Armia i Służby
#CyberMagazyn: CyberBerkut rosyjską cyberbronią. Ukraina na celowniku działań dezinformacyjnych
Od 2014 roku inspirowana przez Kreml grupa CyberBerkut prowadzi szerokie działania w cyberprzestrzeni wymierzone we władze Ukrainy – wynika z raportu fundacji Info Ops Polska. To część rozbudowanej rosyjskiej strategii działań hakerskich i dezinformacyjnych mających wesprzeć prorosyjską propagandę.
Rosja od dawna jest posądzana o rozbudowane działania w sieci mające za pomocą ataków hakerów oraz szerzenie fake newsów wesprzeć polityczne cele obecnych władz na Kremlu.
Teraz dodatkową wiedzę na ten temat dostarczyła analiza funkcjonowania grupy CyberBerkut, opublikowana przez fundację Info Ops Polska.
Zgodnie z opracowaniem, operacje w obszarze cyfrowym prowadzone przez Federację Rosyjską wobec jej przeciwników politycznych często przedstawiane są - zwłaszcza w mediach - jako dobrze skoordynowane, wielopoziomowe zadania wykonywane i planowane przez wysoko wyspecjalizowane podmioty skupione w scentralizowanej strukturze dowodzenia państwa i zarządzane bezpośrednio przez Kreml.
Według analityków Info Ops Polska, taki opis pozwala zrozumieć strategiczne i długofalowe cele, jakie Federacja Rosyjska stara się osiągnąć w zakresie działań dezinformacyjnych i propagandowych. Nie pomaga jednak w zrozumieniu wielu zjawisk z wyżej wymienionych dziedzin na poziomie operacyjnym oraz sposobów ich bieżącego funkcjonowania, zanim staną się one częścią ugruntowanego aparatu dezinformacji i propagandy.
Zgodnie z raportem, dogłębna analiza niektórych rosyjskich operacji prowadzi do wniosku, że Kreml organizuje grupy i ruchy hakerskie lub obywatelskie, które wykonują różne zadania w sposób względnie niezależny, później natomiast są one stopniowo włączane w wyrafinowane struktury państwowe.
CyberBerkut na froncie dezinformacji
Jedną z takich grup jest CyberBerkut, rosyjska grupa działająca od 2014 roku przeciwko Ukrainie, która za pomocą swoich działań próbuje kompromitować w internetowej opinii publicznej legalnie wybrane władze tego kraju, a także podważyć pozycję Ukrainy w oczach zachodnich sojuszników. Pierwsze działania CyberBerkutu zostały zaobserwowane w marcu 2014 roku jako część szerszej wrogiej operacji Rosji przeciwko Ukrainie w następstwie nielegalnej aneksji Krymu.
"W tym czasie grupa przeprowadziła szereg wrogich operacji w cyberprzestrzeni, mających na celu zakłócenie funkcjonowania państwa ukraińskiego" – czytamy w opracowaniu. "Działania te obejmowały m.in. rozproszone ataki typu DDoS (distributed denial-of-service attacks), włamania do sieci i niszczenie danych. Grupa pozycjonowała się jako prorosyjska hakerska organizacja utworzona przez obywateli Ukrainy, niezadowolonych z prodemokratycznych zmian w kraju. Jednak poziom zdolności organizacyjnych CyberBerkutu oraz koordynacja działań z rosyjską ofensywą wojskową i polityczną stawiają pod znakiem zapytania rzekomą niepaństwowość grupy."
Według ekspertów, choć trudno udowodnić jednoznaczne i bezpośrednie powiązanie Kremla z CyberBerkutem, wydaje się bardziej niż prawdopodobne, że istnieją między nimi silne powiązania pośrednie.
Analiza pokazuje, że zarówno zbieżność celów grupy, innych podmiotów zaangażowanych w konkretne rosyjskie operacje, jak i narzędzia oraz informacje wykorzystywane przez grupę w tych operacjach mogą być narzucone odgórnie. Istnieją też dowody na to, że CyberBerkut koordynował swoje działania z grupą APT28, która przez ekspertów uznawana jest za nadzorowaną przez GRU.
Pod koniec 2014 roku grupa CyberBerkut zaczęła skupiać się na wyciekach danych, niż na atakowaniu infrastruktury IT i przeprowadzaniu cyberataków. Od tego czasu wyspecjalizowała się w operacjach informacyjnych wymierzonych w opinię publiczną, a w niektórych przypadkach w poszczególne wątki istotne dla debaty publicznej na Ukrainie i za granicą. Grupa odniosła sukces na tyle duży, że stała się rozpoznawalna zarówno w Rosji i na Ukrainie, jak i wśród zachodnich ekspertów.
