Rosyjskie „dziadostwo” w Ukrainie. Nie czas na „marsz pogrzebowy” dla cyber

Nie sposób mówić o wojnie w Ukrainie w oderwaniu od cyberprzestrzeni, która oficjalnie została uznana przez NATO za jedną z domen konfliktu, obok lądu, morza, powietrza. Od samego początku rosyjskiej inwazji obserwujemy cyberataki wymierzone w infrastrukturę, instytucje, firmy i użytkowników usług cyfrowych po obu stronach. Można wskazać chociażby na ataki DDoS, włamania do kanałów telewizyjnych czy wycieki danych. 

W wojnę angażują się ugrupowania haktywistyczne (np. Anonymous), hakerskie (GNG, NB95 itd.) i cyberprzestępcze (m.in. Conti), które opowiadają się po stronie Kijowa lub Moskwy. Widzimy więc, że w ruch idą nie tylko narzędzia będące w arsenale rządów, ale także zewnętrznych podmiotów.

O znaczeniu cyberprzestrzeni w trwającej wojnie, aktywności Rosji i Ukrainy na tym polu i wielu innych kwestiach rozmawiamy z dr Błażejem Sajdukiem z Katedry Bezpieczeństwa Narodowego Uniwersytetu Jagiellońskiego. 

Szymon Palczewski (CyberDefence24.pl): Gdy mówimy o cyberatach w kontekście wojny w Ukrainie, na który incydent zwróciłby Pan szczególną uwagę?

Dr Błażej Sajduk, Katedra Bezpieczeństwa Narodowego Uniwersytetu Jagiellońskiego: Moim zdaniem, takim większym i ważniejszym incydentem, który można wiązać z wojną w Ukrainie, a w zasadzie z czasem jej rozpoczęcia, było zakłócenie internetu satelitarnego Viasat. Prawdopodobnie to efekt wykorzystania malware – AcidRain, który miał sabotować infrastrukturę dostawcy, w tym routery. Na skutek tego doszło do odcięcia łączności z elektrowniami wiatrowymi m.in. w Niemczech. Problemy wystąpiły też w Ukrainie, której siły zbrojne używały internetu satelitarnego Viasat.

SzP: Nie ma Pan wrażenia, że choć sporo mówi się o domenie cyber, to jednak nie doszło do „spektakularnego cyberataku”?

BS: Należy jasno powiedzieć, że eksperci, którzy zajmują się cyberprzestrzenią są jakby w nią zapatrzeni. Skupieni na tym obszarze i śledzą przede wszystkim to, co tam się dzieje. W związku z tym mają tendencję, żeby wiele rzeczy i zjawisk postrzegać przez pryzmat cyber. 

W rzeczywistości trwający konflikt ma więcej wspólnego z XX-wiecznymi wojnami z technologicznymi „inkrustacjami”. Wojny w Afganistanie i Iraku czy potem w Libii i Syrii nie były w rzeczywistości konfliktami ustalającymi nowe reguły dla działań zbrojnych, a jedynie zbiorem konfliktów pomiędzy dużo bardziej i dużo mniej zaawansowanymi technologicznie stronami. 

SzP: W takim razie, dlaczego – Pana zdaniem – Rosja nie przeprowadziła do tej pory poważnego cyberuderzenia, które odbiłoby się silnym echem?

BS: Tuż przed wojną odbyła się narada Rady Bezpieczeństwa Federacji Rosyjskiej. Wówczas Siergiej Naryszkin, dyrektor Służby Wywiadu Zagranicznego FR, podczas swojej wypowiedzi był „czołgany” przez Władimira Putina i nie mógł płynnie przedstawić stanowiska, mylił się – np. przejęzyczył mówiąc, że opowiada się za przyłączeniem do Rosji nieuznawanych przez świat republik Ługańskiej i Donbasu, a nie uznaniem statusu ich suwerennego statusu. W obliczu silnej presji Naryszkin wyszedł na przysłowiowego „mięczaka”, a przecież jest szefem kluczowej dla bezpieczeństwa instytucji – rosyjskiego wywiadu zagranicznego. 

Równocześnie warto sobie uświadomić, że Rosja dysponuje niezwykle zaawansowanymi podmiotami działającymi w cyber. Można tu wskazać chociażby na wspieraną przez FSB grupę „Turla” odpowiedzialną za m.in. szpiegostwo; „Sandworm” łączoną z atakiem NotPetya, za którą stoi najprawdopodobniej GRU; czy „Cozy Bear” wspieraną właśnie przez Służbę Wywiadu Zagranicznego Federacji Rosyjskiej, wiązaną przez USA z atakiem SolarWinds – najpoważniejszym w historii cyberatakiem na USA. Innymi słowy, zdolności rosyjskich w cyberprzestrzeni są faktycznie bardzo duże i do tego potwierdzone.

