Cyberatak na Ukrainę. Podejrzenia padają na cyberprzestępców powiązanych z Rosją

W piątek koło południa Wiktor Żora, przedstawiciel państwowej służby łączności specjalnej i ochrony informacji o cyberataku na ukraińskie strony rządowe mówił: „Był to największy pod względem zasięgu atak cybernetyczny na ukraińskie państwowe strony internetowe od czterech lat”. Państwowe centrum obrony cybernetycznej zostało poinformowane o zdarzeniu o godz. 4 rano.

Jako pierwsi opisywaliśmy, że w komunikacie, który cyberprzestępcy po sobie pozostawili, zamieszczono treści, które miały w oczywisty sposób przypisywać sprawstwo cyberataku Polakom.

„Ukrainiec! Wszystkie Twoje dane osobowe zostały przesłane do wspólnej sieci. Wszystkie dane na komputerze są niszczone, nie można ich odzyskać. Wszystkie informacje o Tobie stały się publiczne, bój się i czekaj na najgorsze. To dla Ciebie za twoją przeszłość, teraźniejszość i przyszłość. Za Wołyń, za OUN UPA, Galicję, Polesie i za tereny historyczne” - napisano.

Najnowsze ustalenia: podejrzenia padają na Rosję

Władze w Kijowie oceniły, że za atakiem mogą stać rosyjskie służby specjalne, tak wynika z najnowszych ustaleń.

„Wszystkie zebrane dotychczas dowody świadczą o tym, że za piątkowym cyberatakiem na ukraińskie strony rządowe stoi Rosja” - stwierdził w niedzielę ukraiński resort transformacji cyfrowej. „Moskwa kontynuuje wojnę hybrydową i aktywnie zwiększa siły w przestrzeni informacyjnej i cybernetycznej” - podano w komunikacie.

Zdaniem resortu, piątkowy atak to „jeden z przejawów wojny hybrydowej Rosji przeciwko Ukrainie, która trwa od 2014 roku”. Dodano, że „cyberwojska Rosji najczęściej działają przeciwko USA i Ukrainie, próbując przy pomocy technologii zachwiać polityczną sytuacją”.

Celem cyberataku było - zdaniem Kijowa - zastraszenie społeczeństwa i destabilizacja sytuacji w kraju poprzez „zatrzymanie pracy sektora państwowego i podkopanie zaufania Ukraińców do władzy”. Można to osiągnąć poprzez „wrzucanie do przestrzeni informacyjnej fake newsów o słabości krytycznej infrastruktury informacyjnej i wyciek danych personalnych Ukraińców” - kontynuował resort.

„Pole bitwy o bezpieczeństwo i istnienie naszego państwa znajduje się na kilku płaszczyznach: wojskowej, dyplomatycznej, historycznej, a teraz też cyfrowej” - podkreślono w komunikacie.

Kreml odrzucił te twierdzenia i stwierdził, że za atakiem nie ma żadnych dowodów. „Nie mamy z tym nic wspólnego. Rosja nie ma nic wspólnego z tymi cyberatakami” – powiedział CNN rzecznik prezydenta Władimira Putina, Dmitrij Pieskow. „Ukraińcy obwiniają Rosję za wszystko, nawet za złą pogodę w swoim kraju” – powiedział po angielsku.

USA podejrzewa Rosję

Jake Sullivan, doradca prezydenta Joe Bidena ds. bezpieczeństwa narodowego powiedział w niedzielę, że Stany Zjednoczone pracują nad ustaleniem, kto przeprowadził cyberatak na ukraińskie strony internetowe rządu i „nie byłoby zaskoczeniem, gdyby za tym stała Rosja”.

„Ciężko pracujemy nad atrybucją” – powiedział Sullivan w niedzielnym programie CBS „Face the Nation”. „To jest część rosyjskiego podręcznika, więc nie zdziwiłbym się ani trochę, gdyby skończyło się to przypisaniem (ataku - red.) Rosji”.

„I tak, oczywiście, jeśli okaże się, że Rosja atakuje Ukrainę i jeśli tak będzie w nadchodzącym okresie, będziemy współpracować z naszymi sojusznikami nad odpowiednią reakcją” – powiedział.

Białoruski wywiad we współpracy z rosyjskimi służbami specjalnymi?

W sobotę Reuters najpierw podawał, że zdaniem Ukrainy grupa cyberprzestępców odpowiedzialna za ostatni cyberatak powiązana była z białoruskim wywiadem. Złośliwe oprogramowanie, jakiego użyto miało być podobne do tego, używanego przez grupę powiązaną z rosyjskim wywiadem.

