#CyberMagazyn: Chłodna głowa Putina. Rosyjski układ z cyberprzestępcami

Po inwazji Rosji na Ukrainę wiele ugrupowań hakerskich, cyberprzestępczych czy haktywistycznych wypowiedziało cyberwojnę Putinowi. Przykładem może być chociażby społeczność Anonymous, której członkowie regularnie prowadzą cyberdziałania wymierzone w rosyjską infrastrukturę (np. włamanie do tamtejszych instytucji, kradzieże danych, ataki DDoS). 

Należy mieć jednak na uwadze, że po drugiej stronie znajdują się podmioty i ugrupowania, które opowiadają się po stronie Rosji. Przykładem może być gang ransomware „Conti”, który 25 lutego br., czyli dokładnie dzień po inwazji na Ukrainę, publicznie zadeklarował, że stoi za Putinem. W specjalnym oświadczeniu udostępnionym w mediach społecznościowych grupa wskazała, że w odpowiedzi na jakikolwiek atak na Rosję użyje wszystkich swoich środków, aby przeprowadzić operacje wymierzone w infrastrukturę wroga. 

To pokazuje, że podmioty cyberprzestępcze wspierają Kreml i odgrywają ważną rolę w cyberdziałaniach Moskwy. Mowa tu nie tylko o ostatnich operacjach w ramach wojny w Ukrainie, ale i znacznie wcześniej.

Projekcja cybersiły i raj dla cyberprzestępców

Scott Jasper, wykładowca w Naval Postgraduate School w Monterey (Kalifornia) i autor publikacji „Russian Cyber Operations: Coding the Boundaries of Conflict”, zwraca uwagę w analizie Atlantic Council, że sankcje Departamentu Skarbu USA nałożone na grupę „Evil” (rosyjska grupa cyberprzestępcza) są związane z działalnością jej przywódcy Maksima Jakubetsa (Maksim Yakubets), który pracował dla Federalnej Służby Bezpieczeństwa (FSB). 

Amerykańskie władze obawiały się, że Kreml może zlecić grupom ransomware przeprowadzenie wrogiej kampanii wymierzonej w np. wybory prezydenckie w 2020 roku, zwłaszcza po zainfekowaniu Trickbotem komputerów urzędników zaangażowanych w ten proces. Strach przed rosyjskim atakiem był na tyle silny, że USCYBERCOM podjęło decyzję o przeprowadzeniu operacji mającej na celu zniszczenie infrastruktury dowodzenia i kontroli Trickbota. 

„Umywać ręce” jak Rosja

Rosyjskie grupy cyberprzestępcze pomagają także Moskwie w projekcji cybersiły. Są skuteczne w rekrutacji młodych talentów, a władza chroni je przed pociąganiem do odpowiedzialności, gdy prowadzą cyberdziałania poza granicami kraju. Z tego względu Rosja określana jest „rajem dla cyberprzestępców”. 

Gabby Roncone, analityczka zespołu „Cyber Espionage” w Mandiant, zwraca uwagę, że Moskwa „trzyma cyberprzestępców na długiej smyczy”, jeśli tylko Ci powstrzymają się od prowadzenia cyberataków wymierzonych w krajowe podmioty. W odniesieniu do kampanii ukierunkowanych w inne państwa, mają przysłowiowe zielone światło. 

Kreml wychodzi z założenia, że kampanie cyberprzestępcze, których celem są organizacje, instytucje i użytkownicy za granicą, przyczyniają się do powstania zakłóceń, a więc i kosztów dla adwersarza. To oznacza, że służą interesom Rosji, a wszystko bez bezpośredniego zaangażowania państwa.

Władze w Moskwie podchodzą do sprawy racjonalnie i z chłodną głową. Po co angażować służby w kampanie, skoro można pozwolić działać grupom cyberprzestępczym, które – jak to określiła Gabby Roncone – trzymamy na smyczy? To bardzo wygodne, ponieważ w przypadku wykrycia incydentu, w łatwy sposób da się „umyć ręce”, wskazując, że przecież sprawcą była ta grupa, a nie instytucje państwowe. 

