2022 – rok haktywizmu, który nie zmienił biegu wojny

W marcu br. cały świat zachwycał się haktywistami Anonymous, którzy zapowiadali, że „wypowiadają wojnę Putinowi” i nie spoczną, dopóki nie pokonają Rosji w cyberprzestrzeni. Odcięli dostęp do kilku stron rządowych, zaatakowali serwis informacyjny „Russia Today”, uniemożliwili dostęp do witryny rosyjskiego Ministerstwa Obrony, dokonali wycieku bazy danych ze strony tego resortu czy włamali się i ujawnili zbiór wiadomości e-mail białoruskiego producenta broni Tetraedr.

To tylko kilka przykładów ich działań z początkowej fazy wojny w Ukrainie, toczącej się także w domenie cyber.

Dziś jednak już cicho o zachwytach nad tą nieformalną grupą haktywistów, choć mniejsze lub większe cyberdziałania wciąż się przecież toczą. Aktywni zresztą są wciąż także prorosyjscy haktywiści, a tacy jak choćby Killnet również kilka miesięcy temu wypowiedzieli wojnę państwom wspierającym Ukrainę (w tym Polsce). W krótkim czasie doszło m.in. do ataku na strony Senatu czy witrynę e-Zamówienia (choć często nie wskazywano na działanie tej konkretnej grupy, a na „wrogie siły ze Wschodu”).

Haktywiści – nieformalne grupy i „samotni strzelcy”

2022 rok to zatem rok, w którym ze zdwojoną siłą powrócił haktywizm. Jednak podobnie jak widzieliśmy mnogość działań sprawców, tak przypomnieliśmy sobie, że to nie ataki DDoS powodujące tymczasowe odcięcie usługi – roztrzygają o losach wojny.

Nie da się uniknąć stwierdzenia, że przekonaliśmy się także, jak bardzo decyzje polityczne czy strategiczne mogą być powiązane z cyberprzestępczością. Wystarczy bowiem podać przykład: 23 listopada zapadła decyzja, by w UE uznać Rosję za „państwo sponsorujące terroryzm”. Reakcja była niemal natychmiastowa. Prorosyjscy hakerzy wyłączyli stronę Parlamentu Europejskiego za sprawą ataku DDoS, co trwało kilka godzin. Do cyberprzestępczej akcji przyznali się haktywiści z Killnet, tym samym odnosząc niewielki sukces o ograniczonej skali, ale osiągając kolejny cel.

2022 rok to także czas, w którym narodziło się wiele nowych grup haktywistów – działających w nieformalnych strukturach lub na własną rękę. Nowa fala haktywizmu na kanwie wojny w Ukrainie pokazała również, że działające w sieci czarne/szare/białe kapelusze nie pozostają obojętne wobec kolejnych politycznych wydarzeń, angażując się także np. w Iranie.

„Ta nowa fala haktywizmu, która różni się w zależności od grupy i kraju, wiąże się z nowymi taktykami i podejściami i coraz częściej zaciera granice między haktywizmem a atakami sponsorowanymi przez rząd” – zwraca uwagę magazyn „Wired”.

„Nie powiem, że haktywizm umierał, ale zdecydowanie więdł przez jakiś czas” - komentuje Juan Andres Guerrero-Saade, główny badacz zagrożeń w firmie SentinelOne. Jego zdaniem, obecnie istnieje o wiele więcej graczy w cyberprzestrzeni, którzy dysponują też znacznie większymi środkami.

Ukraiński cyberaktywizm

Pamiętać też trzeba o nowej odmianie haktywizmu przy nieoficjalnym poparciu państwa – mowa tu o ukraińskiej armii IT, złożonej z ochotników o mniejszych lub większych umiejętnościach, w myśl zasady, że każdy obywatel może zaangażować sie np. w przeprowadzenie ataku DDoS na obrany w danym terminie cel. „Chronimy i promujemy rząd Ukrainy” – przedstawia się ukraińska armia IT.

