Wojna ukraińsko – rosyjska: Czy cyberbezpieczeństwo ukształtuje konflikty przyszłości? 

Podziel się tym wpisem:

A więc wojna! 

Spełnił się najczarniejszy scenariusz. Wojska Federacji Rosyjskiej, bez wypowiedzenia wojny, wbrew deklaracjom Kremla, wkroczyły na tereny Ukrainy. Ofensywa prowadzona jest na ponad 1500km granicy ukraińsko – rosyjskiej, od strony Krymu, a także z terenów Białorusi. Celem specjalnej operacji wojskowej miała być ochrona terenów separatystycznych republik Donieckiej i Ługańskiej, jednak naloty prowadzone są na obszarze całego kraju, a obywatele Ukrainy odpierają okupantów w stolicy. Sytuacja zmienia się błyskawicznie, a przez chaos informacyjny często nie wiadomo w czyim posiadaniu znajdują się miasta i kluczowe elementy infrastruktury. Zmobilizowanych zostało prawie 200 tysięcy rosyjskich żołnierzy wraz z wozami pancernymi, czołgami i artylerią. Po stronie ukraińskiej karabiny i wyrzutnie rozdawane są każdemu obywatelowi skoremu do obrony kraju. 

Współcześnie obok wojny na lądzie, morzu i w powietrzu coraz większego znaczenia nabiera rywalizacja w cyberprzestrzeni. Temat ten przybliżają opinii publicznej różne afery podsłuchowe, niewiele osób jest jednak świadomych znaczenia operacji w cyberprzestrzeni. Nie znamy realnego przygotowania krajów do stawienia czoła nowemu zagrożeniu na pełną skalę, a często jest ono mizerne.  

Zorganizowane grupy przestępcze 

Przykładem jest Ukraina, która od 2014 roku służyła za swego rodzaju plac zabaw dla rosyjskich służb specjalnych i grup nieoficjalnie finansowanych przez rząd Federacji. Nie są to programiści hobbystycznie zajmujący się hakowaniem po szkole czy pracy. To wybitni specjaliści, świetnie wykształceni w swojej dziedzinie. Zza ekranu komputera potrafią dokonać zniszczeń, do których w standardowym konflikcie potrzeba setek żołnierzy i ton sprzętu.  

Grupy, o których mowa nie są oczywiście domeną wyłącznie Federacji Rosyjskiej i jej podmiotów. Nazywane są APT (ang. Advanced Persistent Threat) i opisywane kolejną liczba porządkową działają także z terytorium Korei Północnej, Iranu czy Chin. Kiedy grupie uda się przypisać znaczną liczbę ataków często dostaje unikatową nazwę. Przykładem może być grupa Sandworm, której nazwa nawiązuje do czerwia z „Diuny” Franka Herberta, a wzięła się z upodobania członków grupy do dobierania sobie przydomków z dzieła amerykańskiego pisarza.  

Działania ofensywne w cyberprzestrzeni prowadzą naturalnie także Stany Zjednoczone czy Izrael. Mimo tego, od wielu lat to właśnie Federacja Rosyjska wyznacza najwyższy standard, jeśli chodzi o zaawansowanie i skuteczność ataków. Warto jednak pamiętać, że cyberatak nie zna granic państwowych. Także wykorzystanie do ataku serwerów znajdujących się na terenie danego kraju nie jest bezpośrednim wskaźnikiem zaangażowania tego kraju. Popularne usługi hostingowe są w posiadaniu serwerów znajdujących się w każdym zakątku świata, a dobrze zorganizowane grupy potrafią tak poprowadzić swoją ścieżkę ataku, że dojście do źródła staje się praktycznie niemożliwe.  

Większość aplikacji, z których korzystamy na co dzień zawiera błędy i luki, które potencjalnie pozwolą na dostanie się do systemu przez niepożądane osoby. Stąd nieprzerwanie instalowane przez nas aktualizacje. Dodają one nie tylko funkcjonalność, ale przede wszystkim naprawiają stare podatności. Dotyczy to także systemów operacyjnych i hardware’u np. routerów. Grupy APT często wykorzystują podatności zero-day. Są to poważne błędy w popularnym oprogramowaniu, które umożliwiają uzyskanie pełnego dostępu do maszyny i rozprzestrzenienie się w sieci. Jednym ze słynniejszych przykładów jest rozwijana przez National Security Agency podatność systemów Windows zwana EternalBlue. Trzymana w tajemnicy jako forma wojny informacyjnej, została w 2017 roku wykradziona przez grupę przestępczą, według Edwarda Snowden’a powiązaną z Rosją. Wykorzystano ją następnie do politycznie powiązanych cyberataków. Podatność zero-day można załatać się dopiero po wystąpieniu ataku. Zanim autor poprawi błędy, zainfekowanych może zostać sto, tysiąc i więcej komputerów w dowolnym miejscu na świecie.  

