W ostatnim tygodniu Ukraina stała się ofiarą poważnego cyberataku, który miał miejsce w momencie poważnego zaostrzania się sytuacji międzynarodowej i ryzyka poważanej eskalacji militarnej. Cyberatak przeprowadzony na sąsiada nie powinien jednak zostać zignorowany w Polsce, ponieważ ofiarą działań w cyberprzestrzeni wymierzonych w Ukrainę mogą być również polskie firmy i obywatele. Sytuacja taka miała już miejsce podczas ataku NotPetya w 2017 roku. Czy nowa cyberwojna na Ukrainie nam zagraża?
Czytaj także:
Operacja Śluza, wojna hybrydowa, technologia. I dramat człowieka
Wojna przyszłości
Cyberwojna: Izrael, Palestyna, Iran i cyfrowe rozgrywki wielkich mocarstw
Ukraina – poligon rosyjskiej „cyberbroni”
Od początku konfliktu zbrojnego na Ukrainie, kraj ten określany jest mianem poligonu doświadczalnego dla coraz to bardziej zaawansowanych rosyjskich operacji w cyberprzestrzeni. Do najbardziej znanych ataków należy zaliczyć ten z 2015 roku, kiedy hakerom powiązanym z rosyjskim wywiadem wojskowym czasowo udało się pozbawić dostępu do energii elektrycznej obywateli obwodu iwano-frankowskiego w środku zimy, a rok później operacja została powtórzona przeciwko mieszkańcom stolicy kraju. Był to jeden z pierwszych ataków wymierzonych w infrastrukturę krytyczną.
W 2017 roku doszło do najpoważniejszego ataku przeciwko Ukrainie NotPetya. Podszywające się pod ransomware złośliwe oprogramowanie sparaliżowało najważniejsze instytucje i organizacje na Ukrainie, zadając również ciosy podmiotom poza terytorium tego państwa. Znaczne straty poniósł gigant transportowy Maersk, amerykańska firma farmaceutyczna Meerck oraz inne przedsiębiorstwa francuskie i niemieckie. Biały Dom oszacował światowe straty na 10 miliardów dolarów. Według Toma Bosserta – byłego doradcy do spraw bezpieczeństwa w Białym Domu ta liczba to podstawa szacunków, a straty mogły być o wiele większe. Jego zdaniem był to koszt równoznaczny z użyciem bomby atomowej bez straty w ludziach.
W ramach ataku ucierpiały również polskie firmy takie jak Raben, InterCars, które musiały wstrzymać swoje operacje ze względu na złośliwe oprogramowanie. Zaatakowane zostały również firmy TNT w Katowicach czy Mondalez we Wrocławiu. TNT ze względu na atak miała przejść w tryb analogowy. Przykład z 2017 roku pokazuje, ze cyberatak, który był ukierunkowany przede wszystkim na Ukrainę może również swoimi skutkami objąć cele leżące daleko poza granicami tego państwa.
Historia lubi się powtarzać?
Atak na ukraińskie strony rządowe, który miał miejsce z czwartku na piątek ukierunkowany był na 70 różnych witryn m.in. ukraińskiego rządu, resortu dyplomacji, Ministerstwa Edukacji czy Energetyki. Treści udało się podmienić tylko w przypadku 10 obiektów. Zhackowana została również rządowa aplikacja „Dija”, która jest używana do obsługi dokumentów w formie cyfrowej i umożliwia korzystanie z niektórych usług państwowych. Atak został określony jako największy od 4 lat. Co ciekawe sprawcy próbowali przypisać tę operację stronie polskiej poprzez umieszczenie komunikatu w języku polskim, ukraińskim i rosyjskim o następujące treści:
„Ukrainiec! Wszystkie Twoje dane osobowe zostały przesłane do wspólnej sieci. Wszystkie dane na komputerze są niszczone, nie można ich odzyskać. Wszystkie informacje o Tobie stały się publiczne, bój się i czekaj na najgorsze. To dla Ciebie za twoją przeszłość, teraźniejszość i przyszłość. Za Wołyń, za OUN UPA, Galicję, Polesie i za tereny historyczne”.
