Cyberattackerna som banade väg för Rysslands invasion av Ukraina

Henrik Petterson 4 mars, 2022

Introduktion

Plocka de lägst hängande frukterna först

I förra månadens omvärldsbevakning uppmärksammade vi cyberattackerna mot Ukraina. Då hade Rysslands invasion av Ukraina inte ägt rum än. Med facit i handen vet vi att en del av cyberattackerna hade som mål att förstöra Ukrainas digitala infrastruktur. En del av den nya, så kallade hybridkrigsföringen.

Svenska sanktioner mot Ryssland, vapenexporter och stöd till Ukraina samt en infekterad NATO debatt. De fyra ryska stridsflygplan som kränkte svenskt luftrum den 2 mars var sannolikt en markering mot vår hjälp till Ukraina – vilket gör oss till ett potentiellt mål. En fråga som varje företag och myndighet bör ställa sig är om verksamheten som man arbetar på är redo för cyberattacker.

Har man ett lite mindre företag så behöver den kunskapen varken ta lång tid att få eller kosta skjortan, och man kommer ganska långt på egen hand.

  1. Ta reda på vad du har.
    Det första steget är att inventera dina tillgångar. Man gör med andra ord en lista på allt som är skyddsvärt. Till exempel ritningar, kundregister eller viktiga planer och var informationen finns idag.
  2. Bestäm vad som är viktigast att skydda.
    Man kan inte skydda allt, så börja skydda det som är viktigast. Utgå från vad som skulle hända om din konkurrent, allmänheten eller en främmande makt skulle få tag på informationen och klassificera det utifrån det.
  3. Skydda dokumenten.
    Nu vet du vilken information som är värd att skydda och var den finns. Hur du sedan skyddar dina informationstillgångar beror mycket på dina förutsättningar. Några exempel är VPN för hemarbetande, multifaktorautentisering, uppdateringar av programvara, online och offlinebackup. Ofta brukar man även införa någon form av behörighetsstyrning så att de på företaget bara kommer åt de informationstillgångar som de behöver samt säkerställ spårbarhet kring vad som händer med informationen. Det finns många säkerhetslösningar för att skydda tillgångarna. Det viktigaste är att man börjar någonstans.

Tidslinje över cyberattackerna mot Ukraina

1 mars: Cyberattacker mot Ukrainska medier

Webbsidan tillhörande Ukrainas statsägda public service-bolag Suspilne har utsatts för skadlig kod. Public service-kanalen UA: First har också attackerats och fått kanalens signal blockerad.

27 februari: Malwareattack (Wiper) slår ut Ukrainas gränskontroll
Flyende ifrån Ukraina möts nu av långa köer till följd av attacken.

25 februari: Phishingattack mot militär personal i Ukraina
Cert-UA observerade en phishingattack mot ukrainska militärer och personer med kopplingar till försvaret. Organisationen har spårat attackerna och konstaterar att angriparna är Vitrysslands försvarsdepartement i Minsk.

24 februari: Cyberattacker mot Kyiv Post
Tidningen Kyiv post rapporterar att de utsatts för ett ökat antal cyberattacker sedan Rysslands invasion av Ukraina.

23 februari: Malwareattack (Wiper) mot organisationer med kopplingar till regeringen samt finans.
En rad olika finansiella organisationer samt organisationer med kopplingar till Ukrainas regering attackeras och infekteras av skadlig kod. Den skadliga koden ”wiper” skapades minst sex veckor innan attacken och hade enbart som syfte att radera och förstöra filer.

22 februari: Massiv cyberattack mot regering, departement och banker
Flera överbelastningsattacker har gjorts mot olika ukrainska departementet samt Ukrainas säkerhetstjänst. Cyberattacken påverkade också olika banker samt webbsidor tillhörande Ukrainas regeringen och utrikesdepartement.

15 februari: USA hittar bevis på att statliga ryska hackare tagit sig in i ukrainsk infrastruktur
I samband med att USA arbetade för att stärka ukrainskt cyberförsvar hittade de bevis på att Ryssland hade penetrerat system tillhörande elektricitet, transport, finans och kommunikation.

15 februari: Överbelastningsattack mot regering, bank och försvar
Ukrainska webbsidor tillhörande bank, regering och försvar utsätts för en omfattande överbelastningsattack (DDoS). Ukrainska försvarsdepartementet, utrikesdepartementet, samt två av de största bankerna går ner. Tre dagar senare pekar vita huset ut Ryssland som ansvarig för cyberattackerna

18 januari: Cyberattack mot myndigheter
En rad olika myndigheter i Ukraina får deras data raderad efter en koordinerad cyberattack. Enligt Ukrainas regering är attacken kopplad med den 13 och 14 januariattacken.

14 januari: Cyberattack mot 70 statliga webbsidor
En omfattande cyberattack släcker ner ca 70 statliga webbsidor. På de hackade sidorna visade sig hotfulla meddelanden om att ukrainska medborgare ”skulle vara rädda och vänta sig det värsta”.

13 januari: Malware hittad i system
Microsoft hittar skadlig kod i ukrainska system. Koden såg ut att vara ett ransomware men saknade utpressningsdelen. Syftet med koden var med andra ord inte att pressa offret på pengar utan istället göra hela systemet obrukbart.

Cert-se har nyligen släppt en kort checklista som du kan använda för att ta säkerhetsarbetet till en grundläggande nivå. Checklistan hittar du här