Президент уряду Іспанії, Педро Санчес, зустрівся у Києві зі своїм українським колегою 24 лютого.

Там він оголосив про допомогу в розмірі 1 мільярда євро щорічно протягом десяти років для підтримки військових зусиль країни. Через два дні після зустрічі розпочалася кампанія кібератак проти іспанських інституційних та бізнес-цілей, яка триває досі. Втручання були здійснені групами російських хакерів і є частиною того, що Санчес назвав гібридною війною, яку Москва веде проти країн ЄС. «Цими атаками ми хочемо сказати іспанському уряду припинити підтримку України. Якщо цього не станеться, ми перейдемо до урядових вебсайтів. А також до великих компаній», — опублікувала група російських хакерів TwoNet у Telegram 3 березня.

Серед жертв, які підтвердили атаки, або чиї втручання були ідентифіковані хакерською спільнотою, є міські ради, провінційні ради, ради автономних областей та міністерства, такі як Міністерство внутрішніх справ, оборони, закордонних справ та інклюзії, соціального забезпечення та міграції. Національний криптологічний центр (CCN-CERT), Генеральний штаб оборони (EMAD) та Департамент національної безпеки також зазнали атак, як і Ла Монклоа, Королівський дім, фонди, такі як Королівський інститут Елькано або CIDOB, компанії, такі як El Corte Inglés або Legálitas, та ЗМІ, такі як Newtral.

Поєднання цілей не є випадковим: поєднуються атаки на системи, які, ймовірно, є малозахищеними, наприклад, міських рад чи провінційних рад, з атаками на найбільш представницькі інститути суверенної влади (Монклоа, Оборона, Внутрішні справи чи CCN). «Ці кібератаки спрямовані на те, щоб привернути увагу та створити відчуття, що ми незахищені», — стверджує Марселіно Мадригал, експерт з мереж та кібербезпеки.

Більшість кібератак, зареєстрованих за останні три тижні (щонайменше 70, за даними джерел), є розподіленими атаками на відмову в обслуговуванні (DDoS), які полягають у насиченні систем шляхом бомбардування серверів лавиною запитів. «Після збою зловмисники роблять знімок екрана як доказ свого успіху і демонструють його як трофей», — зазначає Ерве Ламберт, директор з глобальних операцій Panda Security.

Цей різновид кібератак, з дуже низькою технічною складністю, дозволяє перервати послуги цільових систем, хоча й не видаляє дані. «Загалом, ми бачили точкові та короткі перерви, які також не мали тривалих наслідків для роботи», — зазначають джерела з Національного інституту кібербезпеки (Incibe).

Автономні чи координовані групи?

Щонайменше сім груп хакерів, пов'язаних з Росією, були ідентифіковані як автори кампанії кібератак. Серед найбільш активних — TwoNet або NoName057, але також брали участь інші, такі як People's Cyber Army of Russia, Cyber Army of Russia Reborn, KillNet або Z-Pentest. «Хоча це неможливо підтвердити з упевненістю, вони, ймовірно, так чи інакше пов'язані з російським урядом та його інтересами», — говорить Хосе Роселл, генеральний директор S2Grupo. Майже неможливо встановити походження кібератаки, якщо той, хто її здійснює, має достатні технічні знання і хоче залишитися непоміченим. Ось чому багато урядів неофіційно вдаються до кіберпростору для проведення диверсій.

Мало що відомо про російські хакерські команди, які беруть участь у кампанії проти Іспанії, окрім їхньої самопроголошеної відданості спільній справі (захисту інтересів Росії) та того, що вони спілкуються між собою через Telegram, популярний додаток для обміну миттєвими повідомленнями російського походження. Вони використовують цей канал для поширення своїх заяв і націлювання на свої цілі через заклики, до яких можуть приєднатися автономні хакери. Вони діють з початку війни, хоча останніми тижнями їхня активність значно зросла. «Не варто перебільшувати ці атаки, які є скоріше рутинними. Вони мають сильний пропагандистський компонент», — зазначають джерела CCN-CERT.

