#CyberMagazyn: Cyberprzestępcy a media. Co piszą o dziennikarzach?

Kluczowe jest rozróżnienie rodzajów ataków. Najczęstsze z nich to tzw. DDoS-y oraz ransomware. Pierwsza grupa polega na wysłaniu ogromnej liczby pakietów sieciowych z wielu urządzeń, co często skutkuje przeciążaniem serwera, a w konsekwencji zaprzestaniem świadczenia danej usługi (ang. denial of service). Takie działania zazwyczaj nie mają długotrwałych skutków dla użytkowników internetu; zazwyczaj mogą wiązać się z niedostępnością witryny do maksymalnie kilku minut, tak jak było w przypadku ataków DDoS na strony internetowe polskich służb.

Z kolei ataki ransomware zazwyczaj wiążą się z zaszyfrowaniem oraz kradzieżą danych, wraz z groźbą upublicznienia ich na stronach w tzw. darknecie. Takie incydenty mają o wiele poważniejsze skutki, ponieważ istnieje duże ryzyko wycieku danych. Można przy tym wyróżnić kradzieże baz danych, składających się z dziesiątek lub setek tysięcy rekordów oraz nieuprawnione publikowanie danych osobowych.

Ataki DDoS – rozgłos ponad efekt

DDoS-y czasami niosą za sobą chęć rozgłosu medialnego. Dobrym przykładem była ostatnia przerwa w działaniu portalu x.com. Elon Musk stwierdził, że X padł ofiarą „ogromnego cyberataku z IP zlokalizowanych na terenie Ukrainy”.

Do rzekomego zaatakowania X przyznała się grupa „Dark Storm Team”. W tym celu opublikowano zrzut ekranu oraz link do portalu sprawdzającego dostępność witryn. Niebezpiecznik skwitował to w następujący sposób: „(…) grupy »hakerskie« też często mijają się z prawdą, więc niekoniecznie trzeba ufać takiej auto-atrybucji.”

Dr Łukasz Olejnik podkreślił, że atrybucja cyberataków nie bazuje na adresach IP. Oznacza to, że atakujący wcale nie musieli przebywać na terytorium Ukrainy.

„Na razie, bezpiecznie będzie nie snuć teorii spiskowych i uznać, że jedyne co jest pewne, to to, że Twitter faktycznie nie działał wczoraj przez sporą część dnia. I choć wiele wskazuje na to, że powodem był atak DDoS, to nie da się ustalić na bazie aktualnie udostępnionych dowodów, kto za tym atakiem stał.” – stwierdzono 11 marca w wspomnianym artykule Niebezpiecznika.

Kolejnym przykładem są rzekome „wielkie sukcesy” prorosyjskich grup cyberprzestępców w kontekście ataków DDoS na polskie służby. Zarówno ABW, AW, SKW i BBN przekazały nam, że niedostępność wybranych witryn trwała maksymalnie kilka minut, zaś w niektórych przypadkach nie zakłócono działania strony. Atak mógł mieć pewien efekt propagandowy, którego na szczęście nie udało się osiągnąć cyberprzestępcom.

Grupy ransomware i „apele” do mediów

Niektóre grupy są na swój sposób przyjazne dziennikarzom. Inne wulgarnie atakują osoby, które według nich kłamią. „Miłym” komunikatem wita blog CrazyHunter: „jeśli jesteś ofiarą, reporterem, kolekcjonerem danych lub prowadzisz nielegalną działalność – tutaj dostaniesz czego chcesz.”

Dobre opracowanie wspomnianego zagadnienia ukazało się na łamach SC World. Pokazano w nim, że grupy RansomHouse, Rhysida i 8Base bezpośrednio odnoszą się do dziennikarzy, oferując m.in. dostęp do informacji przed opublikowaniem ich na blogu. Inna, nieaktywna od kilku miesięcy grupa, groziła wysłaniem danych do mediów w przypadku braku opłacenia okupu.

Wywiad z cyberprzestępcami

Wspomniane opracowanie przywołuje również wywiady z cyberprzestępcami. Nie będzie zaskoczeniem, że grupy LockBit i REvil rozmawiały z rosyjskimi mediami. Bardziej kontrowersyjny jest wywiad TheRecord z cyberprzestępcą o pseudonimie „Wazawaka”, powiązany m.in. z LockBitem, który niedawno usłyszał zarzuty od rosyjskiego MSZ.

Niedawno opublikowano również rozmowę z przedstawicielem Funksec, grupy odpowiedzialnej m.in. za wyciek danych 200 tys. Polaków, który uwzględniono w bazie bezpiecznedane.gov.pl. Ocena moralna takich działań bywa niejednoznaczna.

Obrażanie dziennikarki

Funksec wstawiło post, który nie zawierał informacji o ataku. Jego celem było obrażenie dziennikarki, która opisała działania grupy. To pokazuje, że cyberprzestępcy również obserwują informacje medialne.

Cyberprzestępcy czytają również polskie media

Jako pierwsi w Polsce przeanalizowaliśmy wyciek danych z sklepbaterie.pl. Nie umknęło to uwadze cyberprzestępców, którzy w odpowiedzi na artykuł napisali: „(…) chcemy dodać, że główna część danych została sprzedana”. Oczywiście nie wiemy, czy te twierdzenia są prawdziwe.

Muszę przyznać, że wymienienie z imienia i nazwiska na takim blogu przyspiesza bicie serca i skłania do refleksji odnośnie roli mediów w informowaniu o incydentach. Moim osobistym zdaniem, kluczowym wyznacznikiem jest skala i faktyczny wpływ ataku na ludzi, który może być zaakcentowany głównie poprzez publikacje artykułów. Zgodnie z prawem prasowym należy podkreślić, że ostatnie zdanie jest opinią.

Uważajmy

Warto analizować informacje, które do nas docierają – szczególnie, jeżeli dotyczy to spraw ważnych lub wzbudzających w nas emocje. Cyberprzestępcy kierują się chęcią osiągnięcia zysków, co czasami przyznają wprost w wywiadach.

Uważajmy, jakie informacje są przez nas powielane. Dotyczy to nie tylko dziennikarzy, lecz praktycznie każdego – media społecznościowe odgrywają kluczową rolę w przekazywaniu informacji.

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].