Serhiy Demedyuk, zastępca sekretarza ukraińskiej Rady Bezpieczeństwa Narodowego i Obrony, powiedział Reutersowi, że Ukraina obwinia za piątkowy atak grupę znaną jako UNC1151 i że była ona przykrywką dla bardziej destrukcyjnych działań. „Wstępnie zakładamy, że grupa UNC1151 może być zaangażowana w ten atak” – powiedział wtedy.

Już w piątek kijowscy urzędnicy byli zdania, że za cyberatak należy podejrzewać prawdopodobnie Rosję, ale nie podano żadnych szczegółów. Reuters podkreśla, że do zdarzenia doszło, kiedy Kijów i Waszyngton obawiają się najgorszego, czyli ataku Rosji na Ukrainę, a Białoruś miałaby to Rosji ułatwić.

„Zakłócenie działania witryn było tylko przykrywką dla bardziej destrukcyjnych działań, które miały miejsce za kulisami i których konsekwencje odczujemy w najbliższej przyszłości” – stwierdził Demedyuk, komentując sprawę. Ocenił, że UNC1151 „to grupa cyberszpiegowska powiązana ze służbami specjalnymi Republiki Białorusi”.

Jego słów nie skomentowała kancelaria prezydenta Białorusi Aleksandra Łukaszenki, tak jak i MSZ Rosji.

Zdaniem Demedyuka, który był szefem ukraińskiej cyberpolicji, grupa cyberprzestępców miała doświadczenie w atakowaniu Litwy, Łotwy, Polski i Ukrainy i rozpowszechniała narracje potępiające obecność sojuszu NATO w Europie.

„Złośliwe oprogramowanie wykorzystywane do szyfrowania niektórych serwerów rządowych jest bardzo podobne w swoich cechach do tego wykorzystywanego przez grupę APT-29” – powiedział, odnosząc się do grupy podejrzanej o udział w hakowaniu Komitetu Narodowego Demokratów przed wyborami prezydenckimi w USA w 2016 roku.

„Grupa specjalizuje się w cyberszpiegostwie, które jest powiązane z rosyjskimi służbami specjalnymi” – powiedział Demedyuk.

Próba skierowania podejrzeń na Polskę

Komunikat w trzech językach - ukraińskim, rosyjskim i polskim - zaczął być widoczny na rządowych stronach internetowych Ukrainy w czwartek późnym wieczorem. W piątek niektóre z nich nadal nie działały. Incydent dotknął m.in. ministerstwo spraw zagranicznych, radę ministrów i radę bezpieczeństwa i obrony.

Demedyuk zasugerował, że hakerzy użyli Tłumacza Google do tłumaczenia na język polski. „Widać, że nie udało im się nikogo zmylić tą prymitywną metodą, ale to wciąż dowód na to, że napastnicy >>grali<< na stosunkach polsko-ukraińskich, które z każdym dniem tylko się umacniają” – powiedział.

Według Kijowa, który wszczął dochodzenie ws. cyberataku, ma on związek z możliwą rosyjską ofensywą na Ukrainę - siły Kremla nieustannie gromadzą się przy granicy z tym państwem, a negocjacje z prezydentem Rosji Władimirem Putinem póki co nie przynoszą oczekiwanych rezultatów, mogących prowadzić do deeskalacji konfliktu.

Rząd Kanady odradza swoim obywatelom podróże na Ukrainę, jeżeli nie są one konieczne - podano w niedzielę. W oświadczaniu napisano, że rekomendacja wynika z „trwającej rosyjskiej agresji i koncentracji wojsk” przy ukraińskiej granicy.

Ostrzeżenie firmy Microsoft

Microsoft ostrzegł w niedzielę, że cyberatak może okazać się destrukcyjny i wpłynąć na większą liczbę organizacji, niż początkowo się obawiano. Amerykański gigant oprogramowania dodał, że kontynuuje analizę złośliwego oprogramowania i ostrzegł, że może uniemożliwić działanie rządowej infrastruktury cyfrowej.

„Złośliwe oprogramowanie, które ma wyglądać jak oprogramowanie ransomware, ale nie ma mechanizmu odzyskiwania okupu, ma być destrukcyjne i zaprojektowane tak, aby uniemożliwić działanie docelowych urządzeń, a nie w celu uzyskania okupu” – stwierdził amerykański gigant w poście na swoim blogu.

Microsoft powiedział, że do tej pory nie zidentyfikował sprawcy ataków. „Nasze zespoły dochodzeniowe zidentyfikowały złośliwe oprogramowanie w dziesiątkach systemów, których dotyczy problem, a liczba ta może wzrosnąć w miarę kontynuowania naszego dochodzenia” - ocenił Microsoft.

/NB

Chcemy być także bliżej Państwa - czytelników. Dlatego, jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać - zapraszamy do kontaktu. Piszcie do nas na: [email protected]. Przyszłość przynosi zmiany. Wprowadzamy je pod hasłem #CyberIsFuture.