#CyberMagazyn: Ponad dwa miesiące wojny wiele mówią o efektach działań hakerów

Jak informowaliśmy, Państwowa Służba Łączności Specjalnej i Ochrony Informacji Ukrainy podawała dane dotyczące cyberataków i wskazywała, że ich skala jest znacznie większa. Rok temu ukraiński CERT zanotował w pierwszym kwartale tego roku 362 przypadki incydentów w cyberprzestrzeni, w porównaniu do 802 w pierwszym kwartale 2022 roku. Najczęściej atakowanymi branżami była: finansowa, telekomunikacyjna, IT, a także logistyka i sektor energetyczny.

Choć po obu stronach hakerzy, tudzież cyberprzestępcy zwarli swoje szyki, by atakować wroga, ostatecznie nadal nie można dziś ocenić, który z przeprowadzonych ataków w cyberprzestrzeni był decydujący. Podejmowane kroki można raczej określić „cyfrową partyzantką” niż cyberwojną w pełnym wymiarze.

„Rosja jest zwykle uważana za jeden z tych krajów, z których cyberataki pochodzą i do których nie docierają” — komentuje dla magazynu „Wired” Stefano De Blasi, analityk ds. cyberzagrożeń w firmie zajmującej się bezpieczeństwem Digital Shadows.

„Armia prowadząc swoje działania potrzebuje przede wszystkim aktualnych informacji wywiadowczych, aby skutecznie neutralizować posunięcia atakującego przeciwnika. Z perspektywy frontowej działalność haktywistów nie ma raczej większego znaczenia. Z drugiej strony wojna jest narzędziem prowadzenia polityki, więc w tym kontekście ma już nieco większą wartość. Działania haktywistów są nagłaśniane medialnie i wpisują się w wojnę informacyjną, która w naszym przypadku podkreśla przede wszystkim sukcesy ukraińskiej armii i niepowodzenia rosyjskie. Ich działalność w tym kontekście jest niezwykle przydatna. Początkowo panowało przekonanie, że Rosjanie manipulowani kremlowską propagandą przeciwstawią się rządzącym i wymuszą zakończenie wojny, jeśli tylko zdobędą rzeczywiste informacje z frontu. Efektowne przejęcie transmisji rosyjskich stacji telewizyjnych, rozpalało wyobraźnie tylko czytającym na ten temat zachodnim społeczeństwom, jak się okazało w Rosji nie miało większego wpływu na wysokie poparcie dla działań zbrojnych pod wodzą Władimira Putina” – ocenia Mariusz Kania z firmy CQURE dla CyberDefence24.pl.

Z drugiej strony, analiza rosyjskiej firmy Kaspersky (przypomnijmy, że spółki pod tym brandem znalazły się na liście sankcyjnej Polski, podobnie jak ich twórca ) wykazała, że liczba ataków DDoS na całym świecie powróciła do normalnego poziomu wraz z upływem wojny, ale ataki trwają dłużej — godziny, a nie minuty. Rekord to ponad 177 godzin.

Dodatkowo – jak wskazywaliśmy – Ukraina przygotowała się do wojny w cyberprzestrzeni, zaktywizowała programistów oraz osoby, które posiadają jakiekolwiek umiejętności z zakresu IT do walki w ramach m.in. Armii IT. Stosuje różne metody - od ataków DDoS po złośliwe oprogramowanie, co skutkuje tym, że Rosja zmaga się z hakowaniem na niespotykaną dotąd skalę, choć niekoniecznie się na to przygotowała.

„Terabajty danych z rozmaitych firm i instytucji, które zdobyli haktywisci muszą zostać wnikliwie przeanalizowane. WikiLeaks opublikowało w ciągu pierwszych 10 lat swojej działalności 10 milionów dokumentów. W mniej więcej dwa miesiące opublikowano 6 milionów rosyjskich dokumentów. Skala jest porażająca. Analiza zawartych tam informacji może potrwać dłużej niż wojna. Trudno ocenić jakość zdobytych informacji, ale ich ilość powoduje, że przydatność dla aktualnie prowadzonych działań i dynamicznej sytuacji frontowej jest nieduża. Podobnie jest z atakami DDoS wymierzonymi w różne instytucje rosyjskie, które nie musiały się dotychczas mierzyć z tak zmasowanym atakiem haktywistów. Choć utrudniają życie mieszkańcom Rosji, to bezpośredniego wpływu na działania frontowe nie mają” – uważa Kania, komentując ostatnie tygodnie w cyberprzestrzeni.

Mit „wielkiej cyberRosji”?

Odkąd Rosja rozpoczęła inwazję kinetyczną na pełną skalę, cyberprzestępcy pracujący na jej rzecz także podejmują próby zakłócania systemów zasilania na Ukrainie, odcinania od łączności czy skupiają się na próbach ataków na ukraiński rząd przy pomocy złośliwego oprogramowania. Działający po stronie Putina, to dobrze znani mediom branżowym m.in.: gang Conti, cyberprzestępcy z UNC1151 czy Mustang Panda, ale ta lista jest dłuższa - jak podawał ukraiński CERT - najczęściej Ukrainę atakują takie grupy APT (ang. Advanced Persistent Threat), jak AgentTesla/ Xloader; Pandora hVNC/RemoteUtilities czy APT28 - dobrze znani jak Fancy Bear.

