Rosyjscy cyberprzestępcy stanowią największe zagrożenie?
Według amerykańskiego urzędu ds. bezpieczeństwa cybernetycznego rosyjskie grupy zagrażające stanowią największe zagrożenie cybernetyczne dla Igrzysk Olimpijskich w Paryżu. Przy czym Sandworm (APT44, znany również jako Frozenbarents) to najprawdopodobniej rosyjska grupa zagrażająca, która oprócz gromadzenia danych wywiadowczych prowadzi destrukcyjne lub hybrydowe operacje. Badacze opierają ten wniosek na dobrze udokumentowanych doświadczeniach rosyjskich gangów, które atakowały w poprzednich Igrzyskach.
Podczas Rio 2016 Fancy Bear (APT28) atakował urzędników antydopingowych oraz narażał organizacje sportowe i antydopingowe, natomiast Sandworm ujawnił dane medyczne sportowców. Podczas ceremonii otwarcia Zimowych Igrzysk w Pjongczangu w 2018 r. Sandworm zakłócał łączność za pomocą wycieraczki, zbierał dane uwierzytelniające na dużą skalę i dystrybuował zaatakowane trojanami aplikacje mobilne.
- Działalność obejmowała wyłudzanie danych uwierzytelniających oraz dystrybucję złośliwego oprogramowania dla systemów Windows, MacOS i Android. W kampanii na Androida APT44 uzyskał legalne kopie aplikacji na Androida popularnych w Korei Południowej, zmodyfikował je w celu dodania niestandardowego implantu mobilnego, a następnie opublikował zaatakowane trojany aplikacje w Sklepie Play – powiedział Mandiant.
Google odkrył kampanię na Androida i chronił użytkowników w innych kampaniach APT44, takich jak próby atakowania Ukraińców za pomocą fałszywej aplikacji poczty internetowej lub kampania skupiająca się na kraju, skierowana do firm w Rosji. W 2020 roku brytyjskie Narodowe Centrum Bezpieczeństwa Cybernetycznego zgłosiło rozpoznanie przez Sandworm urzędników i organizacji olimpijskich na Igrzyskach w Tokio.
- Prorosyjskie operacje informacyjne będą stanowić częste i umiarkowane zagrożenie dla Letnich Igrzysk Olimpijskich w 2024 roku. Zaobserwowaliśmy akcje informacyjne promujące narracje prorosyjskie, antyukraińskie i antyzachodnie wykorzystujące igrzyska olimpijskie ze względu na popularność igrzysk – Mandiant Intelligence ocenia „z dużą pewnością”.
Badacze spodziewają się także politycznej zemsty za proukraińską postawę Francji i zakaz Rosji udziału w igrzyskach pod ich flagą.
W lutym 2024 r. Francja oskarżyła Rosję o prowadzenie szeroko zakrojonych kampanii dezinformacyjnych mających na celu zakłócenie igrzysk olimpijskich i zbliżających się wyborów powszechnych w UE. Dwa miesiące później, otwierając olimpijski obiekt pływacki, prezydent Francji Emmanuel Macron oskarżył Rosję o prowadzenie internetowej kampanii dezinformacyjnej podważającej bezpieczeństwo nadchodzących igrzysk.
Kilka innych prorosyjskich grup haktywistów stanowi realne zagrożenie dla igrzysk olimpijskich. Należą do nich Anonymous Sudan, Cyber Army of Russia Reborn, NoName057(16), UserSec i Server Killers.
Akcja „Doppelganger” trwa
Mandiant Intelligence zaobserwował prorosyjską kampanię informacyjną, nazywaną publicznie „Doppelgangerem”, wykorzystującą nieautentyczne domeny i konta w mediach społecznościowych w języku angielskim, niemieckim, francuskim i włoskim. Doppelganger rozpowszechnia narracje zbieżne z rosyjskimi interesami strategicznymi, w tym związanymi z rosyjską inwazją na Ukrainę.
Mandiant zaobserwował fałszywe artykuły sugerujące, że Francja nie była przygotowana na gospodarza, wmawiając rządowi francuskiemu jako nieodpowiednio przygotowany na zagrożenia bezpieczeństwa, które mogą towarzyszyć igrzyskom, co podsyca strach przed islamskim ekstremizmem.
- Oceniamy zagrożenie ze strony prorosyjskich haktywistów jako szczególnie podwyższone, ponieważ kilka z tych grup nagłośniło destrukcyjne ataki lub wycieki danych w wyniku sponsorowanych przez rosyjskie państwo włamań. Kilka grup wykazało również zdolność do zakłócania głośnych celów za pomocą ataków DDoS – ostrzega Mandiant.
Dołączają kolejni aktorzy
Chiny, Iran, Korea Północna i Białoruś również stwarzają umiarkowane lub niskie zagrożenia cybernetyczne. Mandiant sugeruje, że sponsorowane przez Chiny grupy APT31, APT15, UNC4713 i TEMP.Hex najprawdopodobniej atakują organizacje i osoby powiązane z danym wydarzeniem.
„Wysoko postawieni urzędnicy rządowi i decydenci wyższego szczebla biorący udział w tym wydarzeniu będą prawdopodobnie atrakcyjnym celem dla sponsorowanych przez państwo ChRL podmiotów zagrażających, poszukujących informacji umożliwiających identyfikację, danych uwierzytelniających lub innych wrażliwych informacji w celu wspierania swoich interesów narodowych. Stwarza to zwiększone ryzyko phishingu spearphishingowego, zbierania danych uwierzytelniających i operacji gromadzenia danych wywiadowczych”.
Jednak pomimo ich dużych możliwości badacze nie spodziewają się, że chińskie gangi będą prowadzić destrukcyjne lub destrukcyjne kampanie. Prawdopodobnie wykorzystają narracje o tematyce olimpijskiej do promowania ideologii prochińskich i antyzachodnich.
Zagrożenia sponsorowane przez państwo irańskie, przede wszystkim APT42 działające w imieniu Korpusu Strażników Rewolucji Islamskiej, mogą wykorzystać Igrzyska do wspierania kampanii związanych z konfliktem w Gazie i prowadzenia operacji w Izraelu.
Północnokoreańskie gangi stanowią niewielkie zagrożenie dla igrzysk olimpijskich, ale mogą prowadzić operacje motywowane finansowo. Istnieją inne zagrożenia o charakterze finansowym, takie jak kręgi cyberprzestępcze wykorzystujące oprogramowanie ransomware i wymuszenia, oszuści i oszuści.
- Liczba transakcji finansowych przeprowadzanych podczas gier będzie prawdopodobnie atrakcyjnym celem dla złośliwych aktorów szukających zysku przy minimalnym wysiłku. Cyberprzestępczość będzie prawdopodobnie miała charakter oportunistyczny – ostrzegł Mandiant.
Sugerują, że należy spodziewać się oszustw związanych z biletami i przynętami związanymi z igrzyskami olimpijskimi. Zagrożenia cybernetyczne mogą realistycznie wpłynąć na różne cele, począwszy od organizatorów i sponsorów, systemów sprzedaży biletów i infrastruktury Paryża, a skończywszy na sportowcach i widzach udających się na wydarzenie. Jednak społeczność zajmująca się bezpieczeństwem jest również lepiej przygotowana i oczekuje, że poradzi sobie z tymi cyberzagrożeniami.
