Ujawniamy prawdę o rosyjskich cyberatakach na Polskę

Grupa znana jako Z-Pentest Alliance (Z-Alliance) to prorosyjska grupa hakerów, która słynie z włamań do systemów kontroli w różnych europejskich krajach, w tym Polski. Na łamach CyberDefence24 opisywaliśmy przypadki ataków przeprowadzonych przez tą grupę:

• Atak na polski basen
• Ataki na polskie firmy
• Infrastruktura energetyczna państw europejskich
• Polska elektrownia i wodociąg

Czym jest Z- Pentest Alliance?

Orange Cyberdefense, jednostka należąca do operatora sieci Orange, przygotowała szczegółowy raport opisujący profil grupy. Wśród kluczowych informacji wskazano, że:

• Grupa rozpoczęła swoją aktywność pod koniec 2023 r.,
• Wyróżniają się zdolnością do penetracji systemów kontroli operacyjnej (OT) w infrastrukturze krytycznej,
• Ataki Z-Pentest mają na celu osłabienie systemów przemysłowych i kontrolnych (ICS/SCADA) w krajach zachodnich.

Z-Pentest Alliance współpracują z innymi pro-rosyjskimi grupami cyberprzestępczymi, w tym: Cyber Army of Russia Reborn, KillNet, Anonymous Russia oraz NoName057(16).

Wektory wpływu

Z raportu dowiadujemy się także o pięciu wektorach wpływu Z-Alliance:

1. Sabotaż - zakłocenie działań krytycznych systemów, np. stacji uzdatniania wody;
2. Mobilizacja - grupa korzysta z platform takich jak Telegram i X, aby komunikować się ze swoimi zwolennikami i rekrutować nowych członków, oferując pewien poziom anonimowości i bezpieczeństwa;
3. Manipulacja psychologiczna - członkowie grupy są nadwyraz optymistyczni i często przeceniają swoje umiejętności, ignorując tym samym negatywne konsekwencje swoich działań;
4. Zastraszenie - Z-Pentest publikuje filmy pokazujące manipulacje systemami kontroli w celu budowania strachu i wzmocnienia swojego wizerunku jako groźnej grupy;
5. Dezinformacja - Z-Pentest wykorzystuje kampanie dezinformacyjne do wpływania na opinię publiczną i szerzenia swojego przekazu politycznego, wykorzystując sieci społecznościowe i fora internetowe do propagowania narracji zgodnych z ich celami;

Projekt DDoSia

Po wybuchu wojny w Ukrainie znana pro-rosyjska grupa hakerów NoName057(16) zapoczątkowała projekt DDoSia. Jest to wspólne przedsięwzięcie mające na celu przeprowadzanie zakrojonych na szeroką skalę ataków typu distributed denial-of-service (DDoS) na podmioty (prywatne korporacje, ministerstwa i instytucje publiczne) należące do krajów wspierających Ukrainę, głównie państw członkowskich NATO. Grupa Z-Alliance należy do projektu i publicznie wspiera działania grupy NoName057(16).

Operacja Eastwood

W lipcu br. funkcjonariusze CBZC oraz Europolu aresztowali członków grupy NoName057(16) podczas tzw. operacji Eastwood. Wspólna praca służb doprowadziła nie tylko do zatrzymania kluczowych członków grupy, ale także do przejęcia serwerów i infrastruktury wykorzystywanej do cyberataków.

Fakt zatrzymania kluczowych członków grupy NoName057(16) nie przeszedł bez echa w środowisku prorosyjskich hakerów. Od jakiegoś czasu Z-Alliance zaczęło używać nowego wymownego hasztagu (#F??k Eastwood) odnoszącego się do akcji Europolu. Jednocześnie zintensyfikowało swoje działania, rozszerzając również ataki na nowe cele.

Kampania cyberataków wciąż trwa

Wczoraj doszło do kolejnego ataku - tym razem padło na polską szklarnię. Przyjrzyjmy się zatem co udało im się zdziałać, a także jakie techniki manipulacyjne zostały przez nich wykorzystane w przekazie.

Po pierwsze, o ataku dowiadujemy się z Telegrama należącego do cyberprzestępców. Grupa jest otwarta, co oznacza że wcale nie kryją się oni ze swoimi działaniami. Jak zawsze do twierdzeń dołączone zostało wideo, mające stanowić dowód na uzyskanie przez hakerów dostępu do panelu kontroli.

Na nagraniu widać jak po uzyskaniu dostępu haker:

• podnosi temperaturę wewnętrzną do krytycznego poziomu,
• blokuje sterowanie wentylatorami,
• sztucznie zniekształca dane dotyczące prędkości i kierunku wiatru, wprowadzając operatorów w błąd,
• aktywnie zakłóca procesy kontroli mikroklimatu, stwarzając zagrożenie dla upraw i sprzętu.

Pod każdym nagraniem grupa dołącza krótki opis swoich działań. W tym przypadku dowiadujemy się, że atak został przeprowadzony przez ich ucznia, prawdopodobnie chcąc w ten sposób zaznaczyć, że chętnych do dołączenia i działania na rzecz pro-rosyjskich hakerów nie brakuje.

Na koniec hakerzy dodają swój propagandowy przekaz, wskazując na wrażliwość obiektów przemysłowych tego typu. Zaznaczają przy tym, że każde próby przywrócenia kontroli nad systemem nie są możliwe bez ich zgody, podkreślając swoją dominację i wyższość.

Całość oznaczona jest hasztagami: ЗАNONAME057(16), F??kEastwood, TimeOfRetribution oraz OpPoland, wskazując na jasne powiązania i solidarność ze znaną rosyjską grupą.

Nie dajmy się zastraszyć

Celem Z-Pentest Alliance jest szerzenie prorosyjskiej narracji oraz przeprowadzanie i udostępnianie nagrań ataków do budowania strachu w odbiorcach.

Przypominamy, że w takich sytuacjach należy zachować spokój. Szczególnie w przypadku przedsiębiortstw dotkniętych atakami rosyjskich hakerów najlepszą odpowiedzią jest niezwłoczne zgłoszenie incydentu odpowiednim służbom.

W Polsce posiadamy instytucje oraz organy, które zajmują się nieustannym monitorowaniem naszej cyberprzestrzeni i sprawnie reagują na incydenty.

Widzisz incydent? Zgłoś go do CERT Polska, wystarczy uzupełnić krótki formularz.