Ukraina zaskakuje Rosję w cyberprzestrzeni. Wsparcie Zachodu jest tu kluczowe

24 lutego 2022 roku Rosjanie zaatakowali Ukrainę na morzu, lądzie, w powietrzu oraz w cyberprzestrzeni. To pierwsza wojna, w której atakujący zastosował na zmasowaną skalę złośliwe oprogramowanie celem sparaliżowania obrony i wsparcia własnych nacierających sił. Rosyjska cybersalwa jednak chybiła, bo Ukraina przygotowała się do wojny i na tym froncie. -

W 2014 roku Rosja dokonała nielegalnej aneksji Krymu, a następnie zaatakowała obwód Ługański i Doniecki, gdzie napotkała już zbrojny opór ukraińskiej armii. Zawarte w Mińsku we wrześniu 2014 i lutym 2015 roku porozumienia nie rozwiązały sporu, a na prowizorycznej granicy między rosyjskimi separatystami a Ukrainą co rusz dochodziło do wymiany ognia. W tym samym czasie w cyberprzestrzeni Rosja urządziła ukraiński poligon doświadczalny.

W 2015 i 2016 roku w środku zimy Rosjanom udało się odciąć miliony Ukraińców od energii elektrycznej. Kumulacją działań był jednak 2018 rok i atak przy użyciu złośliwego oprogramowania NotPetya, który sparaliżował działanie ukraińskiego rządu, przedsiębiorstw, infrastruktury. Na pierwszy rzut NotPetya był kolejnym przykładem oprogramowania szyfrującego ransomware [które umożliwia ponowny dostęp do zaatakowanych danych po zapłaceniu okupu, stąd nazwa – przyp. red.], w praktyce jednak okazała się być wiperem, czyli złośliwym oprogramowaniem niszczącym dane. Atak bardzo szybko przekroczył granice Ukrainy i rozlał się na cały świat. Ucierpiały globalne przedsiębiorstwa takie jak np. koncern farmaceutyczny Merck, producent żywności Mondelez czy firmy transportowe FedEx, TNT Express czy Maersk. Biały Dom oszacował straty na 10 miliardów dolarów.

Poza tymi spektakularnymi i groźnymi atakami miała miejsce również duża liczba o wiele mniejszych incydentów związanych z bezpieczeństwem, przeprowadzonych przez rosyjskich hakerów. Działania te pozwoliły jednak Ukraińcom poznać swojego przeciwnika, jego techniki i metody operacyjne, co okazało się niezwykle ważne w czasie pełnoskalowej inwazji Rosji.


Preludium do inwazji


Początek 2022 roku i liczne zabiegi dyplomatyczne oraz zaostrzająca się retoryka Kremla wskazywały, że inwazja staje się coraz bardziej prawdopodobna. Potwierdzały to sygnały płynące z cyberprzestrzeni. Na początku stycznia doszło do ataków DDoS (od ang. Distributed Denial of Service, czyli ataki rozproszonej odmowy usługi, ukierunkowane na wyczerpywanie zasobów aplikacji, co może doprowadzić do problemów z działaniem witryny internetowej albo jej niedostępności) na ukraińskie strony rządowe. Zostały szybko odparte, a domeny przywrócone do działania. Było to jednak preludium to poważniejszych działań.

W nocy z 23 na 24 lutego 2022 roku rosyjski wywiad wojskowy GRU przeprowadził operację przeciwko amerykańskiej firmie Viasat zapewniającej szybki szerokopasmowy dostęp satelitarny klientom komercyjnym i wojskowym. Dziesiątki tysięcy terminali firmy zostało uszkodzonych i nie nadawało się do naprawy. