Wojna nie tylko na froncie... Świat gotowy na rosyjskie cyberataki?

„Oceniamy, że zakres i dotkliwość cyberoperacji związanych z rosyjska inwazją na Ukrainę były prawie z pewnością lepiej przygotowane i o większym zasięgu niż podawano w jawnych źródłach. Oceniamy, że rosyjskie cyberoperacje (...) miały na celu utrudnienie działania, przerwanie działania, zniszczenie lub zdyskredytowanie ukraińskiego rządu, wojska, gospodarki, zdobycie wpływu na krytyczną infrastrukturę i ograniczenie społeczeństwu Ukrainy dostępu do informacji”

- podsumowało Kanadyjskie Centrum Cyberbezpieczeństwa działające w ramach Communications Security Establishment (CSE - wywiad elektroniczny) w opublikowanym biuletynie.

CSE ocenia też jako wysoce prawdopodobne, że celem wspieranych przez rosyjski rząd „agresywnych podmiotów cyberzagrożeń” są kraje NATO. „Oceniamy, że Rosja (…) rozwija zdolności cyberataków przeciw Unii Europejskiej i krajom NATO, w tym USA i Kanadzie”.

Rosjanie atakują - Ukraińcy odpierają

Raport wylicza cyberataki na Ukrainę, takie jak powiązanej z GRU grupy Sandworm, która w kwietniu br. próbowała użyć m.in. malware nazywanego Industroyer 2 przeciwko podstacjom wysokiego napięcia w ukraińskiego systemu energetycznego. Chodziło o wstrzymanie dostaw elektryczności, ale Ukraińcy wspólnie ze słowacką firmą ESET zablokowały atak. Ponadto raport m.in. opisuje koordynację działań rosyjskich wojsk z cyberatakami, do połowy maja br.

Dotychczas kanadyjscy specjaliści zidentyfikowali osiem typów oprogramowania używanego przez Rosję przeciwko Ukrainie: WhisperGate/Whisperkill, FoxBlade (HermeticWiper), SonicVote (HermeticRansom), CaddyWiper, DesertBlade, Industroyer2, Lasainraw (IsaacWiper) and FiberLake (DoubleZero). W kwietniu br. zauważono cztery nowe typy malware: „specjaliści cyberbezpieczeństwa przypisały te ataki grupie znanej jako Armageddon (również znanej jako Gamaredon/Shuckworm), która jest wiązana z rosyjską federalną służną bezpieczeństwa FSB”.

Kanadyjscy specjaliści, ostrzegając przed kolejnymi atakami przygotowywanymi przez Rosję wobec krajów wspierających Ukrainę, odnotowali działania cyberszpiegów w systemach rządowych, uniwersyteckich, prywatnych firmach i podmiotach krytycznej infrastruktury, w tym w Polsce. 

W jakim celu są te ataki?

Raport omówił znane rosyjskie ataki na kraje wspierające Ukrainę, w tym Polskę, m.in. częściowe zablokowanie sieci łączności satelitarnej w Europie KA-SAT w dniu inwazji na Ukrainę, którego celem było zakłócenie ukraińskiej łączności wojskowej. Wskazano też ataki DdoS przeprowadzone przez pro-rosyjską grupę hakerską Killnet na infrastrukturę w Czechach, Estonii, Łotwie, Polsce, Wielkiej Brytanii i USA. 

Od 2014 r. i aneksji Krymu przez Rosję, Ukraina „znacząco” poprawiła swoje cyberzabezpieczenia, z pomocą rządów i firmy technologicznych krajów Unii Europejskiej oraz państw sojuszu wywiadowczego Five Eyes (Australia, Kanada, Nowa Zelandia, USA, Wielka Brytania). Kanadyjscy specjaliści wskazali też na rolę haktywistów w przeciwdziałaniu rosyjskim atakom: rosyjskie cyberzagrożenia zwalczają Anonymous i licząca ok. 400 tys. osób ukraińska „armia IT”. Istnieje też grupa hakerska wspierająca Ukrainę, Belarusian Cyber Partisans (Białoruscy Cyberpartyzanci), „jednak ich zasięg był dotychczas ograniczony”.