Biorąc pod uwagę te dwie kwestie – poniżenie Naryszkina w Radzie Bezpieczeństwa FR i potencjał rosyjskich podmiotów cyber – można zastanawiać się, czy obie kwestie nie są powiązane.

SzP: Co ma Pan na myśli?

BS: Zaryzykowałbym hipotezę, że głównym hamulcowym może być wewnętrzna obstrukcja,  prowadzona m.in. przez służby podległe Naryszkinowi, które – być może  –  celowo ograniczają skalę ataków. Oczywiście pojawiają się głosy, że np. Kreml ma „asa w rękawie” i trzyma go na „czarną godzinę”, gdy okoliczności zmuszą Rosję do stanowczych działań. 

SzP: A może wpływ na taką decyzję Kremla miała presja wywarta przez społeczność międzynarodową, na czele z USA?

BS: W tym kontekście warto pamiętać o szczycie Putin-Biden z 16 czerwca 2021 roku, który miał miejsce w Genewie. Do spotkania doszło po fali ataków ransomware na amerykańskie podmioty. Za wieloma miały stać rosyjskie ugrupowania cyberprzestępcze. 

Rozmawiając w cztery oczy z Putinem, prezydent USA przekazał mu prawdopodobnie listę 16 sektorów gospodarki uznawanych za krytyczne dla państwa, które nie mogą być celem cyberataków pod groźbą konwencjonalnej odpowiedzi. To również może stanowić tło do zrozumienia tego, dlaczego Rosjanie obecnie nie chcą eskalować działań w domenie cyber. 

SzP: A jak odniesienie się Pan do hipotezy, że Putin nie zdecydował się na cyberuderzenie na Ukrainę, ponieważ wie, iż cyberataki nie będą miały wystarczająco dużego wpływu na władze w Kijowie?

BS: Mogę się z tym zgodzić. Bardziej efektywne są działania w sferze informacyjnej. Należy jednak mieć na uwadze, że mimo wszystko amerykańska technologia jest tutaj kluczowa. Wszystkie wielkie platformy mediów społecznościowych są własnością firm z USA i to one aktywnie blokują przekazy z rosyjskich adresów czy kont. Przy czym, chciałbym zwrócić uwagę na jeden aspekt. W obecnej sytuacji BigTechy niejako podjęły decyzję za użytkowników w zakresie dostępu do treści. Nie oceniam, czy to dobre czy złe, tylko zwracam uwagę na pewien fakt. I to jest swego rodzaju precedens, który powstał w czasie wojny – odgórnie odcina się nas od określonych komunikatów, uznając, że są dla nas szkodliwe, wyłączając samych użytkowników z całego procesu.

Po drugiej stronie mamy praktycznie to samo – Rosja odcięła obywateli od zachodnich mediów. Zaczęła uruchamiać lub promować swoje alternatywy, np. VKontakte, Telegram czy Rutube.

SzP: Czyli internet będzie „pękał" i podzieli się na „bloki”.

BS: Moim zdaniem odbędzie się to na trzech poziomach. Pierwszy, geopolityczno-państwowy. Kraje, które nie chcą mieć ze sobą nic do czynienia, wykazują silniejszą presję, żeby odłączyć się od wspólnego, globalnego internetu. 

Drugi poziom, informacyjny. Przykładowo, Rosjanie żyją w swojej bańce informacyjnej, my – jako Zachód i obecnie obóz proukraiński – w swojej. I to pęknięcie już ma miejsce i moim zdaniem będzie się tylko pogłębiać. Obawiam się, że kolejnymi państwami, w których elita rządząca zechce w ten sposób kontrolować społeczeństwo, będą kraje Zatoki Perskiej oraz Afryki.

Ostatni poziom odnosi się do pęknięcia infrastrukturalnego. Pytanie, kiedy to finalnie nastąpi. Od 2019 roku wiele mówiło się o rosyjskim Runecie, którego testy miały zakończyć się powodzeniem. To taka próbka naśladowania chińskich rozwiązań. Wiąże się to jednak z poważnymi konsekwencjami, np. ogromnymi kosztami. 

SzP: A czy to nie jest scenariusz z gatunkuscience fiction?

BS: Nie tak dawno atak na Ukrainę wydawał się absurdalny, teraz stał się faktem. Obecnie irracjonalne wydaje się pełne odseparowanie Rosji od globalnego internetu, co nie oznacza, że nie może się wydarzyć. 

