#CyberMagazyn: Ukraińska armia IT. Nieoczywisty obraz hakowania wroga

„Dzień dobry chłopaki, bądźcie gotowi do włączenia maszyn. Niezbędne jest wspomaganie w ataku” – czytamy na ich profilu na Twitterze. Tylko w ciągu ostatniego tygodnia przeprowadzili atak DDoS na rosyjską platformę przetargową czy na stronę internetową spółki Roscosmos. Za cel wzięli też rosyjskie media z obszarów graniczących z krajem Putina, rosyjską stronę rządową zapewniającą dostęp do usług cyfrowych, czy systemy sądowe państwa-wroga. To tylko krótka lista celów, jakie udało im się osiagnąć w czasie czteromiesięcznego funkcjonowania.

Powstali szybko i spontanicznie – o ich utworzeniu pisaliśmy na naszych łamach już na początku marca br. To Jegor Auszew – znany ukraiński przedsiębiorca IT, współzałożyciel trzech firm: Cyber Unit Technologies, Hacken.io i Cyber Szkoła (Cyber School) – miał zaproponować ideę utworzenia Cyber Armii IT wicepremierowi Ukrainy, Mychajłowi Fedorowowi. W rozmowie z Reutersem tłumaczył, że grupa defensywna będzie „zatrudniona” do obrony infrastruktury, a ofensywna - do operacji szpiegowskich przeciwko siłom rosyjskim. W efekcie 26 lutego br. Fedorow w swoich mediach społecznościowych umieścił wpis o poszukiwaniu talentów „w sferze cyfrowej”.

„Pospolite ruszenie” w sieci miało najpierw przede wszystkim „głosić prawdę o wojnie” (tym obecnie zajmują się Internetowe Siły Ukrainy) – na początku chodziło głównie o informowanie rosyjskich obywateli o rzeczywistej sytuacji na wojnie. Dziś działalnością ukraińskiej armii IT – jak pokazują przykłady powyżej – są cyberataki typu DDoS (ang. distributed denial of service - rozproszona odmowa usługi, ataki z wielu miejsc jednocześnie, które skutkują odmową dostępu - red). A na ich koncie ma być ich niemało: z danych, jakie podają mieli przeprowadzić ataki na ponad 4,2 tys. rosyjskich zasobów internetowych.

Jednocześnie, ukraiński wicepremier i minister ds. transformacji cyfrowej Mychajło Fedorow poinformował niedawno, że w prowadzeniu działań w internecie przeciwko Rosji wspiera Ukrainę prawie 300 tys. cyberekspertów z wielu państw świata. Jego zdaniem „cybernetyczna armia” Ukrainy chroni m.in. jej infrastrukturę informatyczną przed licznymi aktami agresji ze strony Rosji, głównie w formie ataków DDoS. Dodał, że regularne ataki trwają już od 2,5 roku.

Jak czytamy w raporcie „Struktura, zadania i ekosystem IT Armii Ukrainy” (ang. „The IT Army of Ukraine Structure, Tasking, and Ecosystem”) autorstwa Stefana Soesanto, starszego badacza bezpieczeństwa z Centrum Studiów nad Bezpieczeństwem w Zurychu, ochotnicza armia ma składać się z dwóch części: pierwszej – cywilnej, która mobilizuje się do ataków DDoS na wyznaczone cele w postaci rosyjskiej infrastruktury oraz drugiej, składającej się prawdopodobnie z ukraińskiego personelu obrony i wywiadu, który sam przeprowadza operacje cybernetyczne przeciwko rosyjskim celom.

Całościowo służą jednak jednemu: zjednoczeniu amatorów i profesjonalistów w pewną strukturę organizacyjną. Dodatkowo wspierają ich ukraińskie firmy technologiczne, które tworzą nowe narzędzia, przekazują know-how oraz pomagają w wyznaczaniu nowych celów w ofensywnych działaniach w cyberprzestrzeni.

Czy w przestrzeni medialnej jest zatem miejsce na jakąkolwiek, negatywną ocenę hakerskiej działalności ochotników, walczących po stronie Ukrainy?

Przejaw desperackiej walki?

„Pomysł utworzenia armii IT w teorii jest słuszny, jednak w praktyce może wyrządzić więcej szkód niż pożytku. Tego typu działania Ukraińców są przejawem desperacji” – oceniał już na początku marca br. Adam Meyers, specjalista w CrowdStrike.

Dlaczego? Według specjalisty, władze w Kijowie mogły nie do końca przemyśleć decyzję o mobilizowaniu ludzi do utworzenia „sił internetowych”. Po pierwsze dlatego, że zaangażować może się każdy, bez względu na umiejętności. W efekcie może zatem wyrządzić szkody w postaci ataków nie na rosyjskie, a ukraińskie cele.

Ryzyko cyberszpiegostwa

Po drugie, struktura ukraińskiej armii IT jest rozproszona. Przyłączyć może się każdy – w mediach społecznościowych pokazano nawet instrukcję instalacji oprogramowania dla ukraińskiej armii IT, która ma ułatwić hakowanie rosyjskich celów cywilnych i wojskowych. Są też: oficjalny mail i strona z „instrukcją uruchamiania DDoS”, zadaniami czy instrukcją instalacji oprogramowania do cyberataków.

Biorąc pod uwagę oczywistą rosyjską działalność cyberszpiegowską, potwierdzoną nawet w niedawno opublikowanym, oficjalnym raporcie Microsoft (więcej na ten temat piszemy tutaj), to wręcz oczywistym wydaje się przeniknięcie do ukraińskich struktur „ochotniczych” po to, by wynosić z nich informacje na zewnątrz.

Jednak Jegor Auszew przekazywał Reutersowi na początku wojny, że „dostali już setki zgłoszeń ochotników” i „weryfikowali ich, by upewnić się, że żaden nie jest rosyjskim agentem”. Pozostaje wierzyć, że weryfikacja ta jest 100-procentowo skuteczna.

Nie tylko „białe kapelusze”?

Podobnie nie ma też gwarancji, że w ukraińskiej armii IT działają tylko tzw. białe kapelusze (ang. white hat), czyli hakerzy aktywiści, którzy gotowi są bronić Ukrainy, uważając za słuszne atakowanie rosyjskich stron internetowych instytucji publicznych i firm prywatnych. Do struktur łatwo mogli przeniknąć cyberprzestępcy, którzy wyniesioną wiedzę gotowi są wykorzystać w odpowiednim dla Rosji momencie. Wyobraźmy sobie sytuację, kiedy haker przenika do struktur ukraińskiej armii, by na przykład wspierać rząd w wykrywaniu podatności w wewnętrznych systemach, tak naprawdę instalując złośliwe oprogramowanie i uruchamiając je we właściwym czasie, wykorzystując luki w sprzęcie, systemie czy aplikacjach.

„Z instytucjonalnego punktu widzenia jest jednak wysoce wątpliwe, czy Ministerstwo Transformacji Cyfrowej upoważniło prawnie do samodzielnego tworzenia armii IT oraz Internetowych Sił Ukrainy, bez jakiejkolwiek koordynacji lub kontroli sprawowanej przez ukraińskie służby obronne i wywiadowcze. Aby mogły prowadzić operacje swobodnie i samodzielnie – zwłaszcza w czasie wojny – to wydaje się być nie tylko naciągane, ale z dużym prawdopodobieństwem doprowadziłoby również do strategicznego zamieszania i taktycznej ingerencji w operacje obronne i własne służby wywiadowcze w cyberprzestrzeni” – uważa jednak analityk Stefan Soesanto.

Wojna w Ukrainie – miejmy nadzieję – skończy się jak najszybciej. Jednak nigdy nie możemy być pewni czy np. grupy haktywistyczne – rozproszone, bez oficjalnej hierarchii – nie obiorą po jej zakończeniu innego celu, który może nie być już dla społeczeństw demokratycznych korzystny. Na ten fakt zwracał już uwagę Artur Józefiak, Accenture Security Lead for Poland/CEE.

„Obecnie podoba nam się to, że przestępcy działają na rzecz Ukrainy. Ale według przekazu medialnego, który do nas dociera - Anonymous atakuje Rosję – a nie konkretnego Rosjanina/Rosjankę. Myśląc w ten sposób, łatwo jest im kibicować. Nie można również zapomnieć, że wiele ataków jest dokonywanych za pośrednictwem urządzeń należących do obywateli innych państw - bez ich wiedzy. Może to być pretekstem i uzasadnieniem dla działań strony rosyjskiej, co rodzi duże ryzyko” – podkreślał.

I choć dzisiaj – znając skalę poparcia dla polityki Putina w Rosji – nie uważamy już, że jest to „tylko wojna Putina” , ale także „wojna zwykłych Rosjan”, którzy - według rządowego Ogólnorosyjskiego Centrum Badania Opinii Publicznej (VTSIOM) ufają swojemu przywódcy w 81 proc. – to nie możemy zapominać, że działania hakerów zawsze mogą dotyczyć także pośrednio (lub bezpośrednio) zwykłych obywateli.