Nie wolno zapominać, że wojna informacyjna trwa, w jej ramach Rosja sufluje takie narracje, jak wspomniana przez nas linia propagandowa, iż „Polska planuje odzyskać swoje historyczne tereny na Ukrainie przy pomocy silnego sojuszu zawartego z Waszyngtonem”.

Czy to możliwe, że w potęgę Rosji w zakresie umiejętności w cyberprzestrzeni także uwierzyliśmy na podstawie wojny informacyjnej, czy to Ukraina wyciągnęła odpowiednie wnioski z takich kampanii, jak ta w 2017 roku, kiedy NotPetya spowodowała łączne straty rzędu ok. 1 mld dolarów?

„Doniesienia z frontu, zwłaszcza w ostatnim czasie, są bardzo ograniczone. Zdecydowanie mniej nam wiadomo na temat cyberwojny prowadzonej w tym czasie przez wojska i służby z obu stron barykady. Jeśli kiedykolwiek dowiemy się czegoś na temat tych działań, to zapewne będzie to raczej materiał dla analiz historycznych. Dlatego trudno powiedzieć mi coś wiarygodnego na ten temat” – stwierdza Mariusz Kania.

Anonymous nie tacy krystaliczni

Jeśli oceniać, kto jest „zwycięzcą” wojny, przynajmniej w kontekście medialnym, to poza oczywistymi wskazaniami, jak prezydent Wołodymyr Zełenski czy Michaił Fedorow, można stwierdzić, że to hakerzy Anonymous. Zdecentralizowana, anarchistyczna grupa haktywistów trafiła na usta całego świata po tym, jak – szczególnie w pierszych dniach – udało im się zhakować na przykład rosyjskie kanały telewizyjne, by prezentować „prawdę o wojnie”; do bazy danych Roskomnadzoru, czyli rosyjskiego regulatora mediów i internetu, bądź też zhakować strony m.in. Sbierbank Rossii, czyli największego banku w Rosji. Lista ich dokonań jest długa, jednak czy realnie przyczynili się – choć w najmniejszym stopniu – do przewagi Ukrainy w wojnie?

Mariusz Kania z CQURE przypomina, że Anonymous nie mają krystalicznej historii - z jednej strony są to haktywiści, którzy wykorzystują internet do celów społecznych, promowania wolności słowa, praw człowieka, dostępu do informacji, walczą z cenzurą i korupcją; a z drugiej strony są to przestępcy, którzy włamują się na różne strony oraz serwery i upubliczniają zdobyte w ten sposób dane – wskazuje.

„Anonymous wielokrotnie wypowiadali się krytycznie na temat Zachodu czy Stanów Zjednoczonych. 28 lutego, czyli już gdy trwała inwazja, na Twitterze napisali tak: >>Chcemy wyjaśnić jedną rzecz: chociaż potępiamy działania Putina, to państwa NATO, a zwłaszcza USA, nie mają prawa osądzać Rosji na podstawie swoich działań. Dlaczego NATO? Spójrzmy, co zrobili Jugosławii, a zwłaszcza Serbii<<. Poniżej zalinkowali listę krajów zbombardowanych przez USA, stworzoną przez chińską ambasadę w Rosji. Chińczycy pisali >>Nigdy nie zapomnij, kto jest prawdziwym zagrożeniem dla świata<<. Niestety temat cyberbezpieczeństwa w mediach głównego nurtu to fragmentaryczne i bardzo niespójne informacje, wiele osób usłyszało pierwszy raz o Anonymous w ostatnich tygodniach” – przypomina ekspert.

Dodaje, że jednoznacznie pozytywny obraz w mediach i brak wiedzy na temat świata cyberprzestępczości i haktywizmu powodują, że uproszczona wizja świata, w której Anonymous są po jasnej stronie mocy, bardzo szybko rozgościła się w umysłach wielu osób. „Ponadto wiedza na temat zagrożeń sieciowych nadal jest traktowana jak ciekawostka w telewizji śniadaniowej, która nie dotyczy nas bezpośrednio, powszechny jest brak wiedzy w tym zakresie” – ocenia.

Jak zatem można podsumować te nieco ponad dwa miesiące trwającej wojny w Ukrainie w cyberprzestrzeni? Jako mniejsze lub większe cyberataki z obu stron typu DDoS czy z użyciem złośliwego oprogramowania, a także nieustającą wojnę informacyjną, a przede wszystkim – dezinformacyjną - ze strony Rosji, która (nawet jeśli, miejmy nadzieję działania zbrojne szybko się zakończą) nie ustanie. Kampania propagandowa, zważając na obecne już narracje, tylko zmieni swój kierunek.

Chcemy być także bliżej Państwa – czytelników. Dlatego, jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected]. Przyszłość przynosi zmiany. Wprowadzamy je pod hasłem #CyberIsFuture.