Sam rząd Ukrainy początkowo komunikował powstanie armii IT, później jednak podkreślał, że w żaden sposób oficjalnie nie jest to część ich struktur. Tym samym jednak – przynajmniej częściowo – zastąpiono brak profesjonalnej cyberarmii, której zamiar utworzenia zatrzymał wybuch wojny.

Czego dokonali ukraińcy ochotnicy? Przykładowo opóźnili przemówienie Władimira Putina czy doprowadzili do opublikowania setek gigabajtów danych rosyjskich firm, instytucji, ale i obywateli w sieci.

Rosyjscy haktywiści nie próżnowali

Trzeba pamiętać, że w cyberprzestrzeni działano po obu stronach barykady i tak jak ukraińska armia IT może pochwalić się sukcesami, tak nie próżnowali prorosyjscy haktywiści – poza wspomnianą grupą Killnet – można też napisać o: NoName 057, From Russia With Love czy XakNet. Jak szacuje „Wired”, tylko Killnet mógł wybrać w tym roku około 650 celów. Dużo, mało?

Alert FBI, wydany w listopadzie tego roku wskazywał, że stojący za atakami DDoS mają „minimalny wpływ operacyjny” na swoje ofiary. „Haktywiści często wybierają cele postrzegane jako mające większy postrzegany wpływ, niż rzeczywiste zakłócenie usługi” - czytamy.

Cyberprzestępcy powiązani z państwami

W raporcie Microsoft - podsumowującym mijające 12 miesięcy - wskazano oczywiście na znaczny wpływ rosyjskich cyberprzestępców, ale też na rosnące znaczenie grup cyberprzestępczych powiązanych z takimi państwami, jak: Iran, Korea Północna czy Chiny.

Nie wolno zapominać o innych wektorach ataków. Na początku wojny aktywni byli również haktywiści z organizacji Białoruscy Cyberpartyzanci. Wywiad z ich rzeczniczką przeprowadzaliśmy na łamach CyberDefence24 . To m.in. nieformalna grupa, która stała za atakiem na Roskomnadzor czy na sieć komputerową Kolei Białoruskich, aby utrudnić transport wrogich sił na Ukrainę.

Opisywaliśmy także wrześniowy atak grupy Guacamaya na meksykańskie ministerstwo obrony, oceniany jako najpoważniejszy incydent cyberbezpieczeństwa w historii Meksyku.

Innym przykładem może być irańska grupa hakerów Predatory Sparrow (uważająca się za haktywistów), która w lipcu br. wykorzystała cyberatak, by wywołać pożar w fabryce stali.

Choć ustalenie, kto stoi za cyberatakiem jest z reguły skomplikowane, bo trudno jest jednoznacznie stwierdzić czy dana grupa jest powiązana czy sponsorowana przez określone państwo np. w przypadku grupy XakNet, Infoccenter i Cyber Army of Russia gigant cyberbezpieczeństwa Mandiant wskazuje, że grupy te koordynują swoje operacje z rosyjskimi hakerami wojskowymi, działającymi w strukturach GRU.

Podobnie we wspomnianym już raporcie Microsoftu wskazano, że za cyberatakami coraz częściej stoją aktorzy państwowi, którzy rozwijają różnorodne techniki, by realizować swoją strategię. Rośnie także skala cyberprzestępczości, a poważnym zagrożeniem są operacje wpływu.

„Ogólnie rzecz biorąc, w tym roku granice między tym, co jest atakiem rządowym, haktywizmem i cyberprzestępczością, całkowicie się zatarły” – podsumowuje Wired.

Na koniec: w rozważaniach nad haktywizmem trzeba przede wszystkim pamietać, gdzie znajduje się granica między haktywizmem a cyberprzestępczością. O tym, jak prawo podchodzi do kwestii hakowania dla „wyższych” celów pisaliśmy między innymi w tym materiale.

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].