Starszy badacz bezpieczeństwa z Centrum Studiów nad Bezpieczeństwem w Zurychu zwraca też uwagę na inny problem: powstanie armii IT spowodowało zaistnienie nowych wątpliwości prawnych i regulacyjnych w zakresie międzynarodowego prawa w cyberprzestrzeni.

„Wiele – jeśli nie wszystkie – z tych problemów zostały w dużej mierze zignorowane przez społeczność akademicką i zajmującą się bezpieczeństwem informacji, a także decydentów politycznych zarówno w UE, jak i państw członkowskich NATO. Nie jest jasne, dlaczego tak się dzieje, ale wydaje się, że polityczne i ideologiczne poparcie dla obrony Ukrainy z jednej strony i wzrost z drugiej strony nastrojów antyrosyjskich wytworzyły środowisko, w którym ukraińskie zachowanie w cyberprzestrzeni jest albo świadomie ignorowane, pobieżnie analizowane, albo znacznie bagatelizowane pod względem oddziaływania i znaczenia” – ocenił.

Realna skala działania

Inną kwestią do dyskusji jest realna skala działania „cyfrowych ochotników”. „Grupy takie jak Anonymous, działające w cyberprzestrzeni, mają przede wszystkim psychologiczny wpływ na przebieg wojny. Część >>osiągnięć<< promowanych przez przestępców jest fake newsem, ale tworzą wrażenie pewnego rewanżu, odwetu za wydarzenia w Ukrainie” – komentował Artur Józefiak już dwa miesiące temu.

Dziś – z perspektywy czasu – można już oceniać, że począwszy od 24 lutego br., w ciągu ponad czterech miesięcy trwania wojny praktycznie nie można wskazać jednego, przełomowego cyberataku, ani szczególnego działania w cyberprzestrzeni po żadnej ze stron.

Pomimo wskazanych powyżej punktów, absolutnie należy docenić fakt, że Ukraina – przy wsparciu ekspertów cyberbezpieczeństwa z państw sojuszniczych – zdołała odeprzeć agresywne cyberataki ze strony Rosji. Utrzymała też łączność, nawet pomimo ataków kinetycznych realnie odparła cyberataki na jej infrastrukturę, dzięki czemu komunikacja wewnętrzna: wojskowa i cywilna została utrzymana. Przede wszystkim również komunikacja ze światem zachodnim, by ten miał dostęp do informacji o wojnie i o tej wojnie nie zapomniał. Dzięki temu wszyscy mamy szansę walczyć z rosyjską propagandą i dezinformacją, która przekrojowo dotyka nie tylko polskie społeczeństwo, ale i w ogóle europejskie, amerykańskie i... rosyjskie (by ono ciągle – jak to określa putinowska propaganda – tzw. specjalną operację wojskową – popierało).

Dziś ukraińska Armia IT jest czymś wyjątkowym na mapie cybernetycznej świata – obecnie dla ukraińskiego rządu jest jak statek, który pozwala płynąć po morzu cyberzagrożeń przy wsparciu wolontariuszy, którzy gotowi są go prowadzić przez wzburzone morze, aż do spokojnego lądu. Jednocześnie to ewenement pod względem jakichkolwiek norm i zasad zachowania się państwa w cyberprzestrzeni – zniknęło złudzenie, że ukraińska cyberobrona zależy tylko i wyłącznie od państwa – w tym przypadku zależy także od ukraińskich firm, obywateli i zagranicznego wsparcia ochotników.

„Państwa członkowskie UE i NATO w równym stopniu nawet nie podjęły się próby zrozumienia, czym naprawdę jest armia IT. Zachodni obserwatorzy i rządy wciąż wierzą, że jest to tylko zbiór przypadkowych ochotników prowadzących bezsensowne w swoim działaniu ataki DDoS na rosyjskie strony internetowe. Do tej pory nie dostrzegli podstawowej struktury organizacyjnej, postępowania operacyjnego i szerszego ekosystemu, który stanowi podstawę IT Armii w sferze cybernetycznej i informacyjnej. Na dobre lub na złe, dalsze ignorowanie jej istoty będzie siało spustoszenie w zakresie przyszłej stabilności cyberprzestrzeni, a wraz z nią bezpieczeństwa narodowego w Europie i poza nią” – stawia tezę Stefan Soesanto, starszy badacz bezpieczeństwa z Centrum Studiów nad Bezpieczeństwem w Zurychu.

Zatem warto zwrócić uwagę na fakt, że w ocenie ukraińskiej armii ochotników nic nie jest ani czarne, ani białe.

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].