Od redakcji: Niniejszy artykuł został napisany na kilka dni przed ostatnimi wydarzeniami na Ukrainie i atakiem Rosji.
Eksperci oceniający sytuację geopolityczną na wschodzie Europy nie mają wątpliwości, że Rosja planuje atak militarny na Ukrainie. Świadczy o tym fakt masowego gromadzenia wojsk przez Rosję w pobliżu granic wschodniego sąsiada Polski. Tysiące żołnierzy zgrupowanych pod pretekstem ćwiczeń wojskowych, może w każdej chwili rozpocząć ofensywę, za dowód mogą służyć zdjęcia satelitarne publikowane od kilku tygodni na wielu portalach internetowych. Mniej widoczne są działania sił cybernetycznych, które Rosja buduje w ramach przygotowań do ewentualnego konfliktu.
Specjaliści ds. cyberbezpieczeństwa twierdzą, że jeśli Rosja dokona inwazji, bez wątpienia wykorzysta cyberataki jako kluczową część swojej strategii, podobnie jak miało to miejsce w poprzednich konfliktach – w Gruzji i na Półwyspie Krymskim w 2016 roku. Jeśli wymkną się one spod kontroli, ucierpieć mogą instytucje nieuwikłane w konflikt w tym agencje rządowe i prywatne firmy w USA, Polsce i innych krajach. Wydarzenia z przeszłości pokazują, że jest to bardzo prawdopodobny scenariusz.
W połowie stycznia hakerzy podmienili zawartość dziesiątek rządowych stron internetowych na Ukrainie. Tego typu atak nie zaszkodził bezpośrednio działaniu serwisów, ale skutecznie przyciągnął uwagę mediów na całym świecie. Umieszczenie dezinformacyjnych treści sami atakujący wykorzystali jako zasłonę dymną, która miała odwrócić uwagę od groźniejszego ataku – umieszczenia destrukcyjnego złośliwego oprogramowania wewnątrz sieci ukraińskich przedsiębiorstw i agencji rządowych. Akcja została zidentyfikowana i opisana przez inżynierów z zespołu bezpieczeństwa firmy Microsoft. Ukraińskie służby, przeprowadzając analizę powłamaniową, jednoznacznie wskazały Rosję jako źródło ataku. Niezależni analitycy firmy Mandiant przewidując, że kryzys na Ukrainie stanie się katalizatorem dla dodatkowych agresywnych działań cybernetycznych, które prawdopodobnie będą się nasilać, ostrzegali, że przyszłe operacje mogę nie być ograniczone wyłącznie do celów ukraińskich. W tym samym czasie amerykańska Agencja Bezpieczeństwa Cybernetycznego i Infrastruktury (CISA) ostrzegła operatorów infrastruktury krytycznej w USA oraz zaprzyjaźnionych krajach, aby podjęli „pilne kroki” przeciwko zagrożeniom cybernetycznym, powołując się na ataki na Ukrainę jako powód do zachowania czujności wobec możliwych zagrożeń dla aktywów amerykańskich.
Polecenie przygotowania się na możliwe cyberataki dostały też polskie instytucje rządowe oraz banki. Zwiększenie potencjału obronnego było konieczne z powodu incydentów do jakich dochodziło w poprzednich latach. Agencja CISA przypomniała o ataku NotPetya z 2017 roku, który wymknął się spod kontroli, szybko rozprzestrzeniając się w Internecie. Infekcja złośliwym oprogramowaniem dotknęła cały świat, a zniszczenia, jakie spowodowała, liczone były w miliardach dolarów. NotPetya był rosyjskim cyberatakiem wymierzonym w Ukrainę w okresie wysokiego napięcia. Podobnie było z atakami oprogramowaniem Black Energy, które wykorzystano do zakłócenia pracy systemów ICS ukraińskich elektrowni. Skutkiem agresji było wstrzymanie dostaw energii elektrycznej dla połowy mieszkańców regionu Iwano-Frankowska. Warianty złośliwego kodu były później odnajdywane po atakach na inne instytucje, w tym na firmy z sektora energetycznego w USA i Polsce.
