Haktywiści działający na zlecenie Kremla. Tego spodziewa się Ukraina

Państwowa Służba Łączności Specjalnej i Ochrony Informacji Ukrainy (SSSCIP) w swoim raporcie na temat taktyki i metod stosowanych przez Rosję w I półroczu tego roku pochyliła się także nad działalnością prorosyjskich haktywistów.

Jako najaktywniejsze grupy haktywistów wskazano: Killnet, NoName057(16), XakNet Team, Anonymous Russia (rosyjski odłam Anonymous) i Cyber Army of Russia (Cyberarmia Rosji).

„Te grupy hakerskie faktycznie ze sobą współpracują. Mieli te same lub podobne cele, przesyłali sobie wzajemnie informacje o nich w mediach społecznościowych. Chociaż ich twierdzenia rzadko opisują naturę przypuszczalnego cyberataku” – wskazała SSSCIP.

Operacje informacyjne, hakowanie kont

W I półroczu 2023 roku ukraińskie służby zaobserwowały wzrost liczby operacji informacyjnych przy użyciu komponentu cyber – chodzi m.in. o skoordynowane kampanie w mediach społecznościowych oparte na nieautentycznym zachowaniu (czyli na farmach botów lub trolli), które szerzyły narracje związane z wojną w Ukrainie.

Zaobserwowano także przypadki hakowania kont i wycieków danych - haktywiści chcieli w ten sposób zaszkodzić reputacji swojej ofiary. Publikowali np. dane pochodzące z ataku m.in. po to, by udowodonić rzekome „ukraińskie włamanie do systemu”; wyrządzić szkody wizerunkowe wobec ofiary; wywrzeć wpływ na opinię publiczną (ośmieszyć cel); bądź też np. wystawiali w darknecie próbkę danych na sprzedaż, by zachęcić zainteresowanych i zarobić.

Nowym trendem ma być stosowanie metody „hack-and-leak”, by publikować fake newsy za pośrednictwem mediów społecznościowych swojej ofiary i w ten sposób dotrzeć do szerszego grona odbiorców.

Co zrobią haktywiści?

Ukraińskie służby na podstawie dotychczasowych działań prorosyjskich haktywistów przewidują w swoim raporcie również możliwe taktyki, jakimi będą się posługiwali w wojnie, a także na co Ukraina i jej sprzymierzeńcy powinni się przygotować:

• firmy tworzące oprogramowania dla krytycznej infrastruktury czy wojska mogą być aktywnie atakowane w perspektywie długoterminowej, a menedżerowie IT będą musieli uważnie obserwować i zabezpieczać zasoby m.in. poprzez zaawansowane uwierzytelnienie;
• jeszcze większe skupienie na szpiegostwie – ukraińskie służby przewidują większe skupienie się rosyjskich cyberprzestępców na podszywaniu się pod użytkownika. Złośliwi aktorzy są coraz lepsi w działaniu: zachowują ostrożność, unikają wykrycia, więc coraz częściej decydują się na wykorzystanie legalnych usług i narzędzi, by „wtopić się w środowisko” i uniknąć zwracania na siebie uwagi (w ten sposób ich ataki stają się bardziej wyrafinowane);
• bardziej złożone ataki i narzędzia – ukraińskie prognozy w wojnie z Rosją przewidują, że grupy APT będą stosowały bardziej złożone kampanie, używając zaawansowanych rozwiązań i technik - by scenariusz ataku był bardziej skomplikowany. Dotyczy to np. rozwoju złośliwego oprogramowania, które jest dystrybowane szerzej, jest zdolne do ukierunkowanych działań na systemy czy wykazuje zdolność ataku między platformami. Większe wyrafinowanie w atakach będzie wymagało od organizacji ciągłego podnoszenia poziomu zabezpieczeń, w kontrze do stale ewoluujących zagrożeń;
• więcej rosyjskich cyberprzestępców i wojskowych: ukraińskie służby mają już obserwować wzrost liczby udanych operacji i kampanii; co pozwala im wysnuć wniosek, że Rosja aktywnie angażuje młodych i szkoli „nowe pokolenie patriotrycznie zmotywowanych hakerów”, by stali się cyberprzestępcami lub dystrybutorami oprogramowania ransomware w przyszłości.

Czy te prognozy się sprawdzą? Jedno jest pewne: na każdy scenariusz trzeba się przygotować.

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].