#CyberMagazyn: Ataki Rosji. Jak działają hakerzy Putina?

Wydarzenia na świecie potwierdzają, że cyberprzestrzeń jest integralnym obszarem współczesnych wojen i konfliktów. Ugrupowania hakerskie, haktywistyczne, cyberprzestępcze angażują się – z różnych motywacji – w sytuacje kryzysowe. Widzimy to na przykładzie Izraela i Hamasu, ale przede wszystkim (ze względu na bliskość Polski) Ukrainy i Rosji.

Hakerzy. Narzędzie Putina

Na łamach naszego portalu wielokrotnie wskazywaliśmy, że dla Putina hakerzy to narzędzie realizacji celów. Grupy wspierane przez Kreml posiadają wysokie zdolności i środki przez co stanowią poważne zagrożenie. Przed inwazją pojawiały się głosy, że przyszłe konflikty będą dotyczyły cyberdomeny, a Rosja to „cyberpotęga”, która w momencie próby pokaże swoją siłę. 

Tuż przed wkroczeniem wojsk Rosji do naszego wschodniego sąsiada miały miejsce masowe ataki DDoS, choć ich znaczenie jest podawane w wątpliwość. Celem miało być sparaliżowanie przestrzeni informacyjnej Ukrainy. Ocena tej kampanii nie jest prosta ze względu na trudności w określeniu faktycznej skuteczności z perspektywy Kremla. Wiele wskazuje na to, że DDoS stanowiły operację przygotowawczą przed realizacją militarnych działań. A co dalej?

Obecnie wiemy, że – poza Viasat – od lutego 2022 r. nie doszło do żadnego incydentu, który miałby strategiczny wpływ na sytuację Ukrainy lub układ sił na froncie. Nie oznacza to jednak, że Rosja porzuciła cyberprzestrzeń jako istotny obszar osiągania celów. 

Wymagający przeciwnik

Nieustannie prowadzone są cyberdziałania. Zadania specjalne realizują w tym zakresie grupy hakerskie powiązane z m.in. służbami specjalnymi (np. GRU, FSB, SVR). Mówimy o zaawansowanych podmiotach zdolnych do prowadzenia wymagających operacji w sieci. 

Polski wywiad i resort cyfryzacji we wspólnym raporcie ocenili, że rosyjscy hakerzy „są zdolni do niszczenia infrastruktury, w tym krytycznej, lub zakłócania jej funkcjonowanie, a ich istotnym zadaniem jest wykradanie wrażliwych danych”. Z tego względu nie można ich lekceważyć i należy być stale gotowym na zagrożenie. Jak to zrobić? Z pewnością pomocne jest zapoznanie się z taktyką hakerów, analizując ostatnie kampanie.

Podmioty powiązane z Kremlem aktywnie wykorzystują podatności. Pozwala im to na uzyskanie dostępu do docelowej infrastruktury i np. kradzież danych. Można tu wskazać na podatności w WinRAR, Roundcube, Zimbra, Outlook. 

Usunąć dane

Specjaliści ESET w swojej analizie dotyczącej okresu kwiecień-wrzesień 2023 r. opisują m.in. kampanię grupy Sandworm powiązanej z rosyjskim wywiadem wojskowym GRU. Jej hakerzy w kwietniu przeprowadzili cyberatak na jedną z ukraińskich instytucji rządowych. Podczas wrogich działań wdrożyli złośliwe oprogramowanie przeznaczone do czyszczenia danych.

Podobne operacje Sandworm zrealizował w czerwcu, uderzając w organizację medialną oraz lipcu, gdzie celem były firmy prywatne i organizacja rządowa. O swoich osiągnięciach grupa ma informować za pomocą kanału na Telegramie.

Polska celem ataków

Inną grupą, pokazującą jak działa Rosja w sieci, jest Fancy Bear (również ma być powiązana z GRU). Specjalizuje się w kampaniach cyberszpiegowskich i niezmiennie pozostaje aktywna w ostatnim czasie. W czerwcu br. eksperci ESET wykryli kampanię phishingową. Hakerzy próbowali wykorzystać podatność w Roundcube (CVE-2020-35730), aby wdrożyć złośliwy kod JavaScript do serwera poczty ofiary. Powodzenie operacji pozwala im na wykradanie maili i książki adresowej.

Kolejne tego typu działania Fancy Bear prowadziło w sierpniu i wrześniu, również posługując się wspomnianą luką. Cele zarówno poprzedniej, jak i omawianej kampanii znajdowały się m.in. na Ukrainie i w… Polsce. 

Hakerzy grupy powiązanej z GRU starali się także wykorzystać podatności CVE-2023-23397 w Outlooku (cele w m.in. naszym kraju) oraz CVE-2023-38831 w WinRAR, o czym informowaliśmy na łamach naszego portalu (przykład Ukrainy i Francji).

Nowe narzędzia

Warto także wyróżnić kampanie prowadzone przez grupę powiązaną z FSB – Gamaredon. W ocenie ekspertów ESET mówimy o najbardziej aktywnym podmiocie atakującym Ukrainę. 

Zdaniem specjalistów, w okresie kwiecień-sierpień hakerzy „znacząco podnieśli umiejętności gromadzenia informacji o charakterze wywiadowczym”. Rozszerzyli funkcjonalności obecnych narzędzi oraz stworzyli nowe, aby pozyskiwać dane na jeszcze większą skalę. Przykładem może być nowa wersja PteroSteal (służy do kradzieży m.in. danych uwierzytelniających), którą specjaliści wykryli w kwietniu. Z kolei w czerwcu i sierpniu zidentyfikowali kilka nowych narzędzi Gamaredon: PteroCookie (wykrada pliki cookie z np. Chrome i Edge), PteroSig (kradzież danych z Signala) oraz PteroGram (wykrada informacje z Telegrama), PteroBleed (pozyskuje dane z przeglądarek, w tym Opera) oraz PteroScout (przeznaczone do operacji rozpoznania). 

Ataki Rosji na Polskę

Opisane powyżej aktywności rosyjskich grup hakerskich pokazują, że zagrożenie stale utrzymuje się na wysokim poziomie. Choć głównie wrogie działania obejmują kradzież danych, to nie oznacza, że są one mniej niebezpieczne. Poufne informacje nie bez powodu objęte zostały klauzulą tajności – mogą mieć np. wpływ na bezpieczeństwo państwa a pozyskanie ich przez wroga daje mu dodatkowy oręż. Choć konwencjonalna wojna toczy się w Ukrainie, w sieci konfrontacja nie ma granic i obejmuje też Polskę. Powyższe przykłady pokazują, że nasz kraj jest jednym z głównych celów hakerów Putina. 

Nie możemy zatem tracić czujności i należy konsekwentnie realizować zadania związane z cyberbezpieczeństwem. Odpowiedzialność spoczywa nie tylko na specjalistycznych jednostkach (m.in. cyberwojskach, CSIRT-ach sektorowych), ale również nas samych.Bo tu najsłabszym elementem jest człowiek.*

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na:[email protected].