SzP: Wracając do wojny w Ukrainie, Rosja wydaje się, że nie stosuje tradycyjnej domeny operacji w cyber.

BS: W klasycznym pojmowaniu działań wojennych na początku dochodzi do cyberoperacji, które mają „nękać” wroga, następnie prowadzone są precyzyjne uderzenia kinetyczne, dalej wkraczają siły specjalne, budowana jest dominacja w powietrzu, dalej wkracza regularne wojsko. Patrząc z tej perspektywy, można przyjąć tezę, że w ramach wojny w Ukrainie Putin uznał, iż cyberuderzenie nie będzie miało dużego znaczenia w stosunku do tego kraju. 

SzP: Ukraińcy przez ostatnie lata nie byli bierni. Od aneksji Krymu rozwijali swoje zdolności.

BS: Od 2014 roku Ukraińcy rzeczywiście „nie spali” – szkolili się, inwestowali w infrastrukturę, współpracowali ze specjalistami z całego świata, m.in. Amerykanami czy Brytyjczykami. To nie jest już ta sama Ukraina, którą obserwowaliśmy jeszcze parę lat temu.

Co więcej, jeszcze przed rosyjską inwazją Kijów podjął działania na rzecz podniesienia swojego cyberbezpieczeństwa dzięki m.in. wsparciu Google'a, Microsoftu czy też USCYBERCOM.   

SzP: Patrząc na wszystkie działania, czy wojna w Ukrainie potwierdza słuszność uznania cyber jako domeny konfliktu obok lądu, morzu, powietrza?

BS: Moim zdaniem tak. Odgrywanie „marsza pogrzebowego” dla cyberprzestrzeni jako obszaru nieistotnego dla działań podczas wojny lub konfliktu nie jest na ten moment zasadne. To nadal jest domena, która się liczy, pomimo że Rosja nadal nie wykorzystała w pełni swoich zdolności, jakie posiada. 

SzP: W przestrzeni medialnej można spotkać się z głosami, że rzekoma słabość Rosji w sieci, która ma miejsce podczas wojny, pokazuje jej kiepską jakość instrumentów cyberwalki i niski poziom organizacji. Jak Pan to skomentuje?

BS: Oczywiście pojawiają się twierdzenia, że to, co ma miejsce u naszego wschodniego sąsiada, to efekt „dziadostwa” po stronie Rosji. Moim zdaniem jednak nie do przecenienia jest wsparcie technologiczne i informacyjne, które otrzymała Ukraina od Zachodu. Pokazuje to jego supremację we wspomnianych obszarach. Kreml walczy z państwem, za którym stoi m.in. NATO czy Sojusz Pięciorga Oczu (społeczność wywiadowcza, obejmująca Stany Zjednoczone, Wielką Brytanię, Kanadę, Australię i Nową Zelandię – red.). Pomimo występujących różnic zdań pomiędzy państwami wspierającymi Ukrainę, są to jedne z najpotężniejszych krajów na świecie. 

Poza tym Moskwa nie musiała od razu wykorzystywać wszystkiego, co posiada – swoich możliwości i zasobów. Przykładem mogą być drony czy systemy zagłuszające łączność, których nie użyto na szerszą skalę jak w 2014 roku. To może być zaskakujące, ale byłbym ostrożny i nie spieszyłbym się z huraoptymizmem, że to, co widzimy podczas trwającej wojny wynika wyłącznie z rosyjskiego „dziadostwa”. Na pewno pojawiła się zła kalkulacja na najwyższych szczeblach władzy państwowej i wojskowej – nie doceniono Ukraińców.

SzP: 26 lutego br., a więc dwa dni po rozpoczęciu inwazji, Rosji wicepremier Ukrainy Mychajło Fedorow ogłosił utworzenie „Armii IT Ukrainy”. Jest ona swego rodzaju „pospolitym ruszeniem w cyber”, które ma nękać państwo Putina w sieci. Pana zdaniem ma to sens?

BS: Istotną rolę odgrywa tutaj czynnik psychologiczny. Nie tylko w kontekście „Armii IT”, ale całej wojny. Tego typu inicjatywy mają podnosić morale. Dzięki temu wielu ludzi może poczuć, że są w stanie dołożyć cegiełkę do odparcia agresji Putina. W tym przypadku chodzi o społeczności z całego świata. Programiści, haktywiści itd. z różnych krajów mogą brać udział w operacjach wymierzonych w rosyjską infrastrukturę, np. atakach spamerskich czy DDoS. 

