#CyberMagazyn: „Głową muru nie przebijesz”. Wojenna rzeczywistość hakerów Putina, Łukaszenki i Xi

W trakcie konferencji „Cybersec 2022” w Katowicach miałem przyjemność spotkania się z osobami zajmującymi się kwestiami cyberbezpieczeństwa w Google: Royalem Hansenem (CISO Google Cloud), Billym Leonardem (TAG Google) i Scottem Carpenterem (Jigsaw Google).

Dyskutowaliśmy o sytuacji w Ukrainie i związanym z nią cyberzagrożeniach, potencjale Rosji i o tym, co amerykański gigant robi, aby pomóc naszemu sąsiadowi w odparciu agresji sił Putina.  

Wojna w Ukrainie

W trakcie spotkania Billy Leonard, Global Head of Analysis of State Sponsored Hacking And Threats (Google Threats Analysis Group – TAG), wskazał, że koncern od miesięcy obserwuje wzmożoną aktywność wokół Ukrainy, uderzającą w ten kraj. Celem są także inne państwa w regionie, w tym Polska.

Wrogą aktywność zaobserwowaliśmy kilka miesięcy przed wybuchem wojny w Ukrainie. Wiele grup przesunęło swoje cele, skupiając się dokładnie na tym kraju, w tym jego organizacjach rządowych, podmiotach zajmujących się obronnością, w tym wojskowych kontrahentów – generalnie tych instytucjach i firmach, które mogą mieć wpływ na bieg wojny.
Billy Leonard, Global Head of Analysis of State Sponsored Hacking And Threats (Google Threats Analysis Group)

„Ukraina zwracała się do nas o pomoc” – potwierdził Royal Hansen. Dodał, że zależało jej na m.in. zdolnościach w zakresie wywiadu i wykrywania zagrożeń. Kijów był także zainteresowany rozwiązaniami z obszaru cyberobrony oraz walki z dezinformacją. „Chcieli wiedzieć, jak określone materiały trafiają do ich obywateli” – przekazał mi specjalista koncernu.  

Ukraina jest powszechnym celem rosyjskich aktorów. Widzimy to od momentu, kiedy skupiliśmy się na tym regionie.
Billy Leonard, Global Head of Analysis of State Sponsored Hacking And Threats (Google Threats Analysis Group)

„Magiczny cyberpocisk” i „czerwony guzik”

Przedstawiciel Google TAG zaznaczył, że wielu uważa, iż Kreml ma coś na wzór „magicznego cyberpocisku” i „dzięki niemu może uzyskać dostęp do wszystkiego; może robić co chce i kiedy chce”. Jednak obecnie obserwujemy małą skuteczność cyberoperacji, prowadzonych przez Moskwę. 

Zdaniem Royala Hansena, Vice President of Engineering for Privacy, Safety, and Security at Google (CISO Google Cloud), „cyberoperacje nie są jak konwencjonalna broń”. 

„Hakerzy mają swoich szefów i budżety. Ich działania wymagają czasu na przygotowania, koordynację. Musimy mieć na uwadze, że gdzieś w tej hierarchii jest osoba odpowiedzialna za naciskanie tego przysłowiowego >>czerwonego guzika<<” – stwierdził podczas naszego spotkania. 

Cyberoperacje skoordynowane z konwencjonalnymi atakami

Czy więc można jednoznacznie stwierdzić, że cyberdziałania podczas wojny w Ukrainie są skoordynowane z tradycyjnymi kampaniami militarnymi? Odnosząc się do tej kwestii, Billy Leonard zwrócił uwagę, że taki stan rzeczy potwierdza zakłócenie infrastruktury Viasat (dostawca internetu satelitarnego, z którego usług korzystają m.in. siły zbrojne Ukrainy). 

Incydent rozpoczął się tuż przed inwazją wojsk Putina na Ukrainę. Ze względu na to, że „rozlał się" także na inne kraje, doprowadził do m.in. zakłócenia działania tysięcy turbin wiatrowych w Niemczech. 

„Poza tym przypadkiem, obecnie nie posiadamy więcej danych na temat cyberataków, które byłyby ściśle skoordynowane z konwencjonalnym uderzeniem Rosji” – mówił mi Billy Leonard. 

Cyberoperacje Rosji to nie nowość

Podczas dyskusji Royal Hansen wskazał, że wysiłki Rosji w domenie cyber, które obecnie obserwujemy, nie są dla Google'a nowością. „Posiadamy długą historię w obserwowaniu i śledzeniu rosyjskich grup hakerskich, które atakują nasze platformy i te, które są w jakiś sposób połączone z naszym koncernem” – zaznaczył.

Specjalista wspomniał o m.in. wysiłkach giganta, podejmowanych przed i w trakcie wyborów w Stanach Zjednoczonych. Google stworzył wtedy specjalistyczny „pasek bezpieczeństwa”, aby chronić amerykańskie procesy demokratyczne przed ingerencją z zewnątrz.  

