Brutalna „wojna hakerów”. Ataki narzędziem terroryzowania miast

Rosyjsko-ukraińska wojna to już nie tylko drony, artyleria i okopy. To również telefony, komunikatory, centrale energetyczne, serwery logistyczne i dane milionów ludzi. 

Po jednej stronie są prokremlowskie grupy powiązane z wywiadem wojskowym – jak Sandworm czy Fancy Bear – które atakują ukraińską infrastrukturę krytyczną, energetykę, telekomy i firmy zachodnie. Tego typu operacje opisuje m.in. analiza Google/Mandiant „Sandworm Disrupts Power in Ukraine Using a Novel Attack”. 

Po drugiej mamy natomiast ukraińskie struktury cybernetyczne: oficjalne (wywiad wojskowy HUR, SBU) i nieoficjalne (IT Army of Ukraine, haktywiści), które odpowiadają uderzeniami w rosyjską logistykę, firmy zbrojeniowe i instytucje wspierające wojnę. Przykładem jest świeży atak ukraińskich hakerów (grupa BO Team we współpracy z HUR) na rosyjski koncern logistyczny Eltrans+.

Ale jest jeszcze trzeci wymiar: szara strefa, gdzie cyberprzemoc, oszustwo i wojna mieszają się w jedno. Ten świat odsłania artykuł „Охота на «мамонтов». Как работают украинские мошенники”, opublikowany przez niezależny rosyjski portal „Вёрстка”. 

Jak Rosja zamieniła cyberataki w broń

Rosyjsko-ukraińska wojna w cyberprzestrzeni zaczęła się na długo przed 2022 rokiem. Już w 2015 r. rosyjska grupa APT „Sandworm”, powiązana z GRU, przeprowadziła pierwszy w historii udany cyberatak, który świadomie wyłączył sieć energetyczną i odciął prąd ok. 230 tysięcy odbiorców na zachodniej Ukrainie. 

Według analizy Congressional Research Service „Attacks on Ukraine’s Electric Grid: Insights for U.S. Infrastructure Security and Resilience”, użyte tam techniki – malware BlackEnergy, zdalne przejmowanie stacji rozdzielczych – stały się wzorcowym przykładem, jak cyberatak może być prawdziwą bronią, a nie tylko narzędziem szpiegowskim.

W kolejnych latach – jak opisuje raport „Cyber Dimensions of a Hybrid Warfare” – Rosja i powiązane z nią grupy przeprowadziły setki kampanii: od sabotażu energetyki po ataki na media, administrację i sektor finansowy. CyberPeace Institute podaje, że tylko w pierwszym okresie pełnoskalowej inwazji 2022 r. zidentyfikował ponad 650 prorosyjskich cyberoperacji przeciw Ukrainie. 

W kwietniu tamtego roku firma ESET w raporcie „Industroyer2: Industroyer reloaded” opisała kolejny rosyjski atak na ukraińskiego operatora energii z użyciem nowego wariantu malware’u Industroyer2, zaprojektowanego tak, by wyłączać podstacje wysokiego napięcia w momencie ofensywy wojsk lądowych. 

Dla zwykłego człowieka takie rzeczy nie są „wirtualne”: to zamarznięte mieszkania, przerwy w pracy szpitali, wyłączona sygnalizacja, brak wody i ogrzewania. Cyberatak staje się narzędziem terroryzowania miast – w ciszy monitorów, ale z bardzo realnymi skutkami.

Rosyjskie grupy: Sandworm, Fancy Bear, Killnet

Szereg analiz łączy konkretne grupy hakerskie z rosyjskim państwem:

• Sandworm – specjalista od ataków na infrastrukturę energetyczną i telekomunikacyjną.
• Fancy Bear / APT28 i Cozy Bear / APT29 – struktury powiązane odpowiednio z GRU i SWR, odpowiedzialne za kampanie szpiegowskie, wycieki maili, ataki na instytucje NATO.
• Killnet – prorosyjska grupa „haktywistyczna", znana z ataków DDoS na serwisy państw wspierających Ukrainę.

Te powiązania omawia m.in biuletyn „Cyber threat activity related to the Russian invasion of Ukraine”.

Według niego oraz raportu „Cyber Operations in Russia’s War against Ukraine”,  rosyjskie kampanie obejmują m.in.:

• niszczenie danych (wipery typu WhisperGate, HermeticWiper),
• włamania do sieci telekomów – jak atak na ukraińskiego operatora Kyivstar, gdzie – jak podaje agencja Reutera – napastnicy mieli dostęp do „rdzenia" systemu przez wiele miesięcy, paraliżując usługi dla milionów użytkowników,
• kampanie DDoS przeciw instytucjom rządowym, bankom i mediom w Ukrainie i państwach NATO.

