Taktyki Rosji w cyberprzestrzeni. Co dziś wiemy?

„Adwersarze kontrolowani przez państwo szykują się na długą walkę przeciwko Zachodowi” - czytamy w raporcie, będącym analizą zagrożeń na temat rosyjskich technik i taktyk w cyberprzestrzeni, wydanym przez Państwową Służbę Łączności Specjalnej i Ochrony Informacji Ukrainy (SSSCIP).

Skupiono się w nim na celach i możliwościach rządu rosyjskiego w cyberprzestrzeni oraz grup powiązanych z państwem - na podstawie pierwszego półrocza 2023 roku i doświadczeń, z jakimi zmagały się służby Ukrainy.

Trwająca wojna w Ukrainie pokazała cały arsenał środków stosowanych przez Rosję w cyberprzestrzeni – jak pisaliśmy – to poza cyberatakami na infrastrukturę krytyczną, zakłóceniami łączności , także, a może przede wszystkim: operacje informacyjne, cyberszpiegostwo, aktywność grup cyberprzestępczych powiązanych z państwem, czy haktywistów popierających Putina.

„Od 2022 r. cyberwojna szybko ewoluuje. Rosyjscy złośliwi aktorzy znajdują nowe i skuteczne sposoby, by wspierać rosyjskie operacje wojskowe - zarówno na polu bitwy, jak i przeciwko ludności cywilnej. To sztandarowa strategia rosyjskiej wojny z Ukrainą, a ocena taktyki Rosji jest niezwykle ważna dla wzmocnienia bezpieczeństwa i ochrony na całym świecie” – czytamy w raporcie SSSCIP.

„Wspólnota cyberobrony Ukrainy jest wdzięczna za udzielone wsparcie od naszych sojuszników. Jesteśmy wdzięczni za sprawdzone technologie i narzędzia, które okazały się bezcenne, by pomóc nam przetrwać zagrożenie ze strony Rosji - podziękował cytowany w raporcie Wiktor Żora, wiceszef Państwowej Służby Łączności Specjalnej i Ochrony Informacji Ukrainy.

Kluczowe wnioski

W raporcie przedstawiono kluczowe wnioski, wynikające z rosyjskiej aktywności w cyberprzestrzeni w ciągu pierwszego półrocza 2023 roku.

Jak stwierdzono, „rosyjska inwazja spowodowała wyraźną zmianę w ekosystemie cyberprzestępczym, co może mieć długoterminowe skutki dla zależności między grupami APT, a skalą cyberprzestępczości na świecie. Zauważono również przejście od ataków hakerskich i polegających na szyfrowaniu danych - do rzeczywistej ofensywy szpiegowskiej, oraz do operacji wywierania wpływu, co może spowodować „dalszą eskalację (w cyber) w skali globalnej, po zwycięstwie Ukrainy na polu bitwy”.

Jakie taktyki stosowały zatem grupy cyberprzestępcze powiązane z państwem rosyjskim i co można było zaobserwować w pierwszym półroczu tego roku? To:

• dwukrotny wzrost liczby incydentów w których wykrycie był zaangażowany ukraiński CERT (w ciągu ostatniego pół roku średnia dzienna liczba incydentów podwoiła się – od średnio 1,9 incydentów dziennie w ub.r. do 4-5 dziennie w I. półroczu br.). Jak stwierdziły służby ukraińskie: „adwersarze kontrolowani przez państwo szykują się na długą walkę przeciwko Zachodowi”;
• utrzymujące się zainteresowanie sektorem cywilnym i organami ścigania przez grupy APT powiązane z wojskiem. Celem cybersziegostwa ma być uzyskanie dostępu i wykradanie danych na temat zbrodni wojennych w Ukrainie, o czym więcej pisaliśmy szczegółowo w tym materiale
• zasada: „raz ofiara – zawsze ofiarą” – hakerzy sponsorowani przez państwo, którzy zaatakowali raz, wracają, by sprawdzić ofiary i uzyskać ponownie dostęp np. do krytycznych danych o znaczeniu wojskowym. Wiedza na temat ofiary: jej infrasturktury, organizacji, kluczowych osobach, środkach obronnych czy komunikacji pozwala już na wstępie zyskać przewagę przez wroga;
• koncentracja na natychmiastowej ekstrakcji danych (analizowaniu i przeszukiwaniu danych, by pobrać interesujące ich informacje ze źródeł);
• sektor medialny pod ciągłą presją ataków, które skupiały się głównie na dziennikarzach. Celem ataków było przejęcie kontroli nad zasobami i kontami, by prowadzić kampanie dezinformacyjne i operacje wpływu. Wiele z ataków przypisywano grupie Sandworm (powiązanej z GRU);
• wykorzystywanie często wew. funkcjonalności systemów lub zew. narzędzi do złośliwych działań. Jako przynętę stosują np. legalne, sprawdzone oprogramowanie (podano przykład WinRar), co jest trudniejsze w wykryciu i usypia czujność;
• hakowanie i wykorzystywanie systemów pocztowych typu open-source przez groźnych aktorów;
• stałe atakowanie sektora energetycznego.

Podano również dane dotyczące incydentów, zarejestrowanych przez ukraiński CERT (bez danych z SSSCIP).

Co dalej?

Jak czytamy, liczba krytycznych incydentów "wyraźnie spadła", a Rosja zdaje się stosować "mniej wyrafinowaną taktykę". Obecnie występuje nowa fala ataków phishingowych, które zyskały pierwszeństwo nad dotychczas udanymi infekcjami złośliwym oprogramowaniem. "Chociaż napastnicy stają się coraz bardziej agresywni, wzmacnia się także obrona Ukrainy" - podsumowano.

Raport – jak wskazano w publikacji – ma być analizą taktyk, technik i procedur stosowanych przez Rosję w cyberprzestrzeni, aby nie tylko Ukraina mogła „przebić się przez mgłę wojny”, ale także pokazać szerszy obraz, by partnerzy wspierający ją w cyberobronie mogli wyciągnąć dla siebie słuszne wnioski. Lekcje, jakie wyciągnięto, mają posłużyć również jako nauka dla innych państw i dać im możliwość przystosowania się do „nowej ery aktywnej cyberagresji”.

Kolejne cześci tej publikacji omówimy w najbliższych dniach.

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].