Namacalne zniszczenia 

Po wydarzeniach z Euromajdanu z przełomu 2013 i 2014 roku Ukraina i jej obywatele przekonali się o możliwościach, które niosą ze sobą ataki w infrastrukturze sieciowej. Zimą 2015 roku ćwierć miliona mieszkańców obwodu Iwano-Frankowskiego zostało odciętych od prądu z powodu pierwszego w historii ataku na sieć energetyczną. Było to zaledwie 0.015% dziennej ukraińskiej produkcji elektrycznej, pokazało jednak jak namacalne mogą być skutki sabotażu prowadzonego tą drogą. Zawiodło wiele procesów. Atakujący dostęp do systemu uzyskali dzięki mailom z niebezpiecznym linkiem. Zdobyto dostęp do systemów SCADA nadzorujących przebieg procesów przemysłowych. Za pomocą darmowego i dostępnego dla każdego oprogramowania usunięto dane systemowe i pliki. Na samym końcu zablokowano usługi związane z infolinią firmy energetycznej. Był to doskonale zaplanowany atak, skutecznie przeprowadzony. W tym przypadku problemy z dostawą prądu trwały do 6 godzin. Na większą skalę wyrządzone szkody mogą być nieodwracalne.   

Zarówno przed, jak i w trakcie aktualnej rosyjskiej napaści, wystąpił szereg cyberataków.  14 stycznia 2022 roku niedostępnych było ponad 70 rządowych stron na Ukrainie. Miesiąc później seria ataków dotknęła banki. Schemat ataku łudząco przypominał vipera, który siał chaos na Ukrainie w roku 2017. Infekując komputery z całego świata przyniósł miliardowe straty. Viper to nazwa jednego z najpoważniejszych zagrożeń z jakimi mierzą się użytkownicy Internetu. Po dostaniu się do maszyny pokazywał informacje o możliwości przesłania okupu w celu odzyskania dostępu. W rzeczywistości szyfrował Master Boot Record – główny rekord rozruchowy i po ponownym uruchomieniu komputera uniemożliwiał dostęp do danych znajdujących się na hoście.  

Po ostatnim ataku Ilya Vityuk, szef Ukraińskiej Agencji Wywiadu podkreślił, że wymagał on milionowych funduszy oraz infrastruktury, która jest poza zasięgiem pojedynczego atakującego. Tego typu ataki są demobilizujące i mają uderzać w morale zwykłych obywateli. Na stronie Ministerstwa Spraw Zagranicznych widoczna była informacja: „Mieszkańcy Ukrainy! (…) Spodziewajcie się najgorszego”. 

„Ruscy agenci” 

Nie należy także ignorować konsekwencji masowej dezinformacji. W erze całkowitej globalizacji odróżnianie fałszywych i prawdziwych materiałów to przywilej, na który nie wszyscy mogą sobie pozwolić. Przez kilka dni walk obie ze stron starały się prezentować informacje na swoją korzyść. Informowały jedynie o pozytywach, manipulowały faktami. Media z całego świata, bez  odpowiedniej weryfikacji, udostępniały materiały i tym sposobem również polskie portale internetowe informowały m.in. o zestrzeleniu rosyjskiego myśliwca na podstawie kilkuletniego zdjęcia z Syrii. Niepokojąco często spotykane są fałszywe konta, które masowo agitują politycznie szerząc zamęt w sieci.   

Akcja i reakcja 

Inwazja spotkała się z ostrą krytyką ze strony opinii publicznej i rządów większości krajów. Dołączyły do nich niezależne grupy internetowych aktywistów, które chcąc od lat być utożsamiane z wolnością, uznały za odpowiednie wyrazić swój sprzeciw. Już 3 dnia wojny organizacje powiązane z Anonymous uzyskały dostęp do rosyjskiego Ministerstwa Obrony, a także ujawniły maile białoruskiego producenta broni. Podsłuchiwały rosyjskie rozmowy wojskowe. Najbardziej imponujące była jednak transmisja w rosyjskiej telewizji materiałów pokazujących rzeczywistość starć na Ukrainie i okrucieństwa wojny, stojące w sprzeczności z kremlowską propagandą. Za pomocą Twittera zadeklarowali, że wypowiadają wojnę Rosji i Władimirowi Putinowi. Tego typu akcje są nie tylko symbolem sprzeciwu wobec międzynarodowej agresji, są realną kontrybucją w wysiłek wojskowy jednej ze stron. 

Według informacji podawanych przez NBC News, możliwością cyberataków na masową skalę dysponował także rząd Stanów Zjednoczonych. Liczne źródła, także oficerowie wywiadu, informowały, że możliwe było zakłócenie dostępu do Internetu w Rosji, ingerencja w dostawy energii eklektycznej, a nawet sabotaż kolei – kluczowej w łańcuchu dostaw ludzi i sprzętu na ukraiński front. Byłoby to jednak otwarte działanie militarne przeciwko obcemu państwu.  

Dzięki inicjatywom społecznym wykfalifikowani specjaliści mogą zgłosić się i pomóc Ukrainie w kwestiach cyberbezpieczeństwa. Inicjatywa Tech To The Rescue zachęca firmy do bezpłatnego dołożenia swojej cegiełki do ochrony Ukrainy poprzez pomoc tamtejszym organizacjom pozarządowym, które jak opisują, są sercem społeczeństwa obywatelskiego. Często są jednak zacofane z powodu braku odpowiednich środków. 

Jeden krok za daleko 

Ofensywne działania w cyberprzestrzeni to stąpanie po cienkiej granicy. Władimir Putin w jednej ze swoich wypowiedzi podkreślił, że ingerencja zachodnich państw spotka się z ostrą odpowiedzią. Nie powstrzymuje to krajów należących do NATO do jawnego przekazywania funduszy i broni, wyklucza jednak wysłanie regularnego wojska jako wsparcia. W sieci odróżnienie jawnego aktu wojny może być niewykonalne. Czy jest nim celowe ograniczanie dostępu do Internetu, dezinformacja na masową skalę? Trudno określić, ile żyć może zostać straconych w wyniku chaosu spowodowanego ingerencją w system bankowy czy maszyny w fabrykach. W świecie, w którym mikroprocesory i elektronika są częścią niemalże każdego urządzenia możliwości są nieograniczone.  

Sekretarz NATO generał Jens Stoltenber podkreślił, że działania w cyberprzestrzeni mogą być powodem do uruchomienia artykułu 5 traktatu Północnoatlantyckiego. Można je interpretować jako casus foederis. Wypowiedzenie wojny jednemu państwu będzie wypowiedzeniem wojny całemu Sojuszowi. Należy jednak pamiętać, że w przeszłości potwierdzono ataki z rosyjskich (i nie tylko) adresów IP na instytucje w krajach Sojuszu i Unii Europejskiej. Nie spotkały się one z odpowiedzią. Naturalnie, rządy krajów odcinają się od brania czynnego udziału w tego typu procederach. Trudno jest im udowodnić kłamstwo. 

Co dalej? 

Przypadek Ukrainy pokazuje, że kraje nie są przygotowane na walkę w cyberprzestrzeni. Przez wiele lat temat cyberbezpieczeństwa nie był medialny, nie przykuwał uwagi publiki w takim stopniu jak konflikt konwencjonalny. Infrastruktura sieciowa w instytucjach publicznych i prywatnych jest skomplikowana, nieuporządkowana. Brakuje wykwalifikowanej kadry, która potrafi zarządzać zasobami i monitorować ruch. Administratorzy nie są świadomi zagrożenia, nie wiedzą także jak działać, gdy wystąpi. Profesjonalne oprogramowanie jest drogie i zniechęca potencjalnych klientów do zabezpieczenia się. Powoli wchodzą na rynek profesjonalne rozwiązania za rozsądne pieniądze. 

Aktywna ochrona w cyberprzestrzeni będzie kluczowym aspektem bezpieczeństwa państw i organizacji. Według raportu Risk in Focus 2021 to najpoważniejszy problem z jakim zmierzą się w niedalekiej przyszłości audytorzy. Rozwój w tym kierunku powinien być absolutnym priorytetem, jeśli mówimy o bezpieczeństwie narodowym. Uczelnie raczkują, jeśli chodzi o ofertę w tym kierunku, płace w sektorze publicznym zniechęcają specjalistów, brak też świadomości społecznej i zrozumienia konsekwencji. Rozwój i organizacja bezpieczeństwa w sieci powinna być podstawą każdego poważnego planu biznesowego i programu politycznego.  

Źródło: Risk in Focus 2021 – published by a consortium of institutes of internal auditors that includes the Chartered Institute of Internal Auditors (UK & Ireland), Deutsches Institut für Interne Revision (DIIR), IIA Belgium, IIA Nederland, IIA Luxembourg, IIA Austria, Instituto de Auditores Internos de España, IIA Sweden, Institut Français De L’audit Et Du Contrôle Interne (IFACI) and the Italian Association of Internal Auditors. 

Podziel się tym wpisem: