#CyberMagazyn: Wyścig hakerów. „Nie doceniamy obywatelskiego potencjału, który drzemie w cyberprzestrzeni”

Choć Unia Europejska wysłała na Ukrainę zespół szybkiego reagowania w cyberprzestrzeni (wśród 12 ekspertów znalazły się także osoby z Polski), czarny scenariusz stał się faktem: działania zbrojne najpierw poprzedziły ataki w cyberprzestrzeni. Dzień przed inwazją na Ukrainę specjaliści ds. cyberbezpieczeństwa całą noc bronili ukraińskiej infrastruktury przed nieustającymi cyberatakami. Ostatecznie – choć rzeczniczka rosyjskiego MSZ Maria Zacharowa kpiła: „Podajcie daty naszych inwazji, chciałabym zaplanować urlop” – Rosja zaatakowała Ukrainę 24 lutego nad ranem.

Pamiętać trzeba, że pierwsze sygnały Moskwa – choć nieoficjalne – wysyłała już wcześniej – za atak typu DDoS, USA i Wielka Brytania obwiniły rosyjski wywiad GRU, kiedy „padły” ukraińskie witryny rządowe i banki. Mowa o incydentach, które miały miejsce 15 lutego br. Wówczas przestały działać strony ministerstwa obrony i sił zbrojnych Ukrainy, a także państwowych banków – Oschadbank i Privat.

Być może ważniejszym sygnałem jednak – zważając na obecne, antyuchodźcze narracje w wojnie informacyjnej Kremla, których celem jest negatywne nastawienie Ukraińców i Polaków do siebie nawzajem – był cyberatak w połowie stycznia br., kiedy doszło do awarii ok. 70 ukraińskich stron rządowych. Jako pierwsi opisywaliśmy, że w komunikacie, który cyberprzestępcy po sobie pozostawili, zamieszczono treści, mające w oczywisty sposób przypisywać sprawstwo cyberataku Polakom. To mogła być rosyjska „ucieczka do przodu” i wcześniejsza próba skłócenia obu narodów.

Od tego czasu – równolegle obok działań konwencjonalnych oraz wojny informacyjnej – toczy się walka w cyberprzestrzeni. Część hakerów opowiedziała się po stronie agresora - Rosji, a część po stronie broniącej się Ukrainy.

Na pytanie, jakie realnie znaczenie dla przebiegu losów wojny mają działania takich grup, jak wspomnianych już Anonymous czy Conti nie jest łatwo odpowiedzieć. A na pytanie: „kto wygrywa?” – jeszcze trudniej. Oto kilka dowodów.

Czy Ukrainie kibicuje cyberświatek?

Jak informowaliśmy na naszych łamach, z najnowszych ustaleń „Financial Times” wynika, że eksperci z USA już pod koniec ubiegłego roku przygotowywali Ukraińców do wojny.

Natomiast w pierwszych dniach po inwazji cyberwojnę Putinowi wypowiedzieli najsłynniejsi obecnie haktywiści z grupy Anonymous – zdecentralizowanej, anarchistycznej, która na swoim koncie ma m.in. włam do rosyjskich serwisów streamingowych i kanałów telewizyjnych (by emitować „prawdę o wojnie”); do systemu kontroli gazu w Nogir w Osetii Północnej; zhakowanie stron m.in. Sbierbank Rossii, czyli największego w Rosji banku oraz witryn rządowych; przejęcie komunikacji wojskowej Rosjan czy ujawnienie danych z bazy witryny ministerstwa obrony Federacji Rosyjskiej oraz maili białoruskiego producenta broni Tetraedr. Ostatnio włamali się też do bazy danych Roskomnadzoru, czyli rosyjskiego regulatora mediów i internetu.

Najpopularniejsi za sprawą głośnych akcji są Anonymous, jednak to nie jedyni, którzy działają na froncie po ukraińskiej stronie. Wojnę Putinowi wypowiedziała także m.in. grupa Against The West – jeden z jej członków w rozmowie z naszym portalem deklarował, że zależy im „na uniemożliwieniu władzy na Kremlu przejęcia kontroli nad Ukrainą”.

Dr hab. Katarzyna Chałubińska-Jentkiewicz, dyrektor Akademickiego Centrum Polityki Cyberbezpieczeństwa, w rozmowie z CyberDefence24.pl przypomina: „Grupa Anonymous to globalna, zdecentralizowana grupa aktywistów działających na rzecz m.in. swobód obywatelskich, która jako organizacja działająca w cyberprzestrzeni, także odgrywa pewną rolę w różnych wydarzeniach na całym świecie. Ich dewiza >Jesteśmy Anonymous. Jesteśmy Legionem. Nie przebaczamy. Nie zapominamy. Spodziewajcie się nas< świadczy o celach związanych z wymierzaniem sprawiedliwości. Wsparcie grupy było widoczne m.in. w czasach Arabskiej Wiosny, kiedy aktywiści Anonymous hakowali strony reżimów, przeciwko którym wystąpiło społeczeństwo. Po rozpoczęciu inwazji Anonymous ogłosiło, że włamało się do rosyjskiego ministerstwa obrony i wykradło pliki, wykorzystując ataki typu >distributed denial of service< (DDoS – red.), aby wyłączyć z sieci rosyjskie strony internetowe, w tym firmy medialne i banki” – opowiada nam profesor.

Kolejna grupa haktywistów Georgian Hackers Society (GNG) uzasadniała: „Dołączyliśmy do cyberwojny, ponieważ Rosja okupuje również nasz kraj – Gruzję”.

Przypomnijmy, że Ukraina także zorganizowała się sama - powstanie ukraińskiej armii IT ogłosił 26 lutego br. Mychajło Fedorow, wicepremier i minister transformacji cyfrowej tego kraju. Z założenia ma ona zrzeszać specjalistów z sektora cyber, w tym programistów. Jej pierwszym zadaniem armii było przeprowadzenie ataków DDoS na witryny powiązane z rosyjskim rządem i instytucjami tego kraju, w tym banków. Na czele listy celów znajdowały się strony koncernu Gazprom i Lukoil. Ponadto, Sbierbank, VTB, Gazprombank czy regulatora Roskomnadzor i prezydenta Putina.

Dodatkowo armia IT Ukrainy stworzyła „siły internetowe”, których zadaniem ma być m.in. informowanie rosyjskich obywateli o rzeczywistej sytuacji na wojnie. Każdy może się w te działania zaangażować.

Cybergangi na zlecenie Kremla

Choć moglibyśmy sobie życzyć, by takie informacje się nie pojawiały, nie jest tak, że rosyjskie cybergangi zaprzestały swojej działalności. Państwowa Służba Łączności Specjalnej i Ochrony Informacji Ukrainy - o czym pisaliśmy w CyberDefence24.pl - przekazała, że kraj znajduje się pod presją nieustających cyberataków od momentu inwazji Rosji. Głównie ma chodzić o ataki DDoS, a tylko od 15 lutego br. do 6 marca br. Ukraina doświadczyła około 2,8 tys. cyberataków. Dzienny rekord wynosił 271 prób DDoS.

Zespół Microsoft poinformował niedawno, że wobec ukraińskiej infrastruktury - na kilka godzin przed tym, jak Rosja rozpoczęła czwartkową inwazję - użyto nowego, złośliwego oprogramowania, które gigant IT nazwał FoxBlade. Odkryto też złośliwe oprogramowanie do czyszczenia danych, nazwane HermeticWiper. Wykorzystano go przeciwko setkom maszyn na Ukrainie.