Agenci zastępczy Kremla

Co więcej, cyberprzestępcy mają swój wkład również w działalność wywiadowczą rosyjskich służb (np. grupa Buhtrap zajmująca się cyberszpiegostwem). Mowa tu nie tylko o współpracy w zakresie pozyskiwania danych, ale także możliwości wykorzystania narzędzi. Dzięki nim Moskwa doposaża swój cyberarsenał i/lub modyfikuje rozwiązania, w tym złośliwe oprogramowania. Przykładem może być wirus „Black Energy”, który pierwotnie został stworzony przez grupę Cr4sh, a następnie dostosowany do potrzeb i wykorzystany przez Sandworm podczas operacji wymierzonej w ukraińską sieć energetyczną w 2015 roku. 

„Cyberpotęga Rosji to nie tylko wojsko i służby bezpieczeństwa – pomimo że Służba Wywiadu Zagranicznego (SVR) i Agencja Wywiadu Wojskowego (GRU) nie raz udowodniły, że posiadają zaawansowane zdolności. Kreml siłę czerpie również od złożonej sieci pośredników – od cyberprzestepców, przez >>patriotycznych hakerów<<, do firm-przykrywek” – wskazuje w analizie Atlantic Council Justin Sherman z Cyber Statecraft Initiative. 

Opisana wyżej złożoność aktorów sprawia, że nie da się w jednoznaczny sposób ocenić i scharakteryzować całą sieć. Wynika to z faktu, że np. niektóre grupy cyberprzestępczy ściśle współpracują z rosyjskimi służbami, podczas gdy inne działają w ramach większej autonomii i niekiedy pełnią rolę cybernajemników. W związku z tym, analizując działania Kremla w cyberprzestrzeni i jego siłę na tym polu, nie można tylko i wyłącznie skupiać się na podmiotach państwowych. 

„Nie ma powodu, dla którego Putin miałby powstrzymywać cyberprzestępców”

Wojna w Ukrainie wiele zmieniła, również na polu konfrontacji w cyberprzestrzeni. Mowa tu m.in. o przestrzeganiu ustalonych zasad. Jakich? Wystarczy przywołać rozmowy Putin-Biden dotyczące cyberprzestępców. Miały one miejsce w ubiegłym roku po serii cyberataków z użyciem oprogramowania ransomware na amerykańskie cele. Analiza kampanii wskazywała na ślady prowadzące do Rosji i tamtejszych cybergangów. Wówczas wielokrotnie pojawiało się stwierdzenie, że „Rosja to raj dla cyberprzestępców”. 

Fala incydentów doprowadziła do rozmów na szczycie. W Genewie w czerwcu 2021 roku amerykański prezydent przekazał swojemu rosyjskiemu odpowiednikowi listę infrastruktury krytycznej, która nie może być atakowana pod żadnym względem. 

Wymiana zdań między przywódcami państw sprawiła, że intensywność kampanii ransomware zmniejszyła się. Co więcej, rosyjskie FSB przeprowadziło operację wymierzoną w grupę REvil w styczniu br., co odbyło się na wniosek Waszyngtonu. 

Jednak 24 lutego Kreml rozpoczął inwazję na Ukrainę. W reakcji na wybuch wojny Zachód nałożył sankcje na Rosję, a to może zmienić obraz całej sytuacji. „Nie ma powodu, dla którego Putin miałby powstrzymywać rosyjskie grupy ransomware przed cyberatakami wymierzonymi w infrastrukturę krytyczną USA. Putin może je nawet zatrudnić do prowadzenia operacji odwetowych lub generowania środków finansowych” – podkreśla Scott Jasper.

Taki stan rzeczy zwraca uwagę na inny ważny aspekt. Przed wybuchem wojny jednoznaczne odróżnienie kampanii cyberprzestępczych od operacji aktorów państwowych było złożone i skomplikowane. Wynikało to przede wszystkim z problemu, jakim jest atrybucja, ponieważ błędne przypisanie ataku danemu podmiotowi wiąże się z konsekwencjami (np. zgrzytem dyplomatycznym). 

Dlatego – zdaniem Rafala Rohozinskiego – w związku z wybuchem wojny w Ukrainie wszystkie cyberataki, których źródłem znajduje się w Rosji, zarówno te prowadzone przez grupy cyberprzestępcze, jak i państwowe, powinny być traktowano jednakowo – jako akt wrogości.