Цікаво, що до цих груп російських хакерів приєдналися інші з різного походження, такі як Mr Hamza з Алжиру; ісламістська хактивістська група з Малайзії, Dxploit, або антиізраїльська група Dark Storm, яка цього тижня взяла на себе відповідальність за кібератаку, що вразила X. «Мене дивує, що Dark Storm активізувала свою діяльність в Іспанії протягом останнього тижня, саме тоді, коли це роблять російські групи. Дуже важко зрозуміти, чи це збіг обставин, опортунізм чи координація», — говорить Давид Арройо Гуарденñо, головний дослідник групи кібербезпеки та захисту конфіденційності CSIC.

До цього коктейлю слід додати проросійські групи, розташовані в Іспанії, які поширюють заяви хакерів і підтримують їхню роботу. «Є багато каналів проросійської дезінформації, які є тими самими, що й оголошують себе проти Порядку денного 2030, які брали участь у тракторних протестах або поширювали антивакцинальну пропаганду під час пандемії. Здається очевидним, що це постійні осередки, які прагнуть здійняти галас і дестабілізувати уряд», — припускає Мадригал.

Гібридна війна

«DDoS-атаки неприємні, але не завдають великої шкоди», — зазначає Мадригал. І додає: «Ці кампанії також використовуються для зондування рівня безпеки жертви для майбутніх атак». Це саме одне з питань, що оточують кібератаки, від яких страждає Іспанія: чи їх інтенсивність з часом зменшиться, чи вони є прологом до чогось більшого, що ще має статися. Останніми днями, зосередившись на аргументації того, чому Іспанія повинна збільшити військові витрати, президент уряду вписав цю кампанію в так звану гібридну війну, яку Москва веде проти значної частини ЄС. «Минулого тижня у нас була кібератака з Росії», — визнав президент у середу в Гельсінкі після зустрічі зі своїм фінським колегою Петтері Орпо. «Важливо розпочати ключову дискусію [про збільшення військових витрат]», — сказав він.

«DDoS-атаки іноді використовуються як димова завіса, щоб приховати більш шкідливі операції», — додає Ламберт. «Відволікаючи увагу техніків на усунення видимої проблеми, зловмисники можуть скористатися відволіканням, щоб проникнути іншим шляхом, викрасти конфіденційні дані або встановити шкідливе програмне забезпечення [шкідливий код], не будучи виявленими».

Це друге, більш складне завдання, лягає на інший тип хакерів: так звані просунуті стійкі загрози (APT), команди, що фінансуються країнами, що складаються з професіоналів, які мають можливості, еквівалентні можливостям спецслужб. «Росія має високотехнологічні групи військового кібершпигунства, такі як APT28 (Fancy Bear) та APT29 (Cozy Bear) – від СЗР, зовнішньої розвідки – які були активні в іспанських цілях», — додає Ламберт. Цей експерт нагадує, що у 2023 році APT28 звинуватили у проведенні фішингових кампаній (викрадення особистих даних за допомогою шахрайських повідомлень) проти компаній іспанської оборонної промисловості, таких як Navantia, з метою викрадення облікових даних та конфіденційних технологічних даних. Та сама група, згідно з повідомленнями CNI, того ж року атакувала внутрішні мережі іспанських міністерств. Зі свого боку, APT29 також вдалося отримати доступ у 2023 році до хмарних сервісів іспанського державного сектору за допомогою скомпрометованих електронних листів, надісланих з посольств.

«Нещодавні DDoS-атаки в Іспанії були головним чином актом кібервійни низького рівня та обмеженого впливу, як видима відплата за підтримку України. Однак їх не слід сприймати легковажно: окрім їхнього пропагандистського та миттєвого руйнівного ефекту, вони можуть бути верхівкою айсберга ширшої стратегії», — вважає Ламберт.