"Od samego początku operacje CyberBerkutu koncentrowały się głównie na Ukrainie lub były skierowane na Ukrainę w szerszym kontekście międzynarodowym, niezależnie od charakteru tych operacji (cyberataki lub działania informacyjne)" – podkreślają eksperci Info Ops Polska. "Większość zarejestrowanych aktywności grupy miała miejsce w ciągu pierwszych dwóch lat jej istnienia, jednak przez cały ten czas pozostawała aktywna, choć ze znacznie mniejszą intensywnością, odpowiadającą intensywności rosyjskiej agresji na Ukrainę. Można przypuszczać, że po zaostrzeniu konfliktu CyberBerkut również się uaktywni."
Elastyczna taktyka
Według raportu, najbardziej charakterystyczną taktyką grupy w ostatnich latach były wycieki danych. W przeciwieństwie do wielu innych podobnych projektów, którym zależy na zdobyciu wiarygodności wśród szerokiego grona odbiorców, a tym samym poparcia dla konkretnej sprawy, CyberBerkut nie udziela informacji o tym, w jaki sposób i kiedy uzyskał dostęp do danych.
Można więc założyć, że przynajmniej część z przejętych informacji i dokumentów nie została pozyskana przez samą grupę. Nie można również ocenić znaczenia wielu z tych dokumentów, jak również ich autentyczności. Prowadzi to do wniosku, że albo grupa nie przywiązuje dużej wagi do rozpowszechnianych informacji - o ile realizują one konkretne cele - albo po prostu otrzymuje materiały od osób trzecich, a CyberBerkut jako taki nie ma możliwości ich weryfikacji. Według raportu najprawdopodobniej jest to mieszanka obu tych czynników, co wskazuje na rolę grupy w rosyjskim aparacie dezinformacji jako centrum dystrybucji określonych antyukraińskich narracji.
Eksperci sądzą, że trudno jest ocenić możliwości CyberBerkutu i dokładny zakres działań, które potencjalnie może prowadzić samodzielnie. Biorąc pod uwagę już przeprowadzone zadania, da się wysnuć ogólny wniosek, że grupa może z łatwością wybierać narzędzia i taktyki z relatywnie ogromnego arsenału, w zależności od bieżących celów.
Choć całkowity zakres wszystkich analizowanych działań od 2014 roku może być postrzegany jako szeroki (od stosunkowo złożonych operacji wymierzonych w infrastrukturę w cyberprzestrzeni, po wyciek słabo sfabrykowanych dokumentów), to w rzeczywistości operacje te - gdy już zostały podjęte - były raczej ograniczone do konkretnych obszarów (cybernetycznych lub informacyjnych).
Biorąc pod uwagę fakt, że grupa stosunkowo wcześnie przeszła do operacji informacyjnych, analitycy dochodzą do kolejnego wniosku, że możliwości techniczne CyberBerkutu mogą być obecnie ograniczone i że około jesieni 2014 roku grupa świadomie zmieniła swój profil na operacje informacyjne.
W raporcie wskazano także, że narracje rozpowszechniane przez CyberBerkut są zróżnicowane pod względem tematyki, ale analiza pokazuje, że większość z nich ma na celu wywołanie strachu u odbiorców.
"Zgodnie z dobrze zbadaną taktyką rosyjską, strach, jako emocja pierwotna, przeważa nad wieloma lub nawet większością innych reakcji poznawczych i emocjonalnych oraz wywołuje natychmiastowe i kompulsywne działania, tzw. reakcję >>walcz lub uciekaj<<" – głosi opracowanie. "W realnym życiu skutkowałyby one albo unikaniem źródła strachu (ucieczka), albo próbami jego złagodzenia lub wyeliminowania (walka). W przypadku operacji informacyjnych prowadzonych w kontrolowanych przez państwo mediach propagandowych oraz w cyberprzestrzeni, gdzie obiekty oddziaływania są w większości przypadków pozbawione możliwości reakcji, strach prowadzi do frustracji, która jest następnie przekierowywana na raczej bierne, ale wciąż znaczące sposoby, takie jak rozpalanie nienawiści i udzielanie poparcia ruchom ekstremistycznym lub autorytarnym reżimom politycznym, które są przedstawiane jako te, które >>naprawdę<< kontrolują sytuację (często w opozycji
do rzekomo bezsilnych systemów demokratycznych)".
Dla Rosji korzystne jest więc stałe utrzymywanie pewnego poziomu strachu wśród odbiorców za pomocą dobrze spreparowanych (tj. atrakcyjnych) narracji. Jednym z takich przykładów jest teoria spiskowa, według której USA "otaczają" kilka narodów i państw, w których znajdują się tajne laboratoria produkujące broń chemiczną lub biologiczną. CyberBerkut odtworzył również tę narrację, choć dostosowaną do kontekstu ukraińskiego, twierdząc, że ukraińskie siły specjalne - nadzorowane przez specjalistów wojskowych z USA - próbują biologicznie skazić odpadami radioaktywnymi konkretny obszar.
Grupa zamieściła listę z nazwiskami amerykańskich wojskowych, rzekomo zaangażowanych w ten spisek, nie wskazując jednak, skąd i jak zdobyła te informacje.