Nauka z własnych doświadczeń

Jak podkreślił Royal Hansen, ważną lekcją dla amerykańskiego giganta były wydarzenia z 2009 roku. Wówczas doszło do serii cyberataków przeprowadzonych przez hakerów (m.in. grupy „Elderwood”) powiązanych chińską Armią Ludowo-Wyzwoleńczą. Ich celem były firmy takie jak Google, Adobe Systems, Symantec czy Morgan Stanley. 

Kampania została po raz pierwszy ujawniona przez firmę Hansena w 2010 roku. Jej nazwę - „Operacja Aureola” - wymyślił Dmitri Alperovitch z McAfee, ze względu na charakter wrogich działań. 

Celem ataków było uzyskanie dostępu do repozytoriów kodu źródłowego i ich potencjalna modyfikacja w firmach, zajmujących się zaawansowanymi technologiami, bezpieczeństwem i obronnością.

Zero zaufania

Kampania chińskich hakerów zmusiła Google'a do zrobienia kroku w tył w budowie systemu cyberbezpieczeństwa. Jak powiedział mi w trakcie spotkania Royal Hansen, postanowiono wtedy przyjąć podejście „zerowego zaufania”, ponieważ tylko tak można zminimalizować ryzyko pojawienia się incydentu.  „Nigdy więcej zagrożenia wewnątrz organizacji” – mówił. 

Podczas swojego wystąpienia na głównej scenie „Cybersec 2022” ekspert posłużył się metaforą: „Budowanie wysokich murów nie jest dobrym rozwiązaniem w podnoszeniu cyberbezpieczeństwa, bo co w momencie, kiedy komuś uda się je pokonać i wedrzeć do środka naszej twierdzy?”.

I tak właśnie skończyło się korzystanie z zewnętrznych urządzeń w amerykańskim gigancie. 

Jak Google pomaga w wojnie?

„Doświadczenia z przeszłości oraz nowe inicjatywy mają pomóc Ukrainie w staniu się bezpieczniejszym i odporniejszym krajem” – podkreślił w trakcie naszej rozmowy Royal Hansen. Co miał na myśli? 

Między innymi usługę „Air Raid Alerts”, która została udostępniona na urządzenia z Androidem na początku marca br. użytkownikom w Ukrainie. „Na prośbę i z pomocą ukraińskiego rządu rozpoczęliśmy wdrażanie systemu alarmów przeciwlotniczych dla telefonów z systemem Android” – wskazał w komunikacie do sprawy Kent Walker, prezes ds. globalnych Google'a. 

Royal Hansen przekazał mi również, że po rosyjskiej inwazji Google „włączył” silniejszą ochronę dla użytkowników w regionie. Rozszerzono m.in. program przeciwko atakom DDoS „Project Shield”. Obecnie korzysta z niego np. rząd w Kijowie. A przypomnijmy, że tego typu cyberoperacje zakłóciły działalność wielu witryn państwowych instytucji (m.in. MSZ, MSW, SBU), co miało miejsce tuż przed konwencjonalnym uderzeniem wojsk Putina. 

„Docieramy do użytkowników wysokiego ryzyka, takich jak dziennikarze czy aktywiści, dzięki czemu setki osób w Ukrainie jest lepiej chronionych” – podkreślił również przedstawiciel koncernu. 

Pomoc otrzymują także rządy innych państw, ponieważ istotnym elementem skutecznej cyberobrony jest posiadanie zmodernizowanej infrastruktury i aktualnego oprogramowania. Wynika to z faktu, że wiele grup wspieranych przez państwo lub cyberprzestępczych wykorzystuje luki w przestarzałym sprzęcie. Podatności to dla nich zaproszenie i możliwość do rozgoszczenia się w sieciach. 

Nie tylko Rosja. Także Białoruś, Chiny i inni

Zagrożenie płynie jednak nie tylko ze strony prorosyjskich aktorów. Tematyka wojny w Ukrainie wykorzystywana jest także przez podmioty z m.in. Chin, Iranu, Korei Północnej czy grupy cyberprzestępcze do prowadzenia np. kampanii phishingowych. Wiadomości odwołujące się do wydarzeń w Ukrainie z założenia mają przykuć uwagę odbiorców i zachęcić ich do kliknięcia w link lub pobrania załączonego pliku. 

„Zaobserwowaliśmy głównie aktywność rosyjskich grup, ale także chińskich, irańskich i północnokoreańskich" – mówił mi Billy Leonard. Dodał, że nie można także zapomnieć o aktorach z Białorusi, którzy „jak już publicznie wiadomo, są odpowiedzialni za kampanię Ghostwriter (jedną z jej odsłon była afera tzw. Dworczyk Leaks, ujawniająca treść korespondencji Michała Dworczyka, szefa KPRM – red.)”. „Pozostają cały czas bardzo aktywni, a ich celem są m.in. rządowe organizacje obronne, dziennikarze i NGOs” – powiedział specjalista TAG. 

Co ciekawe, ekspert zaznaczył, że wraz z kolejnymi dniami wojny, Google zaobserwował przesunięcie cyberataków na cele poza Ukrainę. Chodzi o kraje w regionie, np. Polskę czy Litwę. 

Spora część wrogiej aktywności, która zaczęła się w grudniu 2021 roku to sprawka grupy, którą nazywamy „Coldriver". Przypisujemy ją Rosji. Widać było także działania aktorów stojących za kampanią „Ghostwriter". Pod koniec roku prowadzili wrogie operacje wymierzone w różnorodne organizacje w Ukrainie.
Billy Leonard, Global Head of Analysis of State Sponsored Hacking And Threats (Google Threats Analysis Group)

Wyjaśnił, że białoruscy aktorzy posługują się m.in. phishingiem, aby włamać się na konta określonych użytkowników, a następnie wykorzystać ten dostęp do pozyskiwania informacji, modyfikacji treści itd. Są również zainteresowani zamieszczaniem na portalach propagandowych lub dezinformujących treści poprzez wcześniejsze przeniknięcie do infrastruktury danego serwisu, portalu, redakcji.

„Chińska aktywność jest także bardzo ciekawa” – ocenił Billy podczas naszego spotkania. Zaznaczył, że dwa dni przed wybuchem wojny w Ukrainie podmioty powiązane z Pekinem naruszyły bezpieczeństwo kilku organizacji rządowych u naszego wschodniego sąsiada. „Byliśmy w stanie odnotować, że Ukraina szybko zareagowała na te ataki” – wskazał. 

To jedynie przykłady aktywności, które widzieliśmy, jednak jest wiele, których się spodziewamy w przyszłości, wśród nich np. destrukcyjne wirusy. Każdy tydzień, to nowe złośliwe oprogramowanie.
Billy Leonard, Global Head of Analysis of State Sponsored Hacking And Threats (Google Threats Analysis Group)

„Wrogie działania wymierzone są także w zwykłych użytkowników. Wojna w Ukrainie polega również na zachęcaniu pojedynczych osób do otwierania zainfekowanych e-maili, klikania w złośliwe linki, otwierania plików” – tłumaczył Billy Leonard. 

Ekspert doprecyzował, że tego typu kampanie prowadzone są zarówno przez podmioty wspierane przez rządy, jak i działające z pobudek finansowych i/lub przestępczych.

Rosyjskie grupy zainteresowane są operacjami wykorzystującymi złośliwe oprogramowanie. Z kolei pozostałe, jak np. chińskie, prowadzą długofalowe kampanie, które klasyfikujemy jako działania szpiegowskie w celu uzyskania dostępu do określonych zasobów, kont itd.
Billy Leonard, Global Head of Analysis of State Sponsored Hacking And Threats (Google Threats Analysis Group)

Sekret ukraińskiej obrony tkwi w przygotowaniu?

Scott Carpenter, Director for Policy and International Engagement, Jigsaw Google, w ramach dyskusji zwrócił uwagę, że kiedy wojna w Ukrainie była widoczna już na horyzoncie, główne pytanie jakie pojawiło się w świadomości wielu ekspertów i przedstawicieli rządów dotyczyło cyberodporności. Analizowano na ile państwa w regionie są w stanie stawić czoła temu, co lada chwila może się wydarzyć. „Wówczas my zaczęliśmy myśleć o tym, jakie narzędzia są dostępne i czym dysponujemy” – wskazał przedstawiciel Google'a.

Na ten moment można powiedzieć, że Ukraina zdaje egzamin z cyberobronności. Rosji nie udało się jak na razie wywołać poważnego incydentu w tym kraju, choć były takie próby. Hakerzy Kremla starali się m.in. wywołać regionalny blackout, podobnie jak im się to udało w grudniu 2015 roku, kiedy to ok. 700 tys. osób w obwodzie iwano-frankowskim zostało pozbawionych energii na skutek cyberataku na infrastrukturę energetyczną. 

„Wiele osób (w Ukrainie – red.) było świadomych, że inwazja nadejdzie. Ukraiński sektor wojskowy przyglądał się blisko swoim sieciom i systemom. Szukano w nich podatności. Starano się zrozumieć, jakimi zdolnościami dysponuje Rosja i po prostu czekali na to, co się wydarzy” – powiedział mi Scott Carpenter. 

Ekspert podkreślił, że to bardzo ważne, aby być dobrze przygotowanym na najgorszy scenariusz. I da się to zrobić, co pokazuje Ukraina. 

Ukraińcy byli dobrze przygotowani na agresję Rosji. Być może Kreml sądził, że w ukraińskiej infrastrukturze jest więcej podatności, niż finalnie się okazało.
Scott Carpenter, Director for Policy and International Engagement (Jigsaw Google)

„Teraz wielu z nas zastanawia się, co stanie się, gdy to my zostaniemy zaatakowani jak Ukraina. I jeśli do tego dojdzie, to co możemy zrobić. Tu powraca temat cyberodporności. Moim zdaniem możemy wiele wniosków wyciągnąć z lekcji, jaką daje nam wojna w Europie Wschodniej” – stwierdził Scott Carpenter.

Chcemy być także bliżej Państwa – czytelników. Dlatego, jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected]. Przyszłość przynosi zmiany. Wprowadzamy je pod hasłem #CyberIsFuture.