CYBERMAGAZYN
#CyberMagazyn: Ukraińska armia IT. Ewolucja w podejściu do działań w cyberprzestrzeni?
Niemal 2,5 roku po rozpoczęciu rosyjskiej inwazji, Ukraina broni się nie tylko w świecie fizycznym. Działania toczą się również w cyberprzestrzeni, a jedną z organizacji odpowiedzialnych za ich prowadzenie jest Ukraińska Armia IT. Historia podmiotu jest nierozerwalnie związana z wojną.
Początek pełnoskalowej inwazji Rosji na Ukrainę 24 lutego 2022 roku był impulsem do zjednoczenia działaczy branży cyberbezpieczeństwa, sprzyjających zaatakowanemu krajowi nie tylko na jego terenie, lecz także na całym świecie.
Raport New Strategy Center o działaniach powstałej dzięki wspomnianemu impulsowi Ukraińskiej Armii IT (IT Army of Ukraine) mówi wprost: wojna hybrydowa, a zwłaszcza konflikt w cyberprzestrzeni, przeszły w ciągu ostatnich lat istotną rewolucję.
Przypomnijmy, że Ukraińska Armia IT powstała w czasie wojny. „Reprezentujemy, chronimy i promujemy Ukrainę” – takim hasłem zachęcali do przystąpienia w swoje szeregi. Przyjmowali każdego, kto posiadał choć minimum cyfrowych zdolności i był gotowy hakować rosyjskie systemy. O tym, kim tak naprawdę są cyfrowi ochotnicy gotowi bronić Ukrainy pisaliśmy już na łamach CyberDefence24 w tym materiale.
Czytaj też
Od rozproszenia do ujednolicenia
Powstała trzeciego dnia inwazji IT Army of Ukraine została uznana za pionierski projekt dotyczący działań w cyberprzestrzeni. Pierwsze działania ruszyły jeszcze tego samego dnia, na co wskazywały informacje rosyjskich mediów z 27 lutego; przeprowadzonych zostało wówczas przeszło 50 ataków DDoS. W kolejnych dniach, osoby bezpośrednio związane z Kremlem zaczęły wspominać o organizacji, a także m.in. oskarżać Zachód o „wyposażenie Ukrainy w istotne środki do działań w cyberprzestrzeni”.
W istocie było jednak inaczej. IT Army w ramach ataków DDoS w pierwszym miesiącu wojny nie wykorzystywała żadnych specjalistycznych programów – w użyciu były te z grona ogólnodostępnych i zrozumiałych w obsłudze. Dopiero w późniejszym okresie organizacja zaczęła używać oprogramowania stworzonego w odpowiedzi na inwazję, jak np. Death by 1000 needles, disBalancer czy MHDDoS, który to został rozwinięty przez IT Army do postaci MHDDoS\_proxy.
Wszystkie trzy narzędzia zostały zintegrowane w ramach narzędzia ADSS, który oddano do użytku członków armii dopiero w sierpniu 2023 roku. Jego ewolucją został oficjalny program IT Army Kit, który od grudnia 2023 umożliwia przeprowadzanie ataków DDoS przy pomocy interfejsu przyjaznego zarówno nowicjuszom, jak i weteranom hackingu, na cele wyznaczone przez dowództwo IT Army oraz za pośrednictwem zaakceptowanych przez nich metod. Ujednolicenie narzędzi zajęło jedynie 22 miesiące, co można uznać za dobry wynik.
Czytaj też
Operacje hakerskie a problem braku zaufania
IT Army do dziś mierzy się z podstawowym i jednocześnie istotnym problemem, jakim jest brak zaufania. „Trudno jest przekazywać informacje w gronie osób, którym nie ufasz. Sytuacja wojenna sprawiła jednak, że współpracujemy ze sobą. Staliśmy się lepsi i silniejsi” – wynika z cytowanej w raporcie wypowiedzi jednego z członków organizacji.
Nieufność w początkowym okresie działania IT Army towarzyszyła innym problemom organizacyjnym. Dowództwo przekazywało bowiem ogólną listę stron czy adresów IP, które należało zaatakować. Wraz z upływem czasu dokonano jednak konkretnych zmian, dzięki czemu zaczęto wyznaczać konkretne cele z wrażliwych sektorów funkcjonowania rosyjskiego państwa. Przykładami były konkretne ataki na giełdy, portale analityczne czy dostawców telekomunikacyjnych.
Ataki hakerskie w najszerszym zakresie prowadzono wobec podmiotów państwowych. Wyłączano z użytku zarówno strony internetowe rosyjskich władz od samorządów do ministerstw, dezaktywowano systemy płatności, atakowano podmioty podległe rosyjskiemu rządowi. Udało się nawet zakłócić przebieg Międzynarodowego Forum Ekonomicznego i opóźnić przemówienie Władimira Putina.
Czytaj też
Misja: wykraść rosyjskie dane osobowe
Podobnie do działań hakerskich można ocenić ruchy IT Army of Ukraine w zakresie ataków na dane osobowe Rosjan. Przełom lutego i marca 2022 to wykorzystywanie źródeł w społeczności internautów oraz włamania do mało znaczących podmiotów. Pozyskiwano w ten sposób imiona i nazwiska oligarchów rosyjskich czy żołnierzy działających na terenie Ukrainy.
Im dłużej jednak trwała wojna, tym śmielsze działania były podejmowane przez haktywistów i patriotycznych hakerów. Ofiarami włamań padły m.in. największa rządowa platforma aukcyjna Roseltorg, młodzieżówka partii „Jedna Rosja”, Bank Centralny Federacji Rosyjskiej czy nawet Gazprom. IT Army podjęła również współpracę ze służbami specjalnymi, włamując się do rosyjskiego systemu podatkowego.
Czytaj też
Szczytny cel, ale są problemy prawne
Wszystkie działania ukraińskiej cyberarmii mają jeden charakterystyczny element, na który zwraca uwagę raport New Strategy Center: problemy z prawem międzynarodowym. Co prawda IT Army zwracała uwagę na przestrzeganie zaleceń Czerwonego Krzyża w zakresie cyberataków, jednak nawet zachowując teoretyczną niezależność organizacji od władz, Kijów wciąż może zostać pociągnięty do odpowiedzialności za jej działania.
Precedensem jest bowiem Overall Control Doctrine, która narodziła się podczas jednego z procesów przed Międzynarodowym Trybunałem Karnym. Jej zapis stanowi, że nawet wspieranie działań cybernetycznych organizacji pozarządowej przez państwo jest wystarczające – a na istnienie takiej przesłanki zwraca uwagę raport. Kłopotów można byłoby w pewnym stopniu uniknąć, jeżeli IT Army zostałaby włączona na poziomie prawnym w skład Sił Zbrojnych Ukrainy; prace nad takowym projektem ustawy trwają.
Jednak nawet przyjęcie organizacji w skład ZSU nie likwiduje tego problemu. Członkowie IT Army niekoniecznie muszą być również uznani zarówno za uczestników działań wojennych, jak i cywilów zgodnie z konwencjami genewskimi. Sprowokowało to dyskusję w kwestii cyberorganizacji, prowadzących operacje w ramach konfliktu zbrojnego.
Warte zauważenia jest również to, że IT Army przestrzega międzynarodowych zaleceń co do nieatakowania celów wrażliwych, takich jak szpitale. Ten element jest jednym z wielu, które odróżniają ukraińskich patriotycznych hakerów oraz haktywistów od ich rosyjskich odpowiedników, którzy przeprowadzają operacje bez względu na to, jaki charakter ma obierany przez nich cel.
Czytaj też
Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na:[email protected].