Haktywiści opłacani przez Kreml. Prorosyjskie grupy atakują infrastrukturę krytyczną

W ostatnich miesiącach władze USA i państw sojuszniczych jednoznacznie ostrzegły, że prorosyjskie grupy haktywistów prowadzą ataki na infrastrukturę krytyczną w wielu krajach. Wykorzystują słabo zabezpieczone systemy technologii operacyjnej (OT) i sterowania przemysłowego (ICS), m.in. poprzez otwarte i źle chronione połączenia VNC oraz interfejsy HMI. 

Taką ocenę przedstawiono we wspólnym poradniku przygotowanym przez CISA, FBI, NSA oraz ponad 20 partnerów oraz komunikacie NSA.

Kim są prorosyjscy haktywiści?

Za głównych aktorów wskazano cztery powiązane grupy: Cyber Army of Russia Reborn (CARR), NoName057(16), Z-Pentest oraz Sector16. Prowadzą one ataki wymierzone w takie sektory jak: woda i ścieki, energetyka, żywność i rolnictwo.

Według służb USA i ich partnerów, grupy te nie są tak zaawansowane jak klasyczne rosyjskie grupy APT, ale:

• wykorzystują zaniedbania w zakresie cyberhigieny: fabryczne lub słabe hasła, brak MFA, publicznie wystawione interfejsy VNC/HMI, brak segmentacji sieci;
• koncentrują się na rozgłosie, wyolbrzymiając skalę i skutki swoich akcji, jednocześnie realnie powodując szkody i wymuszając ręczne sterowanie procesami przemysłowymi.

Powiązania z rosyjskimi służbami i wymiarem sprawiedliwości

Według aktów oskarżenia opublikowanego przez Departament Sprawiedliwości USA, zarówno CARR, jak i NoName057(16) korzystały z finansowego i organizacyjnego wsparcia rosyjskiego państwa, w tym struktur wywiadowczych i organizacji IT utworzonej dekretem prezydenta Rosji w 2018 r. 

W tym samym komunikacie opisano zarzuty wobec Victorii Eduardovny Dubranovej, obywatelki Ukrainy, oskarżonej o udział w atakach na infrastrukturę krytyczną na rzecz CARR i NoName057(16). Akt oskarżenia obejmuje m.in. spisek mający na celu uszkodzenie chronionych komputerów oraz manipulację systemami wodociągowymi. Dubranovej grozi kara wieloletniego więzienia.

Szczegóły sprawy, w tym fakt ekstradycji Dubranovej do USA i powiązanie CARR z atakiem na system wodociągowyw Muleshoe w Teksasie oraz zakład przetwórstwa mięsa w Los Angeles, szerzej opisano w analizie medialnej CNN. Podkreślono w niej, że rosyjskie służby wywiadowcze coraz częściej korzystają z „chętnych wspólników” i grup haktywistycznych jako pośredników.

Według Departamentu Sprawiedliwości, Kreml finansował CARR i NoName057(16), m.in. opłacając dostęp do usług DDoS-as-a-service oraz wspierając rozwój zastrzeżonego narzędzia DDoS, wykorzystywanego przez NoName057(16).

Operacja Eastwood – uderzenie w NoName057(16)

Istotnym elementem międzynarodowej odpowiedzi była Operacja Eastwood, skoordynowana przez Europol i Eurojust. Jej celem było zakłócenie infrastruktury cyberprzestępczej NoName057(16). Według raportu z tej operacji:

• wyłączono znaczną część centralnej infrastruktury serwerowej grupy,
• przeprowadzono przeszukania w kilkunastu krajach,
• wydano siedem nakazów aresztowania,
• powiadomiono ponad 1000 sympatyków (w tym administratorów) o ich odpowiedzialności prawnej,
• utrudniono działanie botnetu i gamifikowanego systemu rekrutacji wolontariuszy.

Europol wskazuje, że NoName057(16) opiera się na ideologicznie zmotywowanej sieci sympatyków, którzy korzystają z narzędzia DDoS i są wynagradzani kryptowalutami, co dodatkowo zachęca do udziału w atakach.

Jak wyglądają technicznie te ataki?

Zarówno CISA, jak i partnerzy międzynarodowi opisują bardzo podobny wzorzec techniczny ataków prorosyjskich haktywistów na OT/ICS:

1. Skanowanie internetu w poszukiwaniu otwartych portów (głównie VNC – 5900–5910) i innych zdalnych interfejsów do systemów przemysłowych.
2. Wykorzystanie VPS (serwerów wirtualnych) jako infrastruktury pośredniczącej w celu ukrycia tożsamości.
3. Brute force / password spraying – masowe odgadywanie haseł, wykorzystywanie domyślnych, słabych lub wielokrotnie używanych haseł.
4. Uzyskanie dostępu do paneli HMI i interfejsów SCADA poprzez VNC lub inne usługi zdalne.
5. Manipulacja ustawieniami: zmiana nazw urządzeń, parametrów pracy, progów alarmowych, wyłączanie alarmów, wymuszanie restartów, blokowanie operatorów przez zmianę haseł.
6. Propaganda – zapisy ekranu, zrzuty HMI i efektów ataku są publikowane w mediach społecznościowych (np. na Telegramie) w celu wywołania paniki i przyciągnięcia uwagi.

Jak podkreśla CISA, są to technicznie proste, tanie i łatwe do powielenia TTP (tactics, techniques and procedures), co zwiększa ryzyko, że te metody zostaną przejęte przez kolejnych aktorów.

