Cyberbezpieczeństwo
#CyberMagazyn: Prorosyjski haktywizm nie istnieje? Ta teza ma swoje uzasadnienie
Zdaniem ważnego ukraińskiego urzędnika, zajmującego się cyberprzestrzenią tak naprawdę prorosyjski haktywizm nie istnieje. To twierdzenie może wydawać się zaskakujące, jednak – jeśli przyjrzymy się argumentom – już tak nie dziwi.
Illia Vitiuk, szef Departamentu Bezpieczeństwa Cybernetycznego i Informacyjnego Służby Bezpieczeństwa Ukrainy uważa, że cyberataki na Ukrainę są w większości przeprowadzane przez rosyjskie agencje wywiadowcze lub grupy sponsorowane przez państwo, a nie przez haktywistów, czyli tzw. działających oddolnie, z własnej woli, często znajdujących się w luźnych strukturach np. komunikujących się ze sobą tylko za pośrednictwem grup na Telegramie, gdzie obierają swoje cele. W ten sposób np. grupa Killnet kontaktuje się ze swoimi odbiorcami, ogłaszając kolejne kampanie lub przyznając się do ataku DDoS na stronę internetową kolejnej organizacji. W praktyce jednak – ataki DDoS – choć mogą być uciążliwe ze względu na niedostępność usługi przez kilka godzin lub dłuższy czas – to nie są spektakularne, ani trudne do przeprowadzenia. W darknecie sprzedawane są za niewielką kwotę w formie usługi (DDoS As a Service), co właściwie umożliwia obranie celu za dowolną kwotę - przez dowolną osobę.
Popularnych grup wspierających Rosję jest co najmniej kilka, jednak – wedle słów ukraińskiego urzędnika zajmującego się cyberprzestrzenią – nie należy uznawać ich za „haktywistów”, ponieważ stoją za nimi rosyjskie służby lub są powiązani i sponsorowani przez Kreml. Tymczasem - po rosyjskiej inwazji na Ukrainę fala prorosyjskich grup „haktywistów” - twierdziła, że przeprowadza ataki na rosyjskich wrogów, co miało być wsparciem dla putinowskiej władzy i objawem „patriotyzmu”.
Illia Vitiuk z SBU uważa, że „w dużej mierze to fikcja”. Cytowany przez serwis Cyberscoop ocenia, że większość grup to przykrywka dla rosyjskich agencji rządowych, a część ma być zmuszana przez rosyjski rząd do przeprowadzania ataków lub publikowania zhakowanych materiałów, uzyskanych przez powiązanych z państwem aktorów.
„Ponad 90 proc. wszystkich cyberataków wymierzonych w Ukrainę jest przeprowadzanych albo przez służby specjalne, albo przez grupy sponsorowane przez państwo” – ocenił Vitiuk. „Wierzę, że w Rosji w ogóle nie ma tak zwanego haktywizmu” – podkreślił.
Podał też ciekawy przykład na który należy zwrócić uwagę, by zrozumieć, jak Kreml „gra z cyberprzestępcami”. Na początku 2022 roku doszło do aresztowania kilku członków gangu ransomware REvil. Niektórzy odbierali to jako rzekomy sygnał, że „Rosja poradziła sobie z cyberprzestępczym podziemiem”. Jednak zdaniem ukraińskiego eksperta, była to tylko „sztuczka”.
„To była próba zastraszenia ich i innych, aby pokazać, że musisz dla nas pracować” – powiedział Vitiuk. „A teraz trzeba działać przeciwko Ukrainie” – wskazał, cytowany przez Cyberscoop.
Czytaj też
Powód: czysto finansowy?
Jeśli chodzi o motywacje cyberprzestępców do działania, często wskazuje się na względy finansowe, choć nie jest to oczywiście jedyny pretekst do przeprowadzania ataków.
Zdaniem Vitiuka, współpracujący z rosyjskim rządem to w dużej mierze „młodzi, ale utalentowani ludzie szukający łatwych pieniędzy”. Dodatkowo mają dostawać ciche przyzwolenie „atakujesz, a my nie wsadzimy cię do więzienia”.
Cyberataki to nieodłączny element rosyjskiej inwazji. Przypomnijmy, że eskalację działań ze strony wroga było już widać na kilka tygodni przed atakiem na Ukrainę 24 lutego 2022 roku. Do tego zintensyfikowano operacje szpiegowskie i propagandowo-dezinformacyjne. Obecnie celem ataków ze strony rosyjskich przestępców ma być ukraiński sektor energetyczny, logistyka, przemysł obronny, media, dostawcy internetu i firmy telekomunikacyjne.
Natomiast za atakami z użyciem wirtusa typu wiper – przeprowadzanymi w celu usuwania i niszczenia danych - mają stać profesjonalne grupy APT, taka jak np. Sandworm, która jest powiązana z rosyjskim wywiadem, o której wielokrotnie pisaliśmy na naszych łamach. „Czasami GRU przeprowadzi operację, a następnie napisze o niej na kanale na Telegramie, należącym do grupy haktywistycznej, aby stworzyć wrażenie, że te grupy są skuteczne” - powiedział też Vitiuk.
Czytaj też
Ukraińscy haktywiści
Ukraiński urzędnik porównał także „rosyjski haktywizm” do sytuacji w ich państwie. Jak zdradził, w niektórych przypadkach hakerzy zwracali się do ukraińskich służb bezpieczeństwa i przekazywali im informacje, nie ujawniając ich uprzednio online. „Było kilka osób, które były wcześniej zamieszane, a nawet skazane za działalność hakerską w Ukrainie, które przyszły do nas i powiedziały: >>Teraz walczymy z wami przeciwko Rosji, co mamy robić?<<” – podał przykład.
Jak prawo podchodzi do hakerów w bialych kapeluszach, czyli tzw. white hat, działających w „słusznej” sprawie? O tym pisaliśmy w tym materiale , sięgając po głos ekspertów w tej dziedzinie.
Przypomnijmy, że na rzecz Ukrainy działała choćby nieoficjalna „ukraińska armia IT”, złożona z ochotników o mniejszych lub większych umiejętnościach, w myśl zasady, że każdy obywatel może zaangażować sie np. w przeprowadzenie ataku DDoS na obrany w danym terminie cel. „Chronimy i promujemy rząd Ukrainy” – mówili o sobie.
Czytaj też
Sam rząd Ukrainy początkowo komunikował powstanie armii IT, później jednak podkreślał, że w żaden sposób oficjalnie nie jest to część ich struktur. Tym samym jednak – przynajmniej częściowo – zastąpiono brak profesjonalnej cyberarmii, której zamiar utworzenia zatrzymał wybuch wojny.
Oczywistym przykładem są także haktywiści Anonymous, którzy na początku wojny poparli Ukrainę i chwalili się publicznie co najmniej kilkonastoma przykładami zhakowania rosyjskich celów.
Czy w takim razie, kiedy kolejny raz przeczytamy o kampanii przeprowadzonej na ukraińskie cele przez wspomnianą już tu grupę Killnet, ale i na przykład NoName 057, From Russia With Love czy XakNet, możemy określić ich haktywistami? Wedle słów szef Departamentu ds. cyberbezpieczeństwa informacji w Służbie Bezpieczeństwa Ukrainy: niekoniecznie.
Jedno jest pewne: działania w cyberprzestrzeni toczą się codziennie po obu stronach. Do tej pory jednak nie doszło do żadnego przełomowego cyberataku, który mógłby zmienić bieg wojny.
Czytaj też
Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].