Dostrzegam tu jednak pewne problematyczne kwestie. 

SzP: Mógłby Pan rozwinąć ten wątek?

BS: Po pierwsze, lista celów „Armii IT Ukrainy” jest jawna. Regularnie publikowane są zadania na specjalnym kanale na Telegramie. A w związku z tym, Rosjanie również mają do nich dostęp. 

Po drugie, linki propagowane przez członków armii, haktywistów itd., które mają odsyłać do aplikacji spamerskich czy innych programów służących do ataków na Rosję – mogą być nośnikiem złośliwego oprogramowania. Biorąc udział w operacji przeciwko Putinowi, sami możemy stać się ofiarą ukrytego wirusa. 

Po trzecie i prawdopodobnie najgorsze, działania takiego „pospolitego ruszenia w cyber" mogą zakłócić operacje służb. Wyobrażam sobie sytuację, że np. brytyjski wywiad czy amerykańskie cybersiły mają gdzieś zagnieżdżone specjalistyczne oprogramowanie w rosyjskiej infrastrukturze, a w wyniku ataku ze strony entuzjastycznego członka „Armii IT Ukrainy" naruszone zostanie bezpieczeństwo systemu po stronie Kremla, na którym Brytyjczycy i/lub Amerykanie zlokalizowali backdoora. W momencie, gdy incydent zostanie wykryty, administrator może przeprowadzić reinstalację i aktualizację systemu, „postawić” go na nowo, a wtedy wszystkie „wtyczki” wywiadowcze zostaną zneutralizowane i tym samym dotychczasowe wysiłki służb pójdą na marne.  

SzP: Jeśli chodzi o działania Rosji w cyber, panuje cisza. Z kolei obóz ukraiński, po którego stronie walczą m.in. Anonymous, głośno mówi o swoich operacjach i osiągnięciach. Czy ten rozgłos może być przejawem budowy fejmu po stronie haktywistów, stojących po stronie Kijowa?

BS: To bardzo ciekawy wątek. Ten wręcz „ekshibicjonizm” łączyłbym z charakterystyką młodego pokolenia. Tego typu rozpowszechnianie informacji na temat swoich działań i aktywności pokazuje chęć do zaistnienia w mediach społecznościowych. Często ten stan przenosi się później na domorosłych haktywistów. 

Należy jednak pamiętać, że udostępniane w sieci zrzuty ekranów rzekomo pochodzące z włamań do np. rosyjskich instytucji, nie stanowią dowodu przekonującego jednoznacznie, że rzeczywiście cyberatak miał miejsce i zakończył się sukcesem. Szczególnie, jeśli chodzi o infrastrukturę krytyczną, w tym np. interfejsy do obsługi różnego typu urządzeń przemysłowych. Jest mało prawdopodobne, aby ktoś w tego typu miejscach kompletnie zaniedbał wszystkie kwestie związane z cyberbezpieczeństwem. 

SzP: Nie można także pominąć kwestii związanej z migracją rosyjskich specjalistów IT, co również ma związek z trwającą wojną i sankcjami. Gdzie uciekają? Jakie kierunki wybierają?

BS: Mówi się o setkach tysięcy informatyków, programistów i innych specjalistów IT, którzy opuścili do tej pory Rosję. Warto jednak mieć na uwadze, że często udają się oni do pobliskich krajów, takich jak np. Armenia, Kazachstan, Azerbejdżan. Nie wychodzą z rosyjskojęzycznej strefy wpływów; nie uciekają do krajów, które nakładają sankcje na Rosję. Jednym z czynników takiej decyzji jest chęć kontynuowania pracy, połączona z chęcią bycia blisko rodziny. 

SzP: Czy w związku z tym Polska nie powinna wykorzystać sytuacji i przyjmować uciekających specjalistów z Rosji? A może to zbyt duże zagrożenie?

BS: Absolutnie nie chcę nikogo dyskryminować, ale musimy brać pod uwagę, że trwa wojna i należy dokładnie przemyśleć kogo, na jakie stanowiska i gdzie przyjmujemy. Byłbym pod tym względem bardzo ostrożny, kierując się przede wszystkim zdrowym rozsądkiem. Teraz na wszystko powinniśmy patrzeć przez pryzmat bezpieczeństwa i to główne zadanie polityków. Z tego względu służby powinny przyglądać się osobom mającym szczególnie zażyłe relacje z Rosją.

SzP: Dziękuję za rozmowę

Chcemy być także bliżej Państwa – czytelników. Dlatego, jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected]. Przyszłość przynosi zmiany. Wprowadzamy je pod hasłem #CyberIsFuture.