Według SBU, Rosja rozpoczęła zmasowaną cyberkampanię jeszcze przed inwazją na Ukrainę. Planowana jest „falami”, a jej szczyt przypadł na 13-14 stycznia, 15-16 lutego br. oraz 23-24 lutego br. Nie oznacza to jednak, że kolejne zmasowane ataki nie nadejdą.

Nie jest to także równoznaczne z tym, że wszyscy hakerzy postanowili opowiedzieć się przeciwko Putinowi, a wręcz przeciwnie – choć gang Conti zaliczył chwilowy rozłam za sprawą wycieku danych, ujawnionych z ich prywatnego czatu przez ukraińskiego członka organizacji – jak twierdzą specjaliści cyberbezpieczeństwa – grupa już powróciła i zdołała przeprowadzić kolejne, udane kampanie. Więcej na ten temat piszemy w tym materiale.

Nie wolno także zapominać o cyberprzestępcach z grupy UNC1151, którzy stali m.in. za operacją „Ghostwriter”, której celem był polski rząd. To nie wszystko: ostatnio hakowali konta ukraińskich dziennikarzy i wojskowych w serwisie Facebook po to, by z ich pomocą rozsiewać prorosyjską propagandę i dezinformować. Białoruska grupa Ghostwriter w ciągu ostatnich siedmiu dni ma także zajmować się przede wszystkim atakami na polskie, jak i ukraińskie wojsko z wykorzystaniem techniki phishingu.

Z kolei inna grupa - znana jako Mustang Panda ma angażować się w działania phishingowe, wycelowane w europejskich dyplomatów, w tym jedną z konkretnych osób zaangażowanych w aktywną pomoc uchodźcom i migrantom. Grupa FancyBear, znana również jako APT28, związana z rosyjskim wywiadem wojskowym GRU, zainteresowana jest przede wszystkim pozyskiwaniem danych do logowania na kontach poczty elektronicznej, które wyłudza, wystawiając fałszywe strony internetowe, przekierowujące do domen, kontrolowanych przez cyberprzestępców.

To nie jest zero-jedynkowy układ sił

W tym materiale wskazujemy, że – zdaniem cytowanych ekspertów – nie jest wcale tak oczywiste, jakoby cyberaktywizm mógł być tak korzystny tak Ukrainy, jak to się wydaje na pierwszy rzut oka.

„Haktywiści nie chronią się w należyty sposób przed rosyjskim szpiegostwem” - ocenia jeden z ekspertów. W przyszłości poszczególne osoby zaangażowane w prowadzenie działań dywersyjnych w rosyjskiej cyberprzestrzeni mogą - jego zdaniem - stać się celem działań odwetowych ze strony Rosjan, a cyberaktywizm może doprowadzić do tego, że Kreml ulepszy swoją cyberobronę i długoterminowo jeszcze na tym zyska. Do tego brak sztywnych ram działania w cyberaktywiźmie Ukrainy może sprawić, że łatwo przeniknąć do ich otwartego kanału na Telegramie, skąd – z jak otwartej księgi – da się czerpać wiedzę, istotną z punktu widzenia działań wywiadowczych.

Zapytaliśmy ekspertów, co sądzą na temat działań haktywistów, którzy zaangażowali się w cyberwojnie po stronie Ukrainy.

„Spontaniczne działania w cyberprzestrzeni mogą przybierać najróżniejsze formy – począwszy od walki stricte informacyjnej, np. kampanii w mediach społecznościowych, aż po działania na styku informatyki i technologii (IT/OT). Ingerując w systemy SCADA, które sterują procesami technologicznymi, cyberpartyzanci mogą odcinać przeciwnika od podstawowych usług, bez których prowadzenie walki jest znacząco utrudnione. Mam tu na myśli nie tylko dostawy energii czy paliw, ale też usługi z obszaru łączności, lokalizacji GPS, przetwarzania danych itp. Takie działania, skutkujące de facto zmniejszeniem tzw. gotowości cywilnej państwa, mogą mieć rzeczywisty wpływ na przebieg konfliktu” – uważa dr Krzysztof Malesa, National Security Officer w Microsoft Polska, pytany o tę kwestię przez CyberDefence24.pl.