Omawiana „wojna hakerów” jest brutalna, bo atakuje to, co podtrzymuje życie w nowoczesnym państwie: prąd, łączność, pieniądze, informację. Gdy w jednym momencie można wyłączyć część sieci, zniszczyć dane w szpitalu i przeciąć komunikację komórkową, różnica między bombardowaniem a cyberatakiem zaczyna być ilościowa, a nie jakościowa.

Ukraińska odpowiedź: IT Army i cyberoddziały wywiadu

Rosyjskie ataki wymusiły symetryczną odpowiedź. W lutym 2022 r. minister transformacji cyfrowej Ukrainy ogłosił powstanie IT Army of Ukraine – masowego, ochotniczego ruchu, który wykonuje zadania publikowane na kanałach Telegrama. Jego działalność podsumowuje m.in. „IT Army of Ukraine’s cyber campaign against targers in Russia”.

Według publikacji  CCDCOE oraz artykułu „Ukraine’s IT Army is waging a crowdsourced cyber war against Russia”, ukraińscy hakerzy:

• prowadzą masowe ataki DDoS na rosyjskie strony rządowe, bankowe, propagandowe i logistyczne;
• uderzają w dostawców internetu – np. cyberatak na operatora Lovit, który na trzy dni zakłócił dostęp do sieci w Moskwie i Petersburgu;
• koordynują cyberataki z działaniami wojskowymi – jak opisuje New Eastern Europe, podczas uderzeń dronów na rosyjskie rafinerie IT Army paraliżowała rosyjskie systemy CCTV i serwisy logistyczne, utrudniając śledzenie dronów.

Do tego dochodzą oficjalne cyberjednostki HUR i SBU. W grudniu 2025 r. szeroko opisano atak na rosyjską firmę logistyczną Eltrans+, przewożącą towary objęte sankcjami i komponenty wojskowe.  W efekcie: 

• wyłączono ponad 700 komputerów i serwerów,
• skasowano lub zakodowano ok. 165 TB krytycznych danych,
• usunięto ponad 1000 kont użytkowników,
• sparaliżowano systemy kontroli dostępu i monitoringu wideo.

The Kyiv Independent podkreśla, że atak był zaplanowany na Dzień Sił Zbrojnych Ukrainy i wymierzony w firmę pomagającą omijać sankcje.

Podobny charakter miał atak na producenta dronów Gaskar Group. Jak wskazuje Tom’s Hardware, zniszczono łącznie 47 TB danych (w tym 10 TB kopii zapasowych), co miało spowolnić produkcję tysięcy dronów.

Brutalność tej strony wojny polega na tym, że celem są całe gałęzie gospodarki: firmy logistyczne, producenci dronów, operatorzy sieci. Nawet jeśli formalnym celem jest wojsko, konsekwencje odczuwają też pracownicy, ich rodziny i zwykli użytkownicy usług.

Wojna bez granic: haktywizm i ataki poza frontem

Do wojny w cyberprzestrzeni dołączają „trzecie strony” – luźno powiązane grupy haktywistów.

Z jednej strony prorosyjskie grupy, jak Killnet, atakują infrastrukturę państw NATO, co dokumentuje m.in. baza „Significant Cyber Incidents”. Z drugiej, część proukraińskich podmiotów z Europy i USA spontanicznie dołącza do IT Army, atakując rosyjskie serwisy finansowe i propagandowe.

Raport „Building Resilience in the Face of Russian Cyber Aggression” (NATO CCDCOE) podkreśla, że Ukraina stała się „pierwszą linią cyberobrony Europy”, ale jednocześnie areną testów technik, które jutro mogą zostać użyte przeciw innym krajom.

Brutalność polega tu na braku granic:

• serwery stoją w jednym kraju, ofiary mieszkają w drugim, kod powstaje w trzecim;
• trudno rozróżnić, gdzie kończy się „protest haktywistów", a zaczyna operacja wywiadu;
• zwykły obywatel staje się pionkiem – traci dostęp do banku, dokumentów w chmurze, usług medycznych, bo ktoś prowadzi „cyberkrucjatę" w jego imieniu.

„Polowanie na mamuty” – teleoszuści jako produkt wojny

Właśnie tutaj wchodzi świat opisany przez „Вёрstkę”. Ukazuje, jak ukraińskie telefoniczne call-centr masowo wyłudzają pieniądze od Rosjan, pod przykrywką FSB, Rosfinmonitoringu czy banków. To hybryda cyberprzestępczości i wojny informacyjnej.

Oszustów pracujących w „ofisach” obowiązuje jasno zdefiniowana hierarchia:

• „chłodnik" – pierwszy dzwoni, zbiera dane: banki, oszczędności, możliwość kredytu, pieniądze w domu;
• „closer" – wciela się w „funkcjonariusza FSB" czy „pracownika Rosfinmonitoringu" i na końcu doprowadza do wypłaty i przekazania pieniędzy;
• „pult" i „starszy" – kierownictwo, które pilnuje wyników, pieniędzy i dyscypliny;
• „dropperzy" – kurierzy i „słupy", przez których konta przepuszcza się gotówkę.

