Zemsta za wsparcie Ukrainy – Rosyjscy hakerzy atakują Polskę

Ukraina broni się już ponad 9 miesięcy przed rosyjską inwazją. Wojna toczy się na lądzie, w powietrzu oraz w cyberprzestrzeni, a Rosja wielokrotnie próbowała zaatakować ukraińskie systemy i sieć IT. Rosyjscy hakerzy nie ograniczają się jednak tylko do celów na Ukrainie, ale również starają się atakować zachodnie państwa i instytucje. Polska jest jednym z najbardziej zagrożonych krajów, ze względu na swoją rolę w pomocy Ukrainie.

 

Wojna rozlewa się poza granice Ukrainy

Incydent w Przeworowie, gdzie ukraińska rakieta obrony przeciwlotniczej wylądowała na terytorium Polski zabijając dwie osoby, przypomniał Polakom, że za ich granicą toczy się wojna. Pokazał również, jak łatwo mogą w jej wyniku ucierpieć obywatele Rzeczpospolitej. Dla wielu ekspertów uderzenie rakiety nie było niczym niespodziewanym i należało się tego spodziewać. Jednak Polska od samego początku inwazji w pełnej skali jest celem rosyjskich działań w cyberprzestrzeni ze względu na fakt, że stanowi główne centrum dostaw dla walczącej Ukrainy oraz, że przyjęła największą ilość ukraińskich uchodźców.

 

NotPetya. Jak świat poznał rosyjskich hakerów?

Pierwszy raz w cyberprzestrzeni efekty trwającej od 2014 roku wojny na Ukrainie Polska odczuła w 2017 roku w trakcie globalnej infekcji złośliwym oprogramowaniem NotPetya. Program był wycelowany w ukraińską infrastrukturę, jednak rozlał się po całym świecie. W Polsce dotknął on głównie spółki usługowo-handlowe. Przedsiębiorstwa, które ucierpiały w skutek ataku to Firma Raben, InterCars, TNT w Katowicach czy Modelez we Wrocławiu. NotPetya doprowadziła do spotkania Rządowego Zespołu Zarządzania Kryzysowego.

 

Rosyjska grupa Killnet wypowiada wojnę Polsce

Od początku roku, jeszcze przed inwazją na pełną skalę z 24 lutego, Rosja zdecydowanie zwiększyła liczbę prób przeniknięcia do systemów i sieci polskiego wojska. W pierwszym kwartale bieżącego roku odnotowano tylko taką samą liczbę prób jak w całym 2021 roku. Rośnie też liczba ataków ukierunkowanych na prywatne podmioty, aczkolwiek nie wiadomo czy jest skorelowana z działaniami rosyjskich hakerów. Z pewnością pomimo takiego zwiększenia aktywności, Polsce udało się uniknąć dużych cyberataków, które miałyby istotny wpływ na funkcjonowanie państwa. Nie zmieniło tego również wypowiedzenie wojny przez rosyjską grupę Killnet specjalizującą się w atakach DDoS. Faktycznie niektóre strony padły ich ofiarą, jak np. strona Senatu zaraz po tym jak podjęto uchwałę o uznaniu władz Rosji za reżim terrorystyczny. Należy jednak przyznać, że ataki DDoS co do zasady nie powodują dużych szkód i służą raczej celom propagandowym.

 

Kampania ransomware wymierzona w polskie instytucje

Nie tylko jednak ataki DDoS Rosja wykorzystała przeciwko Polsce. Microsoft wykrył kampanię trwająca od marca 2022 roku i wymierzoną w instytucje w Polsce oraz na Ukrainie wykorzystujące oprogramowanie ransomware Prestige. Ten rodzaj złośliwego oprogramowania nie był wcześniej wykryty przy jakimkolwiek innym ataku. Microsoft dostrzegł jednak, że cele ataku były podobne do tych, jak dla złośliwego oprogramowania FoxBlade. Autorem tej kampanii była rosyjska grupa IRIDIUM, a Microsoft atrybucji dokonał na podstawie informatyki śledczej, porównując infrastrukturę, zdolności, wybór wektorów ataku z innymi działaniami tej grupy. Głównym ich celem był sektor transportowy i logistyczny. We wszystkich zaobserwowanych przypadkach, atakujący najpierw uzyskali dostęp do uprzywilejowanych poświadczeń jak np. kont administratorów, co ułatwiło rozmieszczenie złośliwego oprogramowania. Microsoft nie był w stanie stwierdzić w jaki sposób udało się Rosjanom przejąć dostęp do poświadczeń, ale w niektórych przypadkach amerykańska firma stwierdziła, że stało się to dużej wcześniej niż nastąpił atak z wykorzystaniem ransomware. Microsoft poinformował, że kampania może sygnalizować zmianę w działaniach grupy IRIDUM oraz być ostrzeżeniem dla wszystkich podmiotów zaangażowanych w bezpośrednią pomoc militarną oraz humanitarną dla Ukrainy, szczególnie dla tych zlokalizowanych w Europie Wschodniej. Amerykanie nie poinformowali jednak jaka była skuteczność tej kampanii i ile ofiar zostało potencjalnie zainfekowanych. Nie podają tej informacji również inne źródła.

Miesiąc przed publikacją raportu Microsoftu Główny Zarząd Wywiadu Ministerstwa Obrony Ukrainy poinformował, że Kreml planuje przeprowadzić ataki na infrastrukturę krytyczną sojuszników Ukrainy, w tym Polski. Ataki miały być wymierzone w systemy energetyczne i podobne do tych skierowanych przeciwko Ukrainie w 2015 i 2015 roku. Ostrzeżenia wywiadu nie znalazły jednak żadnego potwierdzenia w działaniach.

 

Operacje informacyjne

Rosja wraz z Białorusią kontynuuje też operację informacyjną GhostWriter publikując wykradzione e-maile ze skrzynki ministra Michała Dworczyka – byłego już szefa kancelarii Premiera Rady Ministrów. Dodatkowo pojawiły się również e-maile pochodzące z prywatnej skrzynki szefa Orlenu – Daniela Obajtka. W obu przypadkach celem jest wywarcie wpływu na sytuację polityczną i społeczną w Polsce poprzez zwiększanie polaryzacji zgodnie z doktryną rosyjskich działań informacyjnych.

 

Reakcja polskiego rządu

Rząd w reakcji na zagrożenie w cyberprzestrzeni podniósł poziom alarmowy do trzeciego w czterostopniowej skali, wprowadzając Charlie CRP 21 lutego 2022 roku. Ten alarm wprowadza się wtedy kiedy służby mogą mieć wiarygodne informacje o planowanym ataku lub nastąpiła już jego próba. Wprowadzony alert wymaga dokonania przeglądu zasobów zapasowych, które mogłyby zostać użyte w przypadku ataku. Wymaga się również przygotowania planów zachowania ciągłości działania, co umożliwia zachowanie ciągłości działania po wystąpieniu ataku. Wprowadzono również całodobowe dyżury administratorów systemu i personelu za nie odpowiedzialnego we wskazanych urzędach lub jednostkach organizacyjnych organów administracji publicznej. Te środki miały przeciwdziałać potencjalnemu zagrożeniu. Warto pamiętać o tym, że to najwyższy możliwy poziom alarmu przed wystąpieniem incydentu.

 

Rosyjska „cyberbroń” nie wypaliła. Dlaczego?

Wielu ekspertów zastanawia się dlaczego rosyjskie działania w cyberprzestrzeni wymierzone w ukraińskie, ale również i zachodnie systemy ukazały się tak mało skuteczne. Rosjanom na pewno nie brakowało determinacji w prowadzeniu takich działań i wykorzystali oni część swojego potencjału w celu przeniknięcia do systemów i sieci IT przeciwnika. Wydaje się jednak, że najważniejsze było tutaj pozbawienie Rosji czynnika zaskoczenia. Wszyscy, zarówno rządy jak i firmy sektora IT spodziewały się rosyjskich cyberataków i podniosły poziom przygotowania zarówno systemów jak i ludzi.

 

Rosja cały czas groźna

Pomimo tego, że dotychczasowe rosyjskie próby nie przyniosły pożądanych skutków to Rosja cały czas pozostaje bardzo groźnym zagrożeniem. Państwo to nie ma już praktycznie żadnych zahamowań przed przeprowadzaniem ataków na infrastrukturę krytyczną państw Zachodu oraz wciąż zachowuje znaczne zdolności w cyberprzestrzeni. Potencjalne skutki ataku pokazał paraliż kolei w marcu, kiedy tysiące ludzi czekało na dworcach, a pociągi stały. Początkowo podejrzewano cyberatak, jednak powodem tej sytuacji była awaria urządzeń sterowania w kilkunastu lokalnych centrach sterowania. Przykład ten pokazuje, że podobny efekt mógłby wywołać cyberatak i dlatego też nie powinno rezygnować się z utrzymania alarmu Charlie CRP w cyberprzestrzeni oraz innych środków podwyższonej ochrony. Ukraińskie sieci i systemy muszą stale zmagać się z rosyjskimi cyberatakami, które mogą również dotknąć Polskę. Rosjanie mogą również chcieć zaatakować cele w krajach NATO, lotnisko w Rzeszowie, czy też infrastrukturę energetyczną w sezonie. Jest to na pewno łakomy kąsek dla nich, w szczególności, że mają oni już doświadczenia w atakowaniu takich celów.

 

IT RESELLER nr. 348/2023 „Proponujemy niezrównaną wiarygodność – podkreśla w wywiadzie okładkowym Mariusz Ziółkowski, TD SYNNEX