Ataki na infrastrukturę krytyczną są dużo bardziej złożone i wymagają zdecydowanie więcej pracy i nakładów finansowych niż te wycelowane w mniej zabezpieczone aktywa. Z tego powodu analitycy Mandiant wskazywali, że spodziewają się „użycia narzędzi destrukcyjnych i innych prostszych metod, jakie mogą być wykorzystane przeciwko dużej grupie celów jednocześnie”. Nie mylili się, 15 lutego Ukraina kolejny raz została zaatakowana przy pomocy atak DDoS. Tego typu ataki DDoS można wygenerować niewielkim kosztem, chociażby przez użycie botnetów będących pod kontrolą agresora. Ofiarami ataku DDoS padły m.in. strony Ministerstwa Obrony Ukrainy, ukraińskich Sił Zbrojnych i dwóch dużych banków. W przypadku systemów bankowych użytkownicy zgłaszali, że problemy z logowaniem się do bankowości internetowej pojawiły się też informacje o niemożliwości wykonywania wypłat z bankomatów. Do tej pory nie podano źródła ataku.
Rosja prawdopodobnie będzie nadal używać cybernetycznego sabotażu przeciwko Ukrainie, gdyż dzięki niemu skutecznie może ona realizować swoje cele w regionie. Ataki cybernetyczne, takie jak wspomniane wyłączenie sieci energetycznej, działają destabilizująco nie tylko na gospodarkę, ale też na morale narodu ukraińskiego. Stanowią też pokaz rosyjskich możliwości technicznych. Silniejszy atak na sektor finansowy mógłby trwale uniemożliwić Ukraińcom wypłatę pieniędzy i dostęp do kont bankowych. Atak na infrastrukturę komunikacyjną wprowadziłby ograniczenia w łączności, a wraz z nimi zdolność do organizowania ewakuacji i koordynowania obrony przed agresją. Ataki samo replikującym się malware, mogą wstrzymać pracę wszelkich instytucji i agencji rządowych. Mogą też niekontrolowanie rozprzestrzenić się poza terytorium, na którym planowano ich użycie i uderzyć w cały świat. Tak jak miało to już miejsce w przeszłości.
Wiktor Sędkowski
Architekt rozwiązań bezpieczeństwa i niezależny badacz zabezpieczeń. Certyfikowany (CISSP, CCSP, OSCP, OSWE, MCTS) ekspert w dziedzinie zagrożeń cyfrowych. Specjalizuje się w analizie luk bezpieczeństwa, pisaniu i analizowaniu exploitów. Absolwent teleinformatyki na Politechnice Wrocławskiej, doktorant na wydziale Elektrotechniki, Automatyki i Informatyki Politechniki Opolskiej. Prowadzi badania z zakresu zastosowań rozwiązań sztucznej inteligencji w procesie modelowania zagrożeń. Doświadczenie jako inżynier i menadżer techniczny zdobywał w wiodących firmach informatycznych.
Niniejszy artykuł powstał w ramach działalności społeczno-misyjnej polskiego think tanku Warsaw Institute. Jeśli cenicie Państwo przygotowane przez naszych ekspertów treści, apelujemy o wsparcie finansowe naszej działalności realizowanej na zasadzie non-profit. Do regularnych darczyńców przysyłamy bezpłatnie anglojęzyczny kwartalnik The Warsaw Institute Review.Więcej informacji: www.warsawinstitute.org/support/Darowizny można dokonać bezpośrednio na konta bankowe:USD: PL 82 1020 4900 0000 8502 3060 4017EUR: PL 85 1020 4900 0000 8902 3063 7814GBP: PL 18 1020 4900 0000 8302 3069 6641PLN : PL 41 1020 1097 0000 7202 0268 6152SWIFT: BPKOPLPWDziękujemy!
Warsaw Institute to polski think tank zajmujący się geopolityką. Główne obszary badawcze to stosunki międzynarodowe, bezpieczeństwo energetyczne oraz obronność. Warsaw Institute wspiera Inicjatywę Trójmorza oraz stosunki transatlantyckie.
Warsaw Institute is a Polish think tank focusing on geopolitics. The main research areas are international relations, energy security and defense. The Warsaw Institute supports the Three Seas Initiative and transatlantic relations.
