Właściwie powinniśmy w tytule zapytać nie „czy”, ale „w jakiej skali i jak jej doświadczymy” O to „kiedy się rozpocznie” nie musimy pytać. Wojna w cyberprzestrzeni trwa w najlepsze. Boleśnie przekonała się o tym w ten weekend Czarnogóra.
W piątek Agencja Bezpieczeństwa Czarnogóry ostrzegła, że hakerzy z Rosji rozpoczęli masowy, skoordynowany cyberatak przeciwko rządowi tego kraju i jego służbom.
Agencja Bezpieczeństwa Narodowego (ANB) powiedziała, że Czarnogóra jest „w tej chwili w stanie wojny hybrydowej”. Kiedyś to państwo leżące nad morzem Adriatyckim, było uważane za sojusznika Rosji, jednak w 2017 roku przystąpiło do NATO pomimo silnego sprzeciwu Moskwy. Przyłączyło się również do zachodnich sankcji za inwazję na Ukrainę. Dlatego, tak jak większości krajów europejskich, Rosja dodała Czarnogórę do swojej listy „państw wrogich”, które działają wbrew interesom Kremla.
Rząd Czarnogóry zgłosił serię cyberataków na swoje serwery, ale powiedział, że udało mu się zapobiec wszelkim szkodom. Jednak wydaje się, że atak trwa. „Za cyberatakiem stoją skoordynowane rosyjskie służby” – oświadczyła ANB. „Tego rodzaju atak został przeprowadzony po raz pierwszy w Czarnogórze i był przygotowywany od dłuższego czasu”. Jednocześnie Agencje rządowe Czarnogóry potwierdziły, że atak pochodzi bezpośrednio z Rosji.
Jak bardzo na ataki jest narażona Polska? Jakiej odpowiedzi możemy się spodziewać po Polskich służbach?
Po pierwsze musimy zdać sobie sprawę, że w Polsce są stale typowane cele dla cyberataków. I nie chodzi o to, że w połowie maja rosyjscy hakerzy z Killnet wypowiedzieli wojnę 10 państwom w tym Polsce. Raczej był to fakt stricte „marketingowy”.
Przeprowadzane jest rozpoznanie, próbne ataki DDos. Jednak powinniśmy zachować w tym wszystkim racjonalną ocenę. Polska jest krajem znacznie większym niż Czarnogóra i stosunkowo ciężko byłoby przeprowadzić skoncentrowany, skoordynowany cyberatak. Oczywiście działają farmy trolli, próby manipulacji na forach. Sianie dezinformacji. Niemniej pozwolę sobie na tezę, że skoordynowany duży atak na Polskę będzie miał miejsce w dwóch przypadkach.
W pierwszym, jak to w wojnie hybrydowej bywa w sytuacji zwiększonego ryzyka, w połączeniu z próbą wywołania większego kryzysu czy to migracyjnego, czy społecznego. I tylko wtedy, kiedy alokacja środków i zasobów na naszym rynku będzie uzasadniała takie działanie To znaczy służyła celom geopolitycznym. Tak jak atak na Czarnogórę ma pokazać Serbii zaangażowanie Rosji w rejonie Bałkanów.
W drugim i jest to najczarniejszy, miejmy nadzieję mało prawdopodobny scenariusz, w przypadku przygotowywania inwazji militarnej.
Jakiej odpowiedzi możemy się spodziewać po Polskich służbach?
Na to pytanie z oczywistych powodów nie znamy odpowiedzi. Ale zgodnie z prawem międzynarodowym i stosowanym przez drugą stronę zwyczajem należy odpowiedzieć adekwatnie. Chciałbym wierzyć, że przygotowywane są scenariusze nie tylko prowadzenia wojny informacyjnej na poziomie takim jak robi to Ukraina, ale również plany adekwatnych i skalowanych odpowiedzi na cyberataki wymierzone np. w infrastrukturę krytyczną.
Jak obecnie wygląda natężenie cyberwojny?
Warto może przyjrzeć się jaka obecnie jest skala cyberwojny. W jaki sposób odbywają się cyberataki? Jakie są motywacje stron? Ciekawy przypadek – AcidRain opisał w Securityweek Kevin Townsend 18 sierpnia 2022 r. Ta analiza pomoże nam odpowiedzieć na postawione wyżej pytania.
AcidRain był ukierunkowanym atakiem na serwer Viasat we Włoszech, który zarządzał dużą liczbą modemów, a tym samym komunikacją internetową, w całej Europie – ale przede wszystkim na Ukrainie. Atak był zsynchronizowany z fizyczną inwazją Rosji na Ukrainę i oznaczał dramatyczny wzrost tempa rosyjskiej cyber-akcji przeciwko naszemu sąsiadowi.
Taktyczny argument przemawiający za zastosowaniem AcidRain jest oczywisty. Atakując komunikację na Ukrainie, rosyjska armia inwazyjna zyskała przewagę na polu bitwy.