Teleoszuści wykorzystują:

• strach przed „finansowaniem wroga",
• strach przed utratą oszczędności,
• strach przed represjami FSB.

W jednym z opisanych przypadków 80-letnia mieszkanka Moskwy przekonana, że FSB ratuje ją przed „ukraińskimi hakerami”, oddała oszustom kilkaset tysięcy rubli w gotówce, podczas gdy w tle miała lokatę rzędu 13 mln rubli. 

Inni sprzedają samochody, biorą kilka kredytów pod zastaw mieszkania, wynoszą z domu wszystkie oszczędności czy nagrywają poniżające filmiki „podziękowań” dla rzekomych „ratowników z Rosfinmonitoringu”, które potem krążą w zamkniętych kanałach i TikToku.

Z relacji rozmówców „Вёрstki” wynika, że wojna i rosyjskie zbrodnie (np. Bucza) są dla części teleoszustów usprawiedliwieniem: mówią wprost, że „Rosjan nigdy nie będzie im żal”, a praca w „ofisie” jest zemstą połączoną z szybkim zarobkiem.

Od kradzieży do podpaleń – gdy „frajer” staje się dywersantem

Najbardziej wstrząsające fragmenty artykułu „Вёрstki” pokazują, że ta „wojna na telefony” w pewnym momencie wychodzi poza sferę pieniędzy.

Z relacji oszustów wynika, że gdy z ofiary „nie da się już nic wycisnąć”, bywa wysyłana na „misję specjalną”: podpalić wojskową komendę uzupełnień, samochody, bank czy budynek policji.

W jednym przypadku starsze małżeństwo, które w wyniku działań oszustów straciło około miliona rubli, zostało nakłonione do podpalenia wojskowej komendy w obwodzie moskiewskim. Wszystko pod pretekstem „wypędzenia stamtąd grupy przestępczej”.

Podobne schematy podpaleń opisuje tekst „Поджигатели старшего возраста”, gdzie analizowane są telefony nakłaniające ludzi do ataków na rosyjskie wojskowe komendy.

Tu widać coś, co bardzo przypomina działania służb specjalnych:

• obywatele państwa wroga są wykorzystywani jako nieświadomi wykonawcy dywersji;
• nagrania z tych „misji" krążą potem w zamkniętych grupach jako „trofea" i element kultury środowiska oszustów.

Oszust Oleg, cytowany przez „Вёрstkę”, mówi wprost, że w jego „ofisie” zadanie podpalenia było „czystym funem” – nagrodą po tym, jak z ofiary wyssano już wszystkie pieniądze. Jednocześnie przyznaje, że ich działalność „czasem zahacza o służby”, a część zysków trafia na drony czy sprzęt dla Sił Zbrojnych Ukrainy.

Powstaje więc połączenie:

• przestępczej chciwości („podnieść 10 tys. dolarów tygodniowo"),
• pragnienia zemsty za Buczę, ostrzały cywilów, śmierć bliskich, o czym oszuści mówią dziennikarzom „Вёрstki" zupełnie otwarcie.

Psychologiczne uderzenie

Ta wojna nie dotyczy tylko prądu, kont bankowych i serwerów. Kanadyjskie Centrum Bezpieczeństwa Cybernetycznego wskazuje, że rosyjskie operacje obejmują także kampanie dezinformacyjne i psychologiczne: fałszywe wiadomości, deepfake’i, podszywanie się pod instytucje, sianie paniki.

Po stronie ukraińskiej widzimy lustrzane działania, ale najczęściej ukierunkowane na struktury związane z wojną poprzez deface’owanie rosyjskich stron oraz ujawnianie list żołnierzy, pracowników firm zbrojeniowych i ich rodzin. W efekcie ktoś budzi się i widzi, że firma, w której pracuje, została publicznie nazwana „współsprawcą zbrodni wojennych”, rodziny żołnierzy dostają SMS-y, wiadomości na komunikatorach, maile z groźbami albo drwinami. 

Równocześnie zwykli użytkownicy żyją w świecie, w którym nie wiadomo, czy SMS „z banku” albo „od operatora” jest prawdziwy – dokładnie w tym miejscu łączy się świat teleoszustw opisany przez „Вёрstkę” z twardą wojną państwowych hakerów.

Dlaczego ta „wojna hakerów” jest tak brutalna?

1.     Uderza w cywili – od wyłączeń prądu po paraliż telekomu. Dla ludzi to brak ogrzewania, brak możliwości zadzwonienia po karetkę, chaos w szpitalach itd.