Skutki: od utraty podglądu po fizyczne szkody

Wspólne ostrzeżenie CISA/FBI/NSA oraz analiza Cybersecurity Dive wskazują, że najczęstszym skutkiem operacyjnym jest tymczasowa utrata widoczności (loss of view), konieczność przejścia na sterowanie ręczne oraz koszty związane z przywracaniem konfiguracji sterowników PLC i systemów HMI.

Jednak w dokumentach Departamentu Sprawiedliwości przytoczono konkretne przypadki, w których działania CARR doprowadziły do zmarnowania ogromnych ilości wody pitnej, uszkodzenia instalacji sterowania oraz skażenia produkcji i wycieków substancji chemicznych (np. amoniaku) w zakładzie przetwórstwa mięsa w Los Angeles.

Raport ExecutiveGov podkreśla, że choć technicznie są to ataki „mało zaawansowane”, ich kumulatywny efekt może być destrukcyjny dla podstawowych usług, szczególnie gdy dotyczą jednocześnie wielu małych podmiotów infrastruktury krytycznej.

Co zalecają agencje? Najważniejsze działania dla operatorów OT

Wspólna porada CISA/FBI/NSA oraz komunikat NSA zawierają zestaw konkretnych rekomendacji, które mają zmniejszyć ryzyko powodzenia podobnych ataków:

1. Maksymalne ograniczenie ekspozycji OT na internet

• Przegląd publicznie widocznych adresów IP i portów, 
• Eliminacja otwartych VNC/HMI wystawionych bezpośrednio do sieci publicznej, 
• Stosowanie dostępu zdalnego tylko przez dobrze zabezpieczone VPN i ściśle ograniczone czasowo.

2. Segmentacja sieci IT/OT i strefy pośrednie (DMZ)

• Wyraźny podział sieci biznesowej i sterowania,
• Firewall z zasadą „deny by default", restrykcyjne filtrowanie ruchu przychodzącego i wychodzącego.

3. Silne uwierzytelnianie i zarządzanie tożsamościami

• Rezygnacja z domyślnych haseł,
• Wymuszenie silnych, unikalnych haseł,
• Wdrożenie MFA wszędzie tam, gdzie to możliwe, szczególnie dla dostępu zdalnego.

4. Zarządzanie zasobami i widoczność

• Aktualna inwentaryzacja wszystkich urządzeń OT/ICS,
• Mapowanie przepływów danych i punktów dostępu,
• Monitorowanie logów i alarmów pod kątem nietypowych zmian parametrów, częstych logowań, prób bruteforce.

5. Gotowość operacyjna i odzyskiwanie po incydencie

• Regularne tworzenie kopii zapasowych konfiguracji PLC i HMI,
• Ćwiczenie scenariuszy przejścia na sterowanie ręczne,
• Testowanie procedur przywracania po awarii.

Oczekiwania wobec producentów urządzeń OT

Agencje jednoznacznie podkreślają, że samo „łatane” bezpieczeństwo po stronie operatorów nie wystarczy – producenci OT muszą stosować zasady secure by design i secure by default. W zaleceniach CISA i NSA wymieniono m.in.:

• eliminację domyślnych haseł,
• bezpłatną dostępność funkcji logowania, audytu oraz MFA dla kont uprzywilejowanych,
• publikowanie SBOM (Software Bill of Materials), aby ułatwić operatorom ocenę podatności,
• czytelne sygnalizowanie niebezpiecznych konfiguracji (np. wystawienia panelu administracyjnego do internetu bez zabezpieczeń).

Nick Andersen, Zastępca Dyrektora Wykonawczego ds. Cyberbezpieczeństwa (CSD) z CISA podkreśla, że producenci OT powinni „priorytetowo traktować zasady bezpieczeństwa w fazie projektowania”, bo dopiero to realnie zmniejszy powierzchnię ataku dla takich grup.

Wnioski: proste ataki, realne skutki

Zarówno techniczne raporty rządowe, jak i materiały śledcze DOJ, Europolu, CISA, NSA oraz analizy mediów (CNN, Cybersecurity Dive, ExecutiveGov) układają się w spójny obraz:

• prorosyjskie grupy haktywistyczne nie muszą być technicznie wyrafinowane, aby wyrządzić realne szkody – wystarczy fatalna cyberhigiena po stronie ofiar;
• ataki są w dużej mierze oportunistyczne, oparte na skanowaniu internetu i wykorzystywaniu najprostszych błędów konfiguracyjnych;
• Rosja korzysta z pośredników – haktywistów, ideologicznie zmotywowanych ochotników i komercyjnych usług DDoS – aby realizować swoje cele geopolityczne przy zachowaniu pewnej „wiarygodnej zaprzeczalności";
• międzynarodowa odpowiedź staje się coraz bardziej skoordynowana – od wspólnych porad technicznych, przez operacje takie jak Eastwood, po zarzuty karne i sankcje finansowe.

W efekcie najważniejsze przesłanie dla operatorów infrastruktury krytycznej jest takie, że nawet jeśli przeciwnik stosuje „podstawowe” techniki, brak segmentacji, MFA i poprawnej konfiguracji OT sprawia, iż skutki ataku mogą być jak najbardziej „zaawansowane”: od kosztownych przestojów po realne zagrożenie dla zdrowia i życia.