3 lata wojny na Ukrainie. Czego uczą nas cyberataki?

Rosyjskie ataki na ukraińskie systemy informatyczne nie rozpoczęły się z dniem 24 lutego 2022 roku. Jon DiMaggio w książce „Sztuka wojny cyfrowej” opisał operację Kremla podczas ukraińskich wyborów prezydenckich w 2014 roku. Wówczas Półwysep Krymski miał być odcięty od internetu przez dwa dni wskutek ataków DDoS, które dotknęły również strony internetowe NATO.

Wybory były zaplanowane na 25 maja, zaś między 22 a 24 maja wykryto złośliwe oprogramowanie w systemach odpowiedzialnych za proces wyborczy.

„Jeśli malware zostałby skutecznie uruchomiony, poskutkowałoby to rozpowszechnianiem fałszywych informacji. To mogłoby doprowadzić do wygrania wyborów przez Dmytro Jarosza, lidera »Prawego sektora«. W rzeczywistości otrzymał mniej niż jeden procent głosów” – stwierdził DiMaggio.

Dzień po wyborach przeprowadzono atak DDoS, przez który pełne zliczenie głosów było niemożliwe. Wspomniany przykład dobrze pokazuje, że Rosja od dawna jest zainteresowana destabilizowaniem Ukrainy.

Inwazja i atak na łączność

Jednym z celów Rosji podczas pierwszych godzin inwazji było zakłócenie łączności na Ukrainie. 24 lutego 2022 roku Rosjanie przeprowadzili skuteczny atak na Viasat, będący dostawcą internetu satelitarnego. Działania cyberprzestępców skutkowały zainstalowaniem tzw. wipera, czyli złośliwego oprogramowania usuwającego dane z urządzenia. Sprawiło to, że wiele modemów po prostu przestało działać.

Atak spowodował również m.in. brak dostępu do monitoringu prawie 6 tys. turbin wiatrowych przez niemieckie przedsiębiorstwo energetyczne czy odcięcie od internetu 9 tys. Francuzów. CyberPeace Institute przekazał, że jedna trzecia z 40 tys. odbiorców internetu satelitarnego w Europie (Niemcy, Francja, Węgry, Włochy i Polska) była dotknięta atakiem, zaś odciętych od sieci miało być kilka tysięcy Ukraińców.

Zaufana Trzecia Strona opublikowała relację pana Artura, który korzystał z zaatakowanego urządzenia. Stwierdził:

„Stan na tę chwilę jest taki, że modemy dla użytkowników są martwe. Nie świecą diody. Nie startuje firmware urządzenia IDU – modemu wewnętrznego (…). Port ETH routera IDU elektrycznie działa, ale nie odpowiada na pakiety. ODU przy antenie nie odpowiada – ma własny system operacyjny, ale nie ma zasilania ani sygnału pośredniej częstotliwości. Nie można zdalnie (od operatora) wgrać nowego oprogramowania ani do modemu – IDU ani do nadajnika satelitarnego – ODU. IMHO (moja szczera opinia – przyp. red.) to był atak przeprowadzony z centrali operatora, który rozesłał wadliwą zdalną (OTA) aktualizację do urządzeń abonentów i uszkodził (wykasował) flash z oprogramowaniem w routerach abonenckich”.

Ten atak dobrze pokazuje, że złośliwe działania w cyberprzestrzeni nie są ograniczane przez granice państwowe. Infrastruktura nie wróciła do poprzedniego stanu nawet po 18 dniach po ataku, o czym informowało NetBlocks.

Atak na ukraińskiego operatora telefonicznego

Na początku 2024 roku dowiedzieliśmy się o tym, że Rosjanie infiltrowali ukraiński Kyivstar od maja 2023 roku oraz od listopada mieli pełny dostęp do infrastruktury. Warto przy tym podkreślić, że z usług tego operatora sieci komórkowej korzystała ponad połowa Ukraińców. Atak miał skutkować m.in. zakłóceniem działania syren alarmowych w Kijowie.

Incydent opisaliśmy na łamach naszego portalu. „Zniszczenie komputerów” miałio miejsce 12 grudnia 2023 roku. Oczywiście mowa tutaj o zmianach w oprogramowaniu, nie o fizycznym uszkodzeniu. Ówczesny szef Departamentu Cyberbezpieczeństwa SBU Illia Vitiuk stwierdził, że atak skutkował „usunięciem wszystkiego, w tym maszyn wirtualnych”. Podejrzewano również, że Rosjanie mieli dostęp do danych osobowych, lokalizacji urządzeń czy przechwytywania SMS-ów.

13 grudnia źródło bliskie „ukraińskiej agencji ds. cyberbezpieczeństwa” przekazało Reutersowi, że to nie był atak ransomware, zaś motywacja do wspomnianych działań nie miała podłoża finansowego.

Ukraiński atak

Nie wolno zapominać o tym, że nie tylko Rosja dokonuje skutecznych ataków w cyberprzestrzeni. W styczniu 2024 roku informowaliśmy o ataku proukraińskich haktywistów „BO Team” na rosyjskie centrum kosmiczne, który miał skutkować m.in. zniszczeniem (usunięciem) bazy danych centrum hydrometeorologii kosmicznej „Planeta”. W komunikacie ukraińskiego wywiadu stwierdzono, że udało się usunąć dane z 280 serwerów, mających przechowywać łącznie ok. 2 petabajty (2 miliony gigabajtów) danych. Straty mają wynieść ok. 10 mln dolarów.

Malware wyłączył ogrzewanie

Rosyjski cyberatak na przemysłowe systemy sterowania (ICS) skutkował brakiem ogrzewania dla 600 budynków we Lwowie. Incydent miał miejsce w styczniu 2024 roku i został opisany przez TechCrunch. Pora roku została zapewne wybrana nieprzypadkowo – wielu z mieszkańców Lwowa musiało odczuć mróz na własnej skórze. Celem było LvivTeploEnergo, odpowiedzialne za ogrzewanie w mieście.

Współautor raportu Mark „Magpie” Graham stwierdził, że 46 tys. urządzeń widocznych z poziomu internetu wykorzystuje Modbus. Protokół został stworzony w 1979 roku i jest wykorzystywany przez malware FrostyGoop, który zaatakował wspomniane środowisko. Pokazuje to rolę bezpieczeństwa urządzeń OT/ICS.

Cyberprzestrzeń jedną z domen wojny

Cyberataki podczas wojny na Ukrainie to bardzo rozległy temat. Powyższe przykłady dobitnie pokazują, że cyberprzestrzeń stała się kolejnym elementem działań wojennych.

W dniach 24.02.2022-20.02.2025 na naszym portalu opublikowano 1239 artykułów pod tagiem „Ukraina”.

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].