#CyberMagazyn: Ukraińska ściana. Rosjanie biją głową w mur

W ostatnim czasie ukraińskie instytucje odpowiedzialne za cyberbezpieczeństwo, na czele z CERT-UA, wykryły wzmożoną aktywność grupy „UAC-0010”, znanej również jako „Armageddon” lub „Gamaredon”. 

To podmiot związany z rosyjskimi służbami specjalnymi, a dokładnie mówiąc FSB – tak twierdzi m.in. ukraińskie SBU. Pierwszy raz grupę wykryto w 2013 roku. Zajmuje się przede wszystkim cyberszpiegostwem. 

W ostatnim czasie przedstawiciele „Armageddonu” mają stać za licznymi próbami infekowania instytucji rządowych Ukrainy podczas wojny, ale i nie tylko. 

Jedna z najbardziej aktywnych grup

Już na początku lutego br. specjaliści Symantec informowali o operacjach ukierunkowanych na ukraińskie cele, które miały odznaczać się wysokim poziomem wyrafinowania. Wówczas grupa wykorzystała specjalistyczne narzędzie do kradzieży danych uwierzytelniających. Według ekspertów, od tego momentu zaangażowanie „UAC-0010” utrzymywało się na wysokim poziomie, lecz w ostatnim czasie znacznie wzrosło.  

Z kolei na początku kwietnia „Armageddon” rozsyłała na ukraińskie rządowe skrzynki zainfekowane e-maile, których tytuł „Informacje o zbrodniarzach wojennych Federacji Rosyjskiej” miał zachęcić pracowników administracji do dalszej interakcji. 

Oczywiście to tylko przykłady szeroko zakrojonych działań grupy. 

Pomimo wielu kampanii, wymierzonych w ukraińskie podmioty w czasie wojny „UAC-0010” nie jest najbardziej wyrafinowaną grupą związaną z Kremlem. Nie zmienia to jednak faktu, że z pewnością należy ją uznać za najbardziej „płodną”. A na ile skuteczną? 

„Głową w mur”

Hakerzy Putina musieli zderzyć się z ukraińskim cybermurem. Po inwazji Rosji wiele cyberataków „Armageddonu” zostało odpartych. 

Przykładem może być fakt, że w połowie marca br. Służba Bezpieczeństwa Ukrainy (SBU) ogłosiła, że udało się odeprzeć duży atak na tajne zasoby rządowe, za którym właśnie miała stać grupa „UAC-0010”. Wówczas mówiono o istotnym sukcesie, ponieważ gdyby operacja powiodła się, hakerzy powiązani z FSB mogliby zapewnić władzy na Kremlu dostęp do informacji najwyższych organów w Ukrainie.

Pełne skupienie na wrogu

To, że Ukraina jest w stanie neutralizować operacje „Armageddonu” nie jest dziełem przypadku, lecz długotrwałej obserwacji działań i zachowań grupy, analizy jej narzędzi oraz cyberbroni, a także przechwytywania rozmów, również telefonicznych, między członkami i przywódcami – donosi Financial Times. 

Posiadając rozległą wiedzę na temat „UAC-0010”, eksperci i władze mogły przygotować się na cyberataki wymierzone w krajową infrastrukturę, podobnie jak to ma miejsce w tradycyjnej domenie – wieloletnie operacje ze strony Rosji wymusiły na Kijowie podjęcie stosownych działań, aby zwiększyć gotowość kraju na ewentualną konfrontację, która ostatecznie nastąpiła 24 lutego br. 

Wsparcie z zewnątrz

Poważne zaangażowanie w kwestię budowy cyberbezpieczeństwa w Ukrainie widać było po 2015 roku, kiedy to cyberatak doprowadził do tymczasowego blackoutu w obwodzie iwanofrankowskim, na skutek czego ok. 700 tys. mieszkańców zostało odciętych od energii. Wówczas incydent pokazał, w jaki sposób cyberoperacje mogą wywołać chaos i naruszyć infrastrukturę krytyczną, która ma strategiczne znaczenie dla kraju. 

W związku z tym rok później emerytowany już admirał marynarki wojennej USA Michael Rogers, który stał wówczas na czele USCYBERCOM i NSA, wysłał na Ukrainę pierwsze zespoły amerykańskich cyberżołnierzy, aby wesprzeć tamtejszą cyberobronę – przypomina „FT”. 

Z kolei w 2017 roku miał miejsce atak NotPetya. Został on wymierzony w Ukrainę, lecz z czasem rozlał się na inne państwa, osiągając skalę incydentu międzynarodowego. To był kolejny test dla Kijowa. 

Odnosząc się do bieżących wydarzeń, należy podkreślić, że już w październiku i listopadzie 2021 roku Amerykanie wysłali swoich specjalistów (m.in. cyberżołnierzy USCYBERCOM, ekspertów firm prywatnych), aby przygotować Ukrainę do (cyber)wojny. Ich celem było m.in. „polowanie na ukryte złośliwe oprogramowanie”, które Rosja mogła zainstalować w infrastrukturze, a następnie pozostawić w tzw. „uśpieniu”, by w przypadku decyzji o jego użyciu – przeprowadzić niszczycielski cyberatak. Pomocy Ukrainie udzielają również przedsiębiorstwa specjalizujące się w cyberbezpieczeństwie. 

Miało dojść „do powtórki z rozrywki”

To wsparcie przełożyło się na wymierne skutki. Zaangażowanie krajowych i zewnętrznych specjalistów pozwoliło na wykrycie groźnego oprogramowania innej rosyjskiej grupy „Sandworm”, kontrolowanej przez GRU.

Wirus został ulokowany w komputerach w jednej z elektrowni dostarczającej energię do milionów Ukraińców. Oprogramowanie miało „uruchomić się” 8 kwietnia br. i usuwać wrażliwych plików, co miało doprowadzić do powtórki z 2015 roku. Jednak podjęte działania pozwoliły na neutralizację zagrożenia. 

„Musisz dobrze znać swoich wrogów”

Posiadanie zasobów, narzędzi, wiedzy i doświadczenia zwiększa skuteczność cyberobrony. W przypadku np. „Armageddonu” strona ukraińska postanowiła stosować metodę wnikliwej i długiej obserwacji, wyciągania wniosków oraz adekwatnego przygotowania. 

„Musisz dobrze znać swoich wrogów od lat, aby być w stanie przewidywać ich działania” – wskazuje na łamach „FT" Shmuel Gihon, badacz w Cyberint. W jego ocenie „UAC-0010” to poważne zagrożenie wśród najbardziej utalentowanych grup.

Chcemy być także bliżej Państwa – czytelników. Dlatego, jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected]. Przyszłość przynosi zmiany. Wprowadzamy je pod hasłem #CyberIsFuture.