Raport wskazuje, że początkowo grupa wykorzystywała swoje możliwości techniczne do zakłócania funkcjonowania instytucji i tym samym podważania ich wiarygodności w najbardziej intensywnym okresie rosyjskiej ofensywy, zarówno pod względem działań militarnych, jak i propagandowych.
Kilka ataków DDoS było skierowanych m.in. na stronę internetową premiera Ukrainy oraz Centralnej Komisji Wyborczej (CKW). Oprócz nadszarpnięcia reputacji CKW, atakowanie jej na kilku innych płaszczyznach (włamanie do sieci, przejęcie danych, zniszczenie oprogramowania) mogło również potencjalnie wpłynąć na frekwencję w wyborach prezydenckich przeprowadzonych po obaleniu prorosyjskiego prezydenta Janukowycza i jego ucieczce do Rosji, a tym samym dać Kremlowi argumenty do podważenia demokratycznego wyboru Ukraińców i rozegrania tej kwestii zarówno na arenie międzynarodowej, jak i wewnętrznej w celu osłabienia mandatu nowych ukraińskich elit.
Nie tylko oficjalne strony
CyberBerkut celuje również w organizacje i podmioty niepaństwowe. W 2014 roku grupa przeprowadziła atak DDoS na PrivatBank, należący wówczas do ukraińskiego oligarchy Igora Kołomojskiego. W tym samym roku Kołomojskij został mianowany przez ukraiński rząd gubernatorem obwodu dniepropietrowskiego i wspierał integralność terytorialną Ukrainy w obliczu rosyjskiej agresji. Operacja ta została przeprowadzona przy pomocy botnetu do wynajęcia.
W maju i listopadzie 2015 roku CyberBerkut próbował skompromitować organizację pozarządową Open Society Foundation za pomocą wycieku danych. Wykradzione dokumenty miały świadczyć o poważnej niegospodarności w ukraińskim Ministerstwie Finansów i próbowały powiązać je z George'em Sorosem, amerykańskim miliarderem i założycielem Open Society, który otwarcie krytykował rosyjski reżim. Celując w Sorosa CyberBerkut wykorzystał pośrednio jeden z dobrze znanych wątków, który przedstawia Rosję jako oblężoną twierdzę atakowaną przez skorumpowane zachodnie liberalne elity wywołujące „kolorowe rewolucje".
Na celowniku CyberBerkuta znaleźli się również niezależni dziennikarze, aktywnie badający rosyjską agresję i ingerencję na Ukrainie. Przykładem takiego działania jest operacja przeciwko Davidowi Satterowi w 2016 roku, amerykańskiemu dziennikarzowi, którego e-maile wyciekły w wyniku ataku phishingowego. Wiadomości zawierały informacje o rzekomym zaangażowaniu National Endowment for Democracy (NED) w ukraińską rewolucję. NED to amerykańska fundacja wspierająca finansowo organizacje pozarządowe na całym świecie. Jednym z głównych źródeł finansowania NED są agencje rządowe USA. CyberBerkut poprzez wyciek maili Sattera próbował zagrać na podobnym wektorze jak w przypadku Sorosa, "udowadniając", że USA finansuje antyrosyjskie rewolucje.
Według raportu, CyberBerkut wydaje się nie dbać o swoją wiarygodność jako organizacja hakerska. W przeciwieństwie do większości niezależnych grup skupiających ideologicznie zmotywowanych haktywistów, CyberBerkut wkłada bardzo mało wysiłku w przekonanie docelowych odbiorców do intencji grupy poprzez dostarczenie jakichkolwiek wiarygodnych informacji na temat tego, jak i gdzie gromadzi dane, które wyciekły w wyniku ataku.
Eksperci zaznaczają, że odkładając na bok dyskusję, czy takie posunięcie naraziłoby grupę na jakiekolwiek ryzyko pod względem bezpieczeństwa operacyjnego, z pewnością pozwoliłoby analitykom ocenić w pewnym stopniu zasięg i możliwości organizacji.
To z kolei mogłoby zapewnić lepszy wgląd we wpływy grupy na ludzi w całej cyberprzestrzeni i być może dać pomysł na to, jak profilować jej aktywnych zwolenników oraz czy są oni zdolni do prowadzenia określonych typów operacji.
"Szerokie poparcie dla działań CyberBerkutu mogłoby również legitymizować grupę i służyć jako cenny atut pod względem marketingowym. Tego typu informacji nie ma jednak zbyt wiele, co jest prawdopodobnie świadomym zabiegiem kierownictwa grupy, mającym na celu zatarcie śladów łączących CyberBerkut z Rosją jako głównym dostawcą danych i zamówień oraz stworzenie iluzji wsparcia ze strony obywateli Ukrainy, podczas gdy rzeczywiste wsparcie wydaje się być znikome" – podsumowuje raport Info Ops Polska.
Chcemy być także bliżej Państwa – czytelników. Dlatego, jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected]. Przyszłość przynosi zmiany. Wprowadzamy je pod hasłem #CyberIsFuture.
Haertle: Każdego da się zhakować
Materiał sponsorowany