Cyberattacks in Ukraine Can Hit Europe and the US
Experts assessing the geopolitical situation in eastern Europe have no doubt that Russia is planning an attack on Ukraine [1]. This is evidenced by Russia’s massive military build-up near the borders of Poland’s eastern neighbor. Thousands of soldiers, gathered under the pretext of military exercises, could launch an invasion at any time. This is evidenced by satellite images published for several weeks on a number of websites. However, the actions of the cyber forces, which Russia is likewise mobilizing in preparation for a potential conflict, remain less visible. Cybersecurity experts say that if Russia decides to invade Ukraine, it will undoubtedly use cyberattacks as a key part of its strategy. This took place already during the previous conflicts – in Georgia as well as Crimea (2016). If the cyberattacks get out of control, institutions that are not involved in the conflict, such as government agencies and private companies in the US, Poland, and elsewhere, could be affected too. Past events show that this is a very likely scenario.
In mid-January, hackers swapped the content of dozens of government websites in Ukraine. This type of attack did not directly affect the websites, but it successfully attracted media attention around the world. The attackers posted misleading content only to create a smokescreen and divert attention from a more dangerous attack – planting destructive malware inside the networks of Ukrainian businesses and government agencies. The plot was identified and described by Microsoft’s security engineers [2]. After conducting a post-hack analysis, the Ukrainian security services unequivocally identified Russia as the source of the attack. Mandiant’s independent analysts, while predicting that the crisis in Ukraine would become a catalyst for additional aggressive cyber activity that would likely escalate, warned that future operations may not be limited to Ukrainian targets. At the same time, the US Cybersecurity and Infrastructure Security Agency (CISA) warned critical infrastructure operators in the US and allied countries to take “urgent steps” against cyber threats, citing the attacks in Ukraine as a reason to remain vigilant against possible threats to US assets.
Polish government institutions and banks were also instructed to prepare for potential cyberattacks. Increased defense capabilities were necessary because of the incidents that occurred in previous years. CISA recalled the 2017 NotPetya attack that got out of control and spread quickly across the Internet. The malware infection affected the entire world, causing billions of dollars of damage. NotPetya was a Russian cyberattack targeting Ukraine during a period of high tension [5]. Similarly, BlackEnergy attacks aimed to disrupt industrial control systems (ICS) of Ukrainian power plants [6]. As a result of the aggression, the supply of electricity to half the population of the Ivano-Frankivsk region was suspended. Variants of the malicious code were later found also following the attacks on other institutions, including power sector companies in the US and Poland [7].
Attacks on critical infrastructure are far more complex as well as require far more work and expense than those targeting less protected assets. For that reason, Mandiant analysts stated that “destructive tools and other simpler methods could be leveraged against a large cohort of targets simultaneously.” They were not wrong – on February 15, 2022, Ukraine was once again hit with a DDoS attack. Such attacks can be launched at low cost, for instance, by using attacker’s botnets. The websites of the Ministry of Defense of Ukraine, the Armed Forces of Ukraine, and two large banks were among the victims of the attack. In the latter case, customers reported problems with logging in to online banking and making withdrawals from ATMs. The source of the attack has not been provided to date.
Russia is likely to continue using cyber sabotage against Ukraine as it allows this country to effectively pursue its goals in the region. Cyberattacks, such as the power grid shutdown described above, have a destabilizing effect not only on the economy but also on the morale of the Ukrainian people. They are also a demonstration of Russia’s technical capabilities. A stronger attack on the financial sector could permanently prevent Ukrainians from withdrawing money and accessing bank accounts. An attack on the communications infrastructure would limit connectivity, and consequently the ability to organize evacuations and defense against aggression. Self-replicating malware attacks could bring all institutions and government agencies to a halt. They can also spread uncontrollably beyond the territory where they were intended to be used and hit the entire world, as it has already happened in the past.
Wiktor Sędkowski
Security solutions architect and independent security researcher. Certified (CISSP, CCSP, OSCP, OSWE, MCTS) expert in the field of digital threats. He specializes in vulnerability analysis, writing and analyzing exploits. A graduate of ICT at the Wrocław University of Technology, PhD student at the Faculty of Electrical Engineering, Automatics and Computer Science of the Opole University of Technology. He conducts research on the use of artificial intelligence solutions in the threat modeling process. He gained experience as an engineer and technical manager in leading IT companies.
Poglądy i opinie wyrażone w niniejszym artykule należą wyłącznie do jego autora i nie są oficjalnym stanowiskiem „Dziennika Związkowego”.