Armia i Służby
Wywiad walczy z hakerami Putina. Oficer: Nie dają nam spać
Rosyjskie grupy prowadzą obecnie cyberataki na Agencję Wywiadu – podkreślił „Przemek”, oficer służby. Jak wskazał, funkcjonariusze nie muszą podejmować „wielkich kroków”, żeby identyfikować sprawców, ponieważ sami się do tego przyznają.
Podczas Targów Pracy IT oficer prowadzący wydział ds. cyberobrony w Agencji Wywiadu, który mówi o sobie „Przemek”, podkreślił, że wojna w Ukrainie prowadzona jest również w cyberprzestrzeni i dotyka także Polskę.
Czytaj też
„Wiele roboty zrobiono za nas”
„Możemy powiedzieć, że to pierwsza cyberwojna światowa” – ocenił przedstawiciel AW, wskazując, że pierwsze jej ślady można było „śledzić OSINT-owo”, czyli za pomocą „białego wywiadu”.
Jego słowa odnoszą się do m.in. wycieków danych, które były następstwem ataków hakerów i haktywistów.
Przykładem może być społeczność Anonymous. Jej członkowie publikowali w sieci obszerne bazy pochodzące z rosyjskich instytucji, firm itd. O działalności „anonimowych” szeroko pisaliśmy na łamach naszego serwisu. „Wiele roboty zrobiono za nas” – wskazał „Przemek”, odnosząc się do ataków na rosyjskie cele, prowadzonych przez zachodnie grupy.
Czytaj też
AW celem Rosjan
Z drugiej jednak strony podmioty opowiadające się za Putinem lub bezpośrednio związane z aparatem państwowym nie próżnują. One także realizują operacje w cyberprzestrzeni wymierzone w Ukrainę i jej partnerów. Wrogich działań doświadcza Polska.
„Rosyjskie grupy prowadzą obecnie ataki na np. moją agencję” – poinformował „Przemek”, odnosząc się do wyzwań dla Agencji Wywiadu. Skąd wiadomo, że za wrogimi działaniami stoją podmioty powiązane z Kremlem?
Przedstawiciel AW tłumaczył, że jeszcze nie tak dawno Rosjanie starali się ukryć swoją działalność, zatuszować ślady, czy w jakiś sposób zmylić służby analizujące incydent. Obecnie się już z tym nie kryją.
„Nie musimy specjalnie podejmować wielkich kroków, żeby ich identyfikować, bo sami się do tego przyznają” – wyjaśnił „Przemek”.
Czytaj też
Zrywani z łóżka
Przykładem może być Killnet. To grupa, która posiada swój kanał na Telegramie i tam chwali się swoimi osiągnięciami, bądź też publikuje zamiary i plany ataków.
Zdaniem AW grupa specjalizująca się w atakach DDoS (np. na Polską Policję , Senat RP , Parlament Europejski ) posiada sieć botnetów, czyli przejętych komputerów (użytkownicy mogą nawet o tym nie wiedzieć) do realizacji wrogich działań.
„Przemek” wskazał, że Killnet „poluje” też na Agencję Wywiadu „z różnym skutkiem”. Przekazał, że hakerom udaje się „położyć" stronę służby i zdarza się to w specyficznych porach.
„Na przykład w sobotę ok. godz. 22, gdy jesteśmy już w większości w piżamie i kładziemy się spać. A tu nagle trzeba stanąć na nogi” – podzielił się swoimi doświadczeniami oficer wywiadu.
Czytaj też
Afera mailowa to nie koniec
Przedstawiciel AW odniósł się także do działalności innej grupy, za którą stoi rząd innego państwa. Mowa o UNC1151 odpowiedzialną za głośną kampanią Ghostwriter, której elementem był wyciek danych ze skrzynki ministra Dworczyka.
„Przemek” ostrzegł, że afera mailowa to jedynie część wrogich działań. Kampania jest kontynuowana aż do teraz, dlatego tak ważne jest zachowanie podstawowych zasad cyberhigieny i cyberbezpieczeństwa.
Hakerzy w ramach operacji posługują się m.in. phishingiem czy atakami typu „Browser In The Browser” (polega na wyświetlaniu w ramach odwiedzanej strony pozornie nowego okna przeglądarki, zawierającego fałszywy panel logowania).
Czytaj też
Czujność i przydatne narzędzia
W związku z zagrożeniem, Agencja Wywiadu zarekomendowała, aby nie klikać w załączniki lub linki, które otrzymujemy w wiadomościach (maile, SMS, komunikatory) od nieznanych lub podejrzanych nadawców. Musimy pamiętać, że sprawcy podszywają się pod np. instytucje, firmy i inne podmioty, jakie możemy kojarzyć. Stosują również socjotechnikę.
„Warto aktualizować oprogramowanie w urządzeniach” – radził „Przemek”. Dodatkowo wskazał na przydatne narzędzia pozwalające „demaskować" skracane linki (atakujący korzystają z np. bit.ly i tinyurl.com, aby ukryć prawdziwy adres witryny, do której przekierowuje nas złośliwy link). Mowa o: GetLinkInfo oraz Unshorten.
Oficer wywiadu zwrócił uwagę, że obecnie wiadomości phishngowe nie są już tak prymitywne jak dawniej. Nie powstają przy użyciu translatora, więc kwestie językowe mogą nie wskazywać, że mamy do czynienia z cyberatakiem. Niemniej jednak, warto zwracać uwagę na literówki - czy to w treści wiadomości, czy adresie.
Czytaj też
Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].