”Ryska hackare har övat cyberkrig på Ukraina i åratal”

2022-02-24 12:59  
Det första kända exemplet, Operation Armageddon, var en storskalig spionkampanj riktad mot Ukrainas civila myndigheter och militär som tros ha inletts under 2013, skriver Simon Campanello. Foto: TT

Efter nattens invasion av Ukraina kan vi konstatera att cyberkrig enligt alla definitioner är verklighet. Ryska hackare har förberett sig för den här stunden i tio år, skriver Ny Tekniks Simon Campanello.

Klockan halv fyra på eftermiddagen, dagen före julafton 2015, inträffade en rad storskaliga strömavbrott i Ukraina. Orsaken: ryska hackare hade infiltrerat styrsystemen och stängt av ett 30-tal ställverk.  

Händelsen blev snart en världsnyhet, och en väckarklocka. Ett storskaligt cybersabotage som direkt drabbade civilbefolkningen, och spåren ledde raka vägen till Kreml.  

Men det var inte där det började. 

Statligt understödda ryska hackare har övat cyberkrigföring på Ukraina i snart tio år.

Läs mer: Så kan vågen av cyberattacker spåras till Ryssland

Lång historia av it-angrepp mot Ukraina

Det första kända exemplet, Operation Armageddon, var en storskalig spionkampanj riktad mot Ukrainas civila myndigheter och militär som tros ha inletts under 2013. 

Därefter följer ett pärlband av angrepp mot landets valsystem, elnät och myndigheter. Kulmen blev ransomwareangreppet NotPetya som inträffade 2017 och lamslog inte bara Ukraina, utan stora globala transportflöden när den danska rederikoncernen Maersk drabbades.  

Samtidigt har försvarsföretag och it-säkerhetsföretag pratat ihärdigt om ett allt mer etablerat begrepp: den femte domänen. Efter krig på land, till sjöss, i luften och rymden tillkommer krig som utspelar sig i cyberrymden. 

För några år sedan satte jag mig ner med den finska it-säkerhetsgurun Mikko Hyppönen, grundare av F-Secure, för att diskutera fenomenet. 

varnade han för en kapprustning inom cyberkrigföring som kunde liknas vid kärnvapenkapprustningen under kalla kriget. Men han ville inte säga att hackerstriderna mellan Ryssland och Ukraina eller USA och Nordkorea var krig, de åtföljdes inte av någon krigsförklaring eller av några fysiska militära angrepp. 

Efter nattens invasion av Ukraina kan vi konstatera att cyberkrig, enligt alla definitioner, är verklighet. 

Läs mer: Ryska hackare åtalas för cyberattacken NotPetya

Invasionen ackompanjeras av cyberangrepp

Under onsdagseftermiddagen började ett nytt virus infektera datorer i Ukraina, enligt it-säkerhetsföretagen Eset och Symantec.

Hundratals enheter ska ha infekterades av skadlig kod som raderar allt innehåll den kommer över, och sedan startar om datorn. Viruset är sedan tidigare okänd och har döpts till Hermetic Wiper.  

Bland de bekräftade måltavlorna finns ett finansiellt institut i Ukraina och företag i Lettland och Litauen som är viktiga underleverantörer för ukrainska myndigheter. Företag inom flera sektorer ska ha utsatts.  

I januari genomfördes ett liknande angrepp, kallat Whispergate, med skadlig kod avsedd att förstöra data. Men angreppet 23 februari anses vara betydligt mycker mer sofistikerat. 

Det får WhisperGate att se ut att vara skrivet av script kiddies (amatörhackare, reds. anm.), säger Juan Andrés Guerrero-Saade på säkerhetsfirman Sentinel One till Politico

Samtidigt pågår överbelastningsattacker mot myndigheter, tidningar och banker vilket gör deras hemsidor och tjänster svåra eller omöjliga att använda.  

Många bedömare skriver att cyberattackerna bara börjat.

Läs mer: Hackare: Sänkte Nordkoreas internet – som hämnd 

Risk att svenska organisationer drabbas

Och precis som med NotPetya-attacken 2017 finns det stor risk att angreppen sprider sig utanför Ukraina. Faktiskt har de ju redan gjort det, i och med de infekterade datorerna i Lettland och Litauen.  

Risken att fler organisationer utanför Ukraina kommer att drabbas är överhängande.  

EU har mobiliserat en cyberförsvarsgrupp, och både USA och Storbritannien har gått ut och varnat företag och myndigheter för att de kan hamna i korselden.  

Även det svenska it-säkerhetscentret Cert-se publicerade förra veckan en uppmaning till organisationer i Sverige att se över sin cybersäkerhet och listar ett antal viktiga punkter för både anställda, driftansvariga och it-chefer. De nämner inte explicit Ukraina-krisen, men talande nog länkar de till de amerikanska varningarna som pekar ut Ryssland. Det är inte svårt att läsa mellan raderna.  

Cert-se:s råd till svenska organisationer:

För samtlig personal:

  • Ha ökad vaksamhet gällande nätfiske, skadlig kod, lösenordshantering, falska dokument och webbplatser.
  • Var extra uppmärksam kring, och rapportera, avvikande funktionalitet och händelser i it-system.
  • Använd inte privat utrustning för arbetsrelaterade uppgifter om det inte är avtalat och godkänt från arbetsgivaren. Undvik även privata molntjänster.
  • Installera säkerhetsuppdateringar på din telefon, dator och andra enheter så fort det är möjligt.

För teknisk och driftpersonal:

  • Se till att multifaktorsautentisering används för all distansanslutning till nätverket samt alla användarkonton, särskilt administratörs- och andra priviligierade konton.
  • Se till att all kommunikation med organisationens nätverk och tjänster säkras genom exempelvis vpn-anslutning.
  • Se över vilka användare som har administratörsrättigheter, så att endast it-avdelningen kan installera programvara.
  • Öka kontrollen och vaksamheten kring avvikelser på systemnivå.
  • Kontrollera resultat från backuper, samt säkerställ att offline-kopior finns. Testa återläsningen samt att datan som säkerhetskopieras motsvarar verksamhetens behov.
  • Blockera icke auktoriserad programvara, tillåt endast att användare kör godkända applikationer.
  • Installera säkerhetsuppdateringar så fort det är möjligt. Prioritera system som exponeras mot internet, de som är verksamhetskritiska och system där sårbarheter riskerar att utnyttjas.
  • Rapportera alla incidenter som bedöms kunna påverka säkerheten i den informationshantering som verksamheten ansvarar för. Vid en pågående it-incident kan ni höra av er till CERT-SE för rådgivning och stöd. Finns brottsmisstanke bör incidenten även polisanmälas.

För it-ansvariga:

  • Se över tillgängliga resurser för att kunna stödja och hantera it-incidenter. Detta bör omfatta såväl it-personal men även andra funktioner inom organsationen (ledningsgrupp, kommunikation, verksamhetsstöd osv). Se även till att dessa funktioner övar regelbundet, så att alla medarbetare vet vilken roll de har om/när en it-incident inträffar och hur den ska hanteras på kort och längre sikt.
  • Säkerställ att alla anställda känner till vilka rutiner och policies som gäller för arbete, både på kontoret och på distans.

Källa: Cert-se.

Simon Campanello

Kommentarer

Välkommen att säga din mening på Ny Teknik.

Principen för våra regler är enkel: visa respekt för de personer vi skriver om och andra läsare som kommenterar artiklarna. Alla kommentarer modereras efter publiceringen av Ny Teknik eller av oss anlitad personal.

  Kommentarer

Debatt