Ukraina. Tak Rosja wspiera ataki wojska

Specjaliści Microsoft udostępnili raport dotyczący rosyjskich cyberdziałań w ostatnich 6 miesięcach. Wynika z niego, że Kreml niezmiennie sięga po ugrupowania hakerskie w ramach wojny w Ukrainie.

Cyberataki są integralną częścią planu Putina, który stara się realizować swoje imperialne zapędy. W pewnych przypadkach cyberoperacje są zbieżne z konwencjonalnymi atakami i kampaniami informacyjnymi. Przykład?

Kryzys zbożowy. Zniszczyć ukraińskie rolnictwo

Centrum Analizy Zagrożeń (TAG) Microsoft wskazuje na m.in. sektor rolnictwa. „Podobnie jak zeszłej zimy, kiedy Rosja koncentrowała się na wywołaniu kryzysu energetycznego i atakowaniu tego sektora (na Ukrainie – red.), tak tego lata występowała zbieżność między rosyjskimi atakami konwencjonalnymi, cybernetycznymi i propagandowymi, których celem był ukraiński sektor rolniczy” – podkreślają specjaliści koncernu.

We wspomnianym okresie (tj. lato 2023 r.) prokremlowskie podmioty m.in. wykradały dane i wdrażały złośliwe oprogramowanie w firmach z branży, czemu towarzyszyły wojskowe operacje, których celem było zniszczenie zapasów zboża.

Raport Microsoftu pokazuje silną zbieżność między działaniami wojskowymi, propagandowymi i cyberatakami.
Eksperci Microsoft

Jako przykład podają koniec lipca br. Po wyjściu Rosji z Inicjatywy Zbożowej Morza Czarnego zaatakowano rakietami obiekty rolnicze w Odessie, przeprowadzono cyberoperację wymierzoną w ukraińską organizację z branży sprzętu rolniczego, a do tego rozpowszechniano fake newsy (np. że Ukraina, USA i NATO wykorzystują korytarz zbożowy do celów terrorystycznych).

Rosyjskie zbrodnie wojenne

Innym obszarem rosyjskiej aktywności mogą być działania wymierzone w podmioty zaangażowane w badanie i dochodzenia nad zbrodniami wojennymi dokonanymi przez siły Putina. Przypomnijmy, że Międzynarodowy Trybunał Karny (MTK) w marcu tego roku wydał nakaz aresztowania rosyjskiej głowy państwa, odpowiedzialnej za okrucieństwa wojny.

Microsoft podaje, że celem cyberataków byli m.in. ukraińscy śledczy i prokuratorzy zajmujący się tego typu sprawami. Wrogie operacje realizowały podmioty powiązane z rosyjskim wywiadem wojskowym i zagranicznym. W raporcie przywołano przykład grupy Cozy Bear (APT29), która od marca br. starała się uzyskać dostęp do ponad 240 organizacji (głównie z USA, Kanady i Europy).

Ataki na Polskę. Rosyjski wywiad

Prorosyjscy hakerzy pozostają wysoce aktywni w ramach wojny. Jak na razie nie doszło do poważnego incydentu, który miałby strategiczny wpływ na sytuację Ukrainy lub układ sił na froncie. Nie oznacza to jednak, że ich znaczenie jest znikome.

Grupy powiązane z specsłużbami Putina (FSB, GRU, SVR) koncentrują swoje wysiłki na pozyskiwaniu i gromadzeniu danych wywiadowczych. Realizując te zadania, atakują ukraińskie podmioty łączności i wojsko, a także partnerów Kijowa, czego doświadcza m.in. Polska.

Wystarczy wspomnieć o ostatnim raporcie wydanym przez Dowództwo Komponentu Wojsk Obrony Cyberprzestrzeni (DKWOC). Jak informowaliśmy, cyberżołnierze RP wykryli wrogą aktywność wymierzoną w serwery pocztowe Microsoft Exchange, której celem były podmioty publiczne i prywatne w naszym kraju, a zwłaszcza skrzynki pocztowe stanowiące wysoką wartość informacyjną dla wroga.

Mowa o wykorzystaniu luki CVE-2023-23397 w Outlooku. Analiza DKWOC pokazała, że kampania pokrywa się z działaniami związanymi z aktywnością grupy APT28 (Fancy Bear), która ma być kontrolowana przez rosyjski wywiad wojskowy GRU.

Eksperci Microsoft wskazują, że w ostatnich 6 miesiącach to ta grupa m.in. próbowała uzyskać dostęp do podmiotów zajmujących się obronnością. Atakujący posługiwali się tu mailami phishingowymi, kierowanymi do osób zaangażowanych w działalność europejskich organizacji z tej branży. Nie podano jednak ich nazw.

Rosja mocniej zaatakuje?

Według ekspertów TAG, prorosyjskie grupy hakerskie będą dalej prowadzić kampanie w celu osłabienia Ukrainy (poprzez m.in. osłabienie morale społeczeństwa i zniechęcenie partnerów do niesienia wsparcia). W związku z tym, można spodziewać się kolejnych cyberoperacji, w tym ataków na sektor energetyczny w okresie do wiosny przyszłego roku.

Na ryzyko zwrócił uwagę m.in. Nazar Tymoszyk, ekspert ukraińskiego CERT-UA. Jak informowaliśmy, podczas konferencji SANS CyberThreat 2023 w Londynie specjalista zaznaczył, że w przyszłym roku należy spodziewać się bardziej wyrafinowanych, złożonych cyberataków ze strony Rosji, która będzie sięgać po m.in. technologię sztucznej inteligencji. „Wróg angażuje młodzież i w ten sposób kształtuje nowe pokolenie zmotywowanych hakerów, którzy w przyszłości wejdą do świata cyberprzestępczego” – podkreślił Nazar Tymoszyk.

Pamiętajmy, że według ukraińskich służb Rosja tworzy narodowy system ofensywnych operacji w sieci. Obejmuje m.in. nauczanie obywateli w zakresie prowadzenia cyberataków (specjalne kursy/zajęcia w placówkach edukacyjnych). 

Dodatkowo, Kreml planuje utworzyć cyberwojska. Koncepcja uzyskała aprobatę szefa resortu cyfryzacji Maksuta Szadajewa. Więcej na ten temat piszemy w tekście: Rosja planuje powołać nowy rodzaj wojsk. Bieżące informacje dotyczące sytuacji za naszą wschodnią granicą (i nie tylko) znajdziecie w zakładce: Wojna w Ukrainie.

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na:[email protected].