SentinelLabs wykrył podobieństwa między AcidRain a złośliwym oprogramowaniem VPNFilter. FBI przypisało to ostatnie APT28 (aka Fancy Bear i Sofacy), chociaż inni sugerowali Sandworm (aka Black Energy). Obie grupy są jednak obsługiwane przez rosyjskie GRU (zagraniczny wywiad wojskowy Sztabu Generalnego Sił Zbrojnych Federacji Rosyjskiej). Rozsądnym zatem jest twierdzenie, że za atakiem AcidRain stało rosyjskie GRU.
Jednak atak AcidRain wyróżnia się na tle innych rosyjskich cyberakcji. Zlikwidował elementy infrastruktury krytycznej w państwach NATO poza Ukrainą. Wśród ofiar było na przykład 5800 turbin wiatrowych w Niemczech.
Raport Trustwave przygląda się wielu innym rosyjskim państwowym cyberbroniom, które zostały następnie użyte przeciwko Ukrainie. Jest jeden wspólny czynnik: wszystkie są skierowane konkretnie na Ukrainę i działają w jej obrębie.
Ziv Mador, wiceprezes ds. badań nad bezpieczeństwem w Trustwave, powiedział SecurityWeek w cytowanym powyżej artykule: „Nawet gdyby głównym celem AcidRain były modemy na Ukrainie, napastnicy wiedzieliby, że wpłynie to również na modemy w całej Europie”. Tak więc AcidRain wyróżnia się na tle innych aktualnych rosyjskich ataków cyberwojny.
Ma to poważne implikacje, które należy wziąć pod uwagę. Rosyjskie podejście do atakowania zachodniej infrastruktury krytycznej jest raczej analizą kosztów i korzyści. Dzięki AcidRain korzyści z degradacji ukraińskiej komunikacji były warte kosztu naruszenia normy nieatakowania zachodniej infrastruktury krytycznej – bez względu na konsekwencje.
Wniosek wyciąga z tego Jonathan Reiber, wiceprezes ds. polityki i strategii cyberbezpieczeństwa w AttackIQ, „Aby uniknąć eskalacji, Władimir Putin nie zamierza przeprowadzić niszczycielskiego cyberataku na zachodnie cele, dopóki nie będzie miał spokoju na Ukrainie i na tyłach”. Niemniej AcidRain mówi nam, że jeśli ten punkt zostanie osiągnięty, Putin nie będzie ograniczany przez istniejące „normy” zachowań międzynarodowych – łamią się reguły międzynarodowej cyberwojny.
Z kolei analizy Trustwave rozbierają na czynniki pierwsze cyberataki na Ukrainę od początku wojny. Dzieli podejmowane akcje na dwie kategorie: niszczenia i szpiegostwa. Wskazuje również na szkodliwe oprogramowanie wykorzystywane w tych działaniach to: HermeticWiper, HermeticRansom i IsaacWiper (Gameredon); LoadEdge (InvisiMole); DoubleZero (czyszczarka .NET nieprzypisana jeszcze do określonej grupy); CaddyWiper, AwfulShred, SoloShred i Industroyer2 (Sandworm); i CredoMap (APT28).
Sama liczba tych sponsorowanych przez państwo ataków w ciągu zaledwie kilku miesięcy wskazuje, że były one rozwijane od pewnego czasu – być może na gruncie cyberwojny prowadzonej od aneksji Krymu w 2014 roku.
„Domyślam się – powiedział Mador– że kraje takie jak Rosja, i jestem pewien, że nie tylko oni, przygotowują cyberbroń na lata – gotowe na jakiś dzień zagłady lub na przyszłą wojnę”. Oprócz AcidRain rosyjska broń państwowa była wycelowana wyłącznie w Ukrainę. Sugeruje to, że Putin na razie stara się uniknąć globalnej eskalacji cybernetycznej – ale przypadek AcidRain już mówi nam, że nie jest to dla niego nienaruszalna zasada.
Z powyższych faktów i spekulacji wyłania się wniosek, że Rosjanie starają się skalować cyberwojnę do terytorium Ukrainy, ale powinniśmy mieć świadomość, że Rosja nie zawaha się bezpośrednio zaatakować zachodnią infrastrukturę krytyczną, gdy Putin uzna, że leży to w jej najlepszym interesie, a korzyści przewyższają koszty.
Niezależnie od wyniku wojny na Ukrainie, napięcia geopolityczne będą rosły jeszcze przez wiele lat. Organizacje zachodnie w tym Polskie powinny wziąć pod uwagę rosnący potencjał elitarnych rosyjskich hakerów rządowych do bezpośredniego atakowania ich w przyszłości. Zwłaszcza, że badania pokazują rozmiar rosyjskiej cyberzbrojowni. Potencjalne, ukryte zero day-e i narzędzia cybernetyczne, których jeszcze nie używali.