Lojalność Mińska względem Moskwy

Bliskie relacje z Kremlem posiada Mińsk. Współpracę można obserwować na wielu płaszczyznach, m.in. militarnej, gospodarczej, politycznej, dyplomatycznej czy w cyberprzestrzeni. Tutaj pojawia się interesujący wątek dotyczący podmiotów działających w sieci ze strony Białorusi, które realizują lub też pomagają osiągnąć cele Kremla. Jak je postrzegać?

W związku z tym może warto nie zamykać się w pojęciu „rosyjski haker” czy „rosyjski cyberprzestępca”, a lepiej podejść do zagadnienia znacznie szerzej, używając terminu „rosyjskojęzyczny haker" lub „rosyjskojęzyczny cyberprzestępca”. To pozwoli uwzględnić znacznie bardziej rozbudowany katalog podmiotów, działających z różnych krajów i regionów, które realizują działania zbieżne z interesami Moskwy. 

Oczywiście należy mieć na uwadze, że nie wszyscy białoruscy aktorzy opowiadają się po stronie Rosji, co pokazała chociażby wojna w Ukrainie. Dlatego warto podkreślić, że mówimy tutaj o podmiotach opowiadających się po stronie Putina, choć ich lojalność względem Kremla nie jest w pełni znana. 

Tutaj można wspomnieć o grupie znanej jako UNC1151, która ma być powiązana z rządem w Mińsku. To ona ma stać za kampanią „Ghostwriter” wymierzoną w podmioty rządowe wielu państw, w tym ministerstwa obrony – wynika z analizy Mandiant, opublikowanej w listopadzie ub. r.

Specjaliści wskazali, że większość celów realizowanych w ramach operacji jest zbieżna z celami rosyjskiej polityki, które uderzają w NATO i wiarygodność Sojuszu w państwach bałtyckich oraz w Polsce.

Przechodząc do obecnej sytuacji, Justin Sherman podkreśla, że „od momentu, kiedy Putin rozpoczął wojnę w Ukrainie, stało się jasne, że reżim Łukaszenki na Białorusi rozpocznie cyberoperacje i kampanie informacyjne w imieniu Kremla”. 

Nie jest tajemnicą, że cele strategiczne Moskwy i Mińska w obszarze bezpieczeństwa stają się coraz bardziej zbieżne. Oba państwa ściśle na tym polu ze sobą współpracują, a dodatkowo można zidentyfikować kolejne czynniki, które mogą jeszcze bardziej zacieśnić więzy między nimi. Jednym z nich jest wyraźne poparcie Kremla dla reżimu Łukaszenki od białoruskich wyborów w 2020 roku, drugim – rosnąca kwota pożyczek udzielonych przez państwo Putina swojemu zachodniemu sąsiadowi. Mówiąc wprost Białoruś staje się coraz bliższa Rosji.

Deal z rosyjskimi służbami

Biorąc pod uwagę wszystkie elementy i czynniki można dojść do wniosku, że rosyjska siła w cyberprzestrzeni jest rozproszona i wynika z możliwości szerokiego katalogu podmiotów, od grup cyberprzestępczych, przez aktorów państwowych, kończąc na biznesie. Interesującym zjawiskiem jest także to, że Kreml zezwala gangom działającym w sieci na zatrzymywanie dochodów z prowadzonych operacji, jeśli tylko będą realizować strategiczne interesy władzy.

„Rozmawiałem z rosyjskimi cyberprzestępcami, którzy wspomnieli, że jeśli natkną się na cel, który ich zdaniem może być interesujący z punktu widzenia rosyjskiego wywiadu – np. zdobycie dostępu do zagranicznego systemu wojskowego – sprzedają go rosyjskiemu wywiadowi za określoną kwotę lub w zamian za dostarczenie im >>fajnego narzędzia<< do wykorzystania w ramach przestępczej działalności” – wskazuje Roman Y. Sannikov. 

Należy również pamiętać o wewnętrznej rywalizacji między poszczególnymi grupami i służbami w realizacji stawianych przez rząd zadań. To z kolei wpływa na fakt, że trudno jest jednoznacznie ustalić ostateczny cel podejmowanych cyberoperacji, ponieważ zaimponowanie Kremlowi bywa ważniejsze niż wypełnienie określonego planu.

Chcemy być także bliżej Państwa – czytelników. Dlatego, jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected]. Przyszłość przynosi zmiany. Wprowadzamy je pod hasłem #CyberIsFuture.