informácií zo služieb tretích strán, ktoré využívajú ich ciele, vrátane priameho prístupu na cloudové sieťové zdroje, ako sú e-mailové servery.“

V máji 2021, šesť mesiacov po objavení SolarWinds, Microsoft oznámil , že identifikoval ďalšiu ruskú špionážnu kampaň, ktorá sa spoliehala na prístup k účtu Agentúry Spojených štátov pre medzinárodný rozvoj (USAID). Útok distribuoval phishingové e-maily na 3000 e-mailových účtov vo viac ako 150 rôznych vládnych agentúrach, think-tankoch, konzultantoch a mimovládnych organizáciách.

Na rozdiel od tradičných e-mailových phishingových útokov, ktoré sa spoliehajú na oklamanie príjemcu, aby uveril, že dostal e-mail od niekoho, koho poznajú alebo mu dôverujú na základe sfalšovanej alebo zavádzajúcej adresy odosielateľa, ruská kampaň, ktorú identifikoval Microsoft, využívala sprostredkovateľskú službu na e-mailový marketing s názvom Neustály kontakt. Táto taktika sťažuje príjemcom identifikáciu skutočného odosielateľa a ľahšie zamaskuje škodlivé odkazy a prílohy. Tak ako kompromis aktualizácie softvéru Orion od SolarWinds umožnil ruským protivníkom nepozorovane infiltrovať tisíce obetí, kompromis e-mailu Constant Contact umožnil podobne rozsiahle a skryté vniknutie spoliehaním sa na široko používanú službu tretej strany.

Rusko napríklad registruje názvy domén, ktoré sú veľmi blízke názvom legitímnych webových stránok, aby vytvorilo webové stránky na neoprávnené získavanie údajov. Prenajíma aj virtuálne privátne servery(VPS) na vykonávanie útokov sprejovaním hesiel, pri ktorých sa bežne používané heslá testujú na rôznych účtoch, aby sa zistilo, či niektoré z nich funguje. Keďže pokusy o prihlásenie z cudzích krajín sú často označené ako podozrivé, táto infraštruktúra sa vo všeobecnosti musí nachádzať v rovnakej krajine ako obeť, aby pokusy o prihlásenie zostali nerozpoznané. Department of Homeland Security uvedenéže túto lokálnu infraštruktúru VPS zvyčajne obstarávali zo siete predajcov VPS ruskí aktéri hrozieb, ktorí používali falošné identity.

Dočasné e-mailové účty a čísla Voice over IP (VoIP) spojené s týmito identitami bolo možné často vysledovať späť k malému počtu poskytovateľov a domén „infraštruktúry s nízkou reputáciou“, takže v týchto snahách existovali jasné a pretrvávajúce vzorce, dokonca aj keď technická implementácia kybernetických schopností Ruska sa rozširovali a vyvíjali.

Rastúci dôraz Ruska na skryté schopnosti v posledných rokoch si vyžiadal vývoj sofistikovanejších a nových kapacít prieniku, najmä tých, ktoré sú zamerané na kompromitovanie spoločností tretích strán, ktoré by sa potom mohli použiť ako platforma na infiltráciu iných obetí. Ruský vývoj technicky sofistikovanejších taktík a malvéru však zatiaľ nezodpovedá podobne pokročilému odhaľovaniu a využívaniu nových zraniteľností ani vybudovaniu robustnejšej základnej infraštruktúry pre tieto kompromisy.