Taki komunikat, który już na pierwszy rzut oka sprawia wrażenie, że jest efektem koślawego tłumaczenia nie mógł raczej odnieść pozytywnego skutku, chociaż na początku część mediów zagranicznych dała się nabrać. Uderzanie w kwestie historyczne takie jak Wołyń czy UPA jest jednak charakterystycznym elementem rosyjskich prób dezinformacyjnych podejmowanych od dawna i ukierunkowanych na skłócenie Polaków i Ukraińców. O ten atak Kijów oskarżył Moskwę, co nie powinno dziwić biorąc pod uwagę ilość rosyjskich operacji w cyberprzestrzeni przeprowadzonych przeciwko Ukrainie. SBU zapewniła, że treść witryn nie została zmieniona oraz, że nie doszło do wycieku danych.
Ukraińskie służby podały również, że przyczyną ataku było przejęcie infrastruktury zewnętrznej firmy, która miała mieć uprawnienia do edycji treści na podmienionych stronach. Jak zauważa „Niebezpiecznik”, atak ten był podobny do tego, który miał miejsce w marcu 2021 w Polsce, kiedy to na polskich serwisach rządowych pojawiły się nieprawdziwe informacje odnośnie wzrostu promieniowania. Mogłoby to wskazywać, że za atakami stoi ten sam podmiot.
Cyberwojna na Ukrainie: bitwy, starcia, kampanie
Wspomniany atak na strony internetowe, w którym pojawia się polski wątek miał być według ukraińskich służb jedynie zasłoną dymną dla bardziej niszczycielskich działań. Kilka dni temu odkryto również nowe destrukcyjne oprogramowanie podszywające się pod ransomware wymierzone w agencje rządowe, organizacje non-profit i przedsiębiorstwa zlokalizowane na Ukrainie. O tym nowym złośliwym oprogramowaniu poinformował Microsoft Threat Intelligence Center nie wskazując jednak kto za nim stoi. Amerykańska korporacja w oświadczeniu napisała, że jest świadoma sytuacji geopolitycznej na Ukrainie i dlatego nie będzie przypisywać tego ataku. Microsoft poinformował również bezpośrednie ofiary cyberataku, dostarczając informacji, które mogą zostać wykorzystane do prowadzenia śledztwa.
Rosyjskie cyberataki mają na celu destabilizację społeczeństwa oraz sparaliżowanie administracji ukraińskiej. Są też ważnym elementem w podgrzewaniu napięcia przed potencjalną rosyjską inwazją, o której dyskutuje się od ponad 2 miesięcy.
Ten atak wygląda bliźniaczo podobnie do opisanej wyżej operacji NotPetya i dlatego też „Niebezpiecznik” rekomendował firmom i organizacjom z Polski, które wirtualnie połączone są ze swoimi partnerami, podjęcie konkretnych działań. Eksperci radzili zapoznanie się z komunikatem Microsoftu i wdrożenie rekomendacji, które mogą pomóc zminimalizować ryzyko infekcji. Ponadto sugeruje się sprawdzenie procedur backupów oraz zwiększenie świadomości pracowników na potencjalne ataki.
Cyberwojna na Ukrainie. Eskalacja konfliktu
Należy zauważyć, że przy rosnącym zagrożeniu intensyfikacją konfliktu na Ukrainie, cyberprzestrzeń stanie się kolejnym naturalnym polem walki i wymieniane przez obie strony ciosy nie ograniczą się tylko do ukraińskiego terytorium. Z racji tego, że wiele polskich firm prowadzi interesy za wschodnią granicą, powinny one wdrożyć środki, które pozwolą zminimalizować potencjalne cyberataki i to nie tylko te związane z kampanią, o której pisze Microsoft. Doświadczenie z ataków NotPetya okazało się na tyle bolesne, że powinno zostać zapamiętane, a wnioski wyciągnięte. Oczywiście nie ma możliwości pełenj ochrony przed cyberatakami, ale odpowiednie procedury mogą zminimalizować ich skutki. Cyberwojna na Ukrainie może łatwo rozlać się na sąsiednie kraje i mocno destabilizować region.
Rosjanie przygotowują się także do przecięcia podwodnych kabli łączących USA i Europę. Maja specjalne statki i niewielkie łodzie podwodne. Prawdopodobnie to oni zniszczyli kabel łączący jeden z norweskich archipelagów z Norwegią.