I en ny rapport kartlägger Cisco Talos cyberkriget mot Ukraina och dess effekter på omvärlden.
Dagens krig förs inte bara på traditionella slagfält utan även i cyberrymden.
Både före och efter den ryska invasionen av Ukraina den 24 februari har landet utsatts för cyberattacker av en aldrig tidigare skådad mängd, slår Cisco Talos fast i rapporten 2022 Year in review, som släpptes i mitten av december.
Den globala cybersäkerhetsdiskussionen under året har haft starkt fokus på Ukraina, och rapporten går i detalj genom hur det digitala slagfältet sett ut under snart tio månaders krig.
Även om angriparna har ett gemensamt mål för sina attacker går det att notera stora skillnader, både när det gäller deras eget syfte och hur skickliga de är. Från upprepade sofistikerade angrepp på samhällskritisk infrastruktur eller militära mål för att direkt påverka Ukrainas försvars- och försörjningsförmåga, till opportunistiska bedragare som vill utnyttja osäkerheten för att lura individer på pengar eller stjäla kontouppgifter.
Bland de mer allvarliga hoten lyfter Cisco Talos fram hackergruppen Gamaredon som i rapporten pekas ut som sponsrad av ryska staten, och som fokuserar på informationsstöld med exempelvis försvaret, diplomatkåren och polisväsendet som återkommande måltavlor. Cisco Talos har också observerat brottslingar som erbjuder verktyg för att utföra cyberattacker mot ryska mål, där ”verktygen” i sig varit skadlig programvara.
Under de första månadernas krig minskade antalet cyberattacker i övriga världen påtagligt, enligt data från företagets incidentberedskap. Nedgången i aktivitet i övriga världen började i anslutning till krigsutbrottet i februari och nådde inte ”normala” nivåer förrän i juli.
”Även om det är omöjligt att slå fast en definitiv anledning, bedömer vi att kriget sannolikt spelade en nyckelroll. Många hotaktörer som traditionellt riktar in sig på måltavlor i många regioner och sektorer tycks ha flyttat fokus till proryska, eller, pro-ukrainska aktioner. Den bedömningen stöds också av variationen av hotaktörer och den förhöjda aktivitet vi ser i regionen”, skriver rapportförfattarna.
Ett undantag är systematiska DDoS-attacker där den direkta motiveringen är att ”bestraffa” länder och företag som uttrycker stöd för Ukraina, stöder landet med vapen eller inför sanktioner mot Ryssland.
Ett exempel är gruppen Killnet, som genomfört uppmärksammade attacker i en rad länder, bland annat mot Litauen i samband med att landet begränsade godstransporter över gränsen till Ryssland. Även exempelvis Norge och USA har drabbats av storskaliga attacker som tillskrivits Killnet.
Kriget har också bidragit till splittring och interna konflikter i cyberkriminella grupperingar. Den välkända ransomwareaktören Conti gick exempelvis ut och yttrade sitt stöd för Rysslands invasion, vilket ledde till att Ukraina-sympatisörer inom gruppen läckte information om deras tillvägagångssätt. Flera ransomwaregrupper har också drabbats av omfattande DDoS-attacker under augusti och september, vilket påverkat deras förmåga att själva genomföra attacker.
Så länge kriget fortsätter kommer cyberkriget också att göra det – och precis som cyberattackerna inleddes långt före invasionen kommer den digitala striden att fortsätta under överskådlig tid.
”Den förhöjda risken för cyberhot kommer sannolikt att kvarstå efter en eventuell vapenvila på det fysiska slagfältet”, konstaterar rapportförfattarna.