2.     Nie ma linii frontu – możesz mieszkać w Polsce, Niemczech czy Kanadzie i odczuć skutki uboczne cyberataku na Ukrainę lub Rosję. Przykładem są globalne konsekwencje takich kampanii jak NotPetya, omawiane m.in. w analizie „Cyber-attacks during the Russian invasion of Ukraine”.

3.     Łączy się z fizyczną przemocą – jak  pokazują eksperci CyberPeace Institute, ataki są synchronizowane z ofensywą militarną: najpierw blackout, potem rakiety; najpierw DDoS, potem drony. 

4.     Rozmywa odpowiedzialność – zarówno Rosja, jak i Ukraina mogą mówić: „to nie my, to haktywiści”. Dla ofiar nie ma znaczenia czy serwer wyłączył Sandworm, Killnet czy IT Army – prąd i tak znika, dane są zniszczone, firma stoi.

5.     Dehumanizuje przeciwnika – tak jak ukraińscy teleoszuści z tekstu „Вёрstki” po setkach godzin rozmów i oglądania wojennych kadrów przestają widzieć w Rosjanach ludzi, mówiąc o nich „mamuty”, tak rosyjskie grupy traktują miliony Ukraińców jak „poligon doświadczalny” dla nowych technik cyberataku.

6.     Używa ludzi jako narzędzi – „mamuty” z artykułu „Вёрstki” po utracie pieniędzy kończą jako kurierzy albo podpalacze; inni stają się nieświadomymi „aktorami” w operacjach psychologicznych. 

W tym sensie wojna hakerów rosyjskich i ukraińskich jest brutalna, bo nie zna żadnych granic – ani geograficznych, ani moralnych. Od stacji energetycznej po babcię z WhatsAppem – każdy może stać się celem, narzędziem albo skutkiem ubocznym.

Wojna w nowym teatrze działań: ludzki umysł

Wojna ukraińsko-rosyjska bardzo brutalnie pokazała, że współczesny konflikt nie toczy się już tylko na lądzie, morzu, w powietrzu, kosmosie i cyberprzestrzeni. Coraz wyraźniej widać szósty teatr działań – ludzki umysł. Każdy z opisanych elementów uderza właśnie tam:

• Rosyjskie cyberataki na infrastrukturę – blackouty, paraliż telekomów, niszczenie danych nie tylko fizycznie odcinają ludzi od prądu i usług, ale też budują poczucie bezradności i chaosu. Gdy nie działa bank, szpital i sieć komórkowa, pojawia się lęk: „państwo nie panuje nad sytuacją".
• Ukraińskie operacje na rosyjską logistykę, przemysł i propagandę – jak atak na Eltrans+ czy producenta dronów Gaskar Group, opisane przez The Kyiv Independent, Kyiv Post i Tom's Hardware – są wymierzone nie tylko w serwery i pliki, ale też w poczucie bezpieczeństwa rosyjskiego zaplecza: przekaz jest prosty – „nie ma miejsca, które jest naprawdę poza zasięgiem".
• Teleoszuści z reportażu „Вёрstki" uderzają bezpośrednio w psychikę: wykorzystują strach (przed FSB, przed „finansowaniem wroga", przed utratą wszystkiego), zmieniają obraz rzeczywistości pojedynczego człowieka, aż zaczyna on działać przeciw własnym interesom – oddaje oszczędności życia, idzie podpalić komisariat, nagrywa filmik z podziękowaniami dla swoich oprawców.

Do tego dochodzą opisane przez Canadian Centre for Cyber Security kampanie dezinformacyjne i psychologiczne: deepfake’i, fałszywe komunikaty, podszywanie się pod. Tu celem nie jest już tylko system informatyczny, ale percepcja i emocje: kogo uważasz za ofiarę, kogo za agresora, komu ufasz, a komu przestajesz wierzyć.

W efekcie:

• żołnierz ma być zdemoralizowany albo sztucznie podkręcony;
• cywil – przestraszony, zdezorientowany i zmuszony do autorytarnego „szukania silnej ręki";
• ofiara teleoszustwa – przekonana, że sama jest winna i nie zasługuje na pomoc.

To już nie jest tylko wojna o terytorium czy linie zaopatrzenia. To wojna o to, co dzieje się w głowie człowieka: jakie obrazy widzi, jakie historie słyszy, jaki numer odbiera w telefonie i komu wierzy, gdy na ekranie wyskakuje komunikat „Bank/FSB ostrzega…”. 

W tym sensie rosyjsko-ukraińska „wojna hakerów” jest tak brutalna właśnie dlatego, że front przesunął się do środka człowieka. Kod, malware, DDoS, teleoszustwo, deepfake – to tylko narzędzia. Pole bitwy jest w ludzkiej psychice.