Wojna w Ukrainie została poprzedzona wieloma cyberatakami ze strony rosyjskich hakerów i nie tylko
Pierwsze cyberataki rozpoczęły się długo przed 24 lutego 2022 roku, co było kolejnym z wielu sygnałów, że do wojny dojdzie.
Pierwsze cyberataki zaczęły się jeszcze przed wojną
- Google od dawna obserwuje aktywność rosyjskich grup hakerskich, które stale atakują aplikacje Google, dlatego posiadamy dobre rozeznanie, jeśli chodzi o stosowane przez nie narzędzia i sposoby działania - powiedział Royal Hansen, wiceprezes Google odpowiedzialny za cyberbezpieczeństwo. Google zaobserwował zwiększoną aktywność dobrze znanych rosyjskich grup hakerskich powiązanych z rządem na długo przed rozpoczęciem wojny, a dokładnie na przełomie grudnia 2021 i stycznia 2022. Wiele znanych grup hakerów zmieniło wówczas swoje cele i skoncentrowało się na Ukrainie.
- Była to kolejna oznaka tego, że wojna prawdopodobnie wybuchnie - przekazał Billy Leonard, ekspert z Zespołu Analizy Zagrożeń (Threat Analysis Group) w Google. W jego opinii zwiększona aktywność w cyberprzestrzeni nie ograniczała się tylko do Ukrainy, ale dotyczyła również państw sąsiedzkich, w tym również Polski. Polegała na kradzieży danych do logowania, phishingu i rozprzestrzenianiu złośliwego oprogramowania. Pierwsze zaobserwowane złośliwe oprogramowanie typu wiper (czyli usuwające lub szyfrujące pliki na zainfekowanym komputerze) nazwano Whispergate i zostało zidentyfikowane w styczniu. Rosjanie w swoich działaniach przede wszystkim skupili się na rozprzestrzenianiu takiego rodzaju złośliwego oprogramowania. Praktycznie co tydzień pojawiała się jakiś nowy rodzaj wipera.
Nie tylko rosyjscy hakerzy w ukraińskich sieciach i systemach
Leonard dodaje, że obserwując działania w cyberprzestrzeni towarzyszące wojnie w Ukrainie, widać nie tylko zaangażowanie rosyjskich grup APT, ale również tych pochodzących z Chin, Iranu, Białorusi czy Korei Północnej. Chińskie działania zostały przykładowo zauważone jeszcze przed inwazją z 24 lutego i skupiały się na pozyskiwaniu różnorodnych informacji na temat działania ukraińskiej administracji.
Google było w stanie szybko wykryć i pomóc zneutralizować tę aktywność. Chiny i Korea Północna skupiały się na ciągłym pozyskiwaniu tajnych informacji, czyli włamywaniu się do instytucji państwowych i pozostawaniu w ich sieciach przez długi czas. Celem był rząd centralny, ale również instytucje władzy lokalnej, wojsko, logistyka, transport. Często nie da się określić dokładnie, jakie konkretnie informacje są wykradane z tych instytucji.
Temat wojny w Ukrainie jest też wykorzystywany w ramach kampanii phishingowych, jako element zachęcający ludzi do otwierania e-maili czy klikania w linki. "Te ataki są motywowane chęcią zysku i raczej nie mają nic wspólnego z politycznym zaangażowaniem hakerów w wojnę w Ukrainie" - dodaje Leonard. Widać również intensyfikację działań dezinformacyjnych.
Bardzo dużo ataków jest oczywiście wymierzonych przeciwko celom rządowym, ale Ukraińcy potrafią na nie bardzo szybko i skutecznie odpowiedzieć. Jednym z największych dotąd zidentyfikowanych ataków było włamanie do amerykańskiej firmy Viasat, zajmującej się dostarczaniem internetu satelitarnego, jeszcze kilka godzin przed inwazją, co pokazuje, że uderzenia w cyberprzestrzeni były początkowo koordynowane z działaniami konwencjonalnymi - zauważa Leonard.
Białoruscy hakerzy, którzy brali udział w operacji Ghostwriter pozostają również bardzo aktywni. Atakowali oni obiekty wojskowe, polityczne, ale również media, NGO-s czy sektor prywatny. Ich zintensyfikowana działalność na Ukrainie trwa od ponad 6 miesięcy. Większość złośliwej aktywności widoczna na Ukrainie nie zaskoczyła nas. Spodziewaliśmy się jej - podkreśla Leonard.
Ciekawa jest również grupa Killnet, która jest bardziej kolektywem pojedynczych osób, a nie hierarchicznym ugrupowaniem jak np. Sandstorm.
"Wydaje mi się, że Rosja nie odniosła większych sukcesów w cyberprzestrzeni. Jej ataki z wykorzystaniem złośliwego oprogramowania zostały odparte. Nie udało im się sparaliżować sieci energetycznej Ukrainy. Wbrew twierdzeniom niektórych, Rosja nigdy nie miała możliwości włamywania się wszędzie, gdzie i kiedy chciała, a jej możliwości były ograniczone" - twierdzi Leonard.
Cyberobrona Ukrainy
Pomimo tego, że wiele osób nie wierzyło w wojnę, byli i tacy, którzy mieli odmienne zdanie i to właśnie oni trenowali Ukraińców jak skutecznie odpierać cyberataki i wzmacniać własną obronę. Ukraińcy musieli też odpierać rosyjskie cyberataki już od 2014 roku, więc doskonale rozumieli, jakie zdolności posiada Rosja i jakie narzędzia, oraz wykorzystali tę wiedzą do odpowiedniego przygotowania się.
Scott Carpenter, dyrektor w Jigsaw, jednostce Google monitorującej cyfrowe zagrożenia w demokratycznych społeczeństwach i rozwijającej technologie przeciwdziałające takim zjawiskom, powiedział: "Kiedy wojna na Ukrainie pojawiała się, jako realne zagrożenie, wszyscy zaczęli zastanawiać się nad odpornością na cyberataki. W jaki sposób przygotować państwa w regionie do tego, co się prawdopodobnie stanie?"
- Zaczęliśmy myśleć o różnego rodzaju narzędziach, które można byłoby udostępnić, aby wzmocnić obronę. Zawsze tutaj myślę o Estonii, która została zaatakowana w 2007 roku i obecnie posiada bardzo dobrą obronę. Tam wychodzi się z założenia, że każdy Estończyk jest elementem systemu obrony przed cyberatakami i to widać, że aktywność rosyjska w tym bałtyckim kraju jest o wiele mniej skuteczna niż w innych państwach regionu, które nie zawsze są tak dobrze przygotowane na rosyjską działalność. To problem i dlatego też wprowadziliśmy program Chroń swoją demokrację (Protect Your Democracy). Jest to rozszerzenie projektu Chroń swoje wybory (Protect Your Election) z 2016 roku. W ramach tego programu udostępniamy wiele narzędzi technologicznych państwom regionu Europy Środkowej i Wschodniej w lokalnych językach - dodaje.
W ramach przeciwdziałania ingerencji hakerów w Ukrainie, Google podniósł poziom bezpieczeństwa i zintensyfikował działania swoich zespołów monitorujących cyberzagrożenia. Zastosowano tutaj podobne procedury takie, jak podczas wyborów w Stanach Zjednoczonych, kiedy również było zwiększone ryzyko niepożądanych działań w cyberprzestrzeni - powiedział Royal Hansen. Google również zwiększyło ochronę stron internetowych ukraińskich urzędów przed atakami DDoS, których liczba wzrosła od wybuchu. Google współpracuje również z partnerami w państwach sąsiedzkich, pozyskując informacje o potencjalnych zagrożeniach - podkreślił Hansen.
Google walczy z dezinformacją, wprowadza wzmocniony program ochrony przed cyberatakami oraz rozmawia z partnerami w regionie, wymieniając informacje o zagrożeniach. Ukraiński rząd jest też w stałym kontakcie z przedstawicielami firmy, a współpraca dotyczy m.in. wymiany informacji, czy zabezpieczenia ukraińskiej infrastruktury oraz wykorzystywanych usług Google.