Dr hab. Katarzyna Chałubińska-Jentkiewicz , dyrektor Akademickiego Centrum Polityki Cyberbezpieczeństwa, w rozmowie z CyberDefence24.pl wskazuje na rosnącą rolę haktywistów i hakerów-ochotników w tej wojnie, a także na deklarację wspomnianego już gangu ransomware Conti, który zapowiedział, że uderzy w infrastrukturę krytyczną każdego kraju, jaki zaatakuje Rosję.

„Może budzić obawy, co do dalszej sytuacji w cyberprzestrzeni. Przede wszystkim zaangażowanie podmiotów niepaństwowych komplikuje ocenę, co do statusu uczestników konfliktów. Wykorzystanie cyberprzestępców w atakach nie wskazuje jednoznacznie na konkretne państwo – aktora działań wojennych w cyberprzestrzeni. Działalność grupy Anonymous obecnie nie ma realnego wpływu na sam przebieg wojny, jednak trzeba też podkreślić, że zachwyt nad działalnością tej grupy jest niepokojący, nadal przecież nie wiemy, kim są członkowie tej organizacji, a same działania hakerskie są zabronione. Na gruncie przepisów konwencji o cyberprzestępczości za przestępstwo uznaje się nielegalny dostęp do systemu informatycznego, nielegalne przechwytywanie danych, naruszenie integralności danych oraz naruszenie integralności systemu. Zgodnie z polskim kodeksem karnym działania hakerskie są zakazane” – podkreśla dr hab. Katarzyna Chałubińska-Jentkiewicz.

Mariusz Kania z firmy cyberbezpieczeństwa CQURE zwraca z kolei uwagę na to, że trudno ocenić realny wpływ działań Anonymous na przebieg konfliktu, zwłaszcza w dłuższej perspektywie.

„Na pewno większość działań tego typu nie pozostaje bez znaczenia. Patrząc na ich działalność z perspektywy cyberbezpieczeństwa, możemy powiedzieć nieco więcej o ich metodach. W atakach wykorzystali powszechnie stosowaną technikę DDoS (Distributed Denial of Service), która umożliwia wyłączanie określonych stron internetowych. Kolejne incydenty dotyczyły kradzieży i publikacji danych administracji publicznej. Szeroko komentowane były ataki na rosyjskie kanały telewizyjne, które za sprawą haktywistów odtwarzały ukraińską muzykę i emitowały nieocenzurowane wiadomości na temat rosyjskiej napaści na Ukrainę. Tego typu działania z pewnością przyczyniają się do nagłaśniania bieżących wydarzeń w Ukrainie. Zaatakowanie Rosji w tej domenie daje wszystkim po drugiej stronie barykady namiastkę odwetu na agresorze, stąd zapewne pozytywne reakcje zachodnich społeczeństw na działania Anonymous, które w innym kontekście budzą raczej mieszane uczucia” – ocenia.

(Cyber)wyścig trwa

Na nasze pytanie, kto wygrywa trwające starcie w sferze cyber, eksperci nie potrafią jednoznacznie odpowiedzieć. Część pytanych osób w ogóle zrezygnowała z udzielenia komentarza.

Dr Krzysztof Malesa podkreśla, że ten nieustanny wyścig trwa. „W którym niestety sytuacja eskaluje i przekraczane są kolejne granice. Wydaje się, że nie doceniamy jeszcze obywatelskiego potencjału, który drzemie głęboko w cyberprzestrzeni i mam nadzieję, że będzie się uaktywniał w formie działań na rzecz zakończenia tragedii, która trwa tuż za naszymi granicami. Pamiętajmy też, że uczestnikami tej zespołowej gry, która nazywa się bezpieczeństwo, jesteśmy my wszyscy, nie tylko hakerzy. Ostatni roczny raport Microsoft o stanie bezpieczeństwa w cyberprzestrzeni pokazuje jasno, że w tych trudnych czasach musimy budować społeczną odporność na dezinformację i przestrzegać podstawowych zasad cyberhhigieny. To znacząco poprawi nasze bezpieczeństwo” – przestrzega ekspert.

Szefowa Akademickiego Centrum Polityki Cyberbezpieczeństwa zwraca uwagę na inny kontekst: „Dotychczas nie mieliśmy żadnych potwierdzonych informacji o rosyjskich lub ukraińskich cyberatakach na elementy infrastruktury przeciwnika, w tym jego sieci łączności, które można byłoby przypisać bezpośrednio aktorom państwowym. Natomiast niewątpliwie to, że dotychczas nie mamy informacji o skutecznych rosyjskich cyberatakach na elementy infrastruktury krytycznej na Ukrainie, można uznać za sukces ukraiński w tej sferze, bez względu na to czy po prostu nie doszło do tych ataków, bo Rosja wybrała niszczenie sieci łączności za pomocą środków kinetycznych, czy też strona ukraińska zdołała zapobiec próbom takich ataków. Chociaż przeprowadzony 15 miesięcy wcześniej atak SolarWinds, w którym jedna z najbardziej cybernetycznych rosyjskich agencji wywiadowczych, S.V.R., przeniknęła do oprogramowania zarządzającego siecią, używanego przez tysiące amerykańskich agencji rządowych i firm prywatnych, co dało to rządowi rosyjskiemu nieograniczony dostęp, świadczy o tym, iż Rosja zyskała reputację jednej z najbardziej agresywnych i wykwalifikowanych potęg cybernetycznych” – komentuje.

W przypadku ukraińskich zdolności cybernetycznych, jej zdaniem należy zwrócić uwagę na ukraińską grupę Jegora Auszewa, która planowała zorganizować ataki hakerskie, jakie zakłóciłyby działanie każdej infrastruktury pomagającej sprowadzać rosyjskie wojska i broń do jego kraju.

„Już zlikwidowała lub zdefasonowała dziesiątki rosyjskich stron rządowych i bankowych, czasami zastępując treści brutalnymi obrazami z wojny. Kolejnym krokiem jest niszczenie infrastruktury, która pozwoli na sprowadzanie rosyjskiej broni na teren Ukrainy. Nie podaje się konkretnych przykładów, co ułatwiłoby Rosjanom śledzenie grupy” – ocenia ekspertka.

Na koniec przypomina, że operacje w cyberprzestrzeni wykorzystują luki w zabezpieczeniach, o których nie wiemy, a dowiadujemy się już za późno.

„W cyberprzestrzeni brak dowodu cyberataku nie oznacza jednak, że w ogóle nie ma tego typu ataków. Może również dojść do ataków cybernetycznych poza Ukrainą i będzie to odwet za sankcje gospodarcze i technologiczne” – przestrzega. Na koniec dodaje, że jednak, że starcie w cyberprzestrzeni w aspekcie informacyjnym jest widoczne i podaje przykład: „Ghostwriter jest znany ze swojej strategii polegającej na włamywaniu się na konta e-mail osób publicznych, a następnie wykorzystywaniu tego dostępu w mediach społecznościowych. Jednak wojnę informacyjną wygrywają Ukraińcy” – kończy.

O aspektach psychologicznych wojny informacyjnej prowadzonej przez Kreml pisaliśmy wielokrotnie, podobnie jak o narracjach dezinformacyjnych. I nie poprzestaniemy – wojna opiera się bowiem także na aspekcie informacyjnym. I nie należy go lekceważyć.

Chcemy być także bliżej Państwa – czytelników. Dlatego, jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected]. Przyszłość przynosi zmiany. Wprowadzamy je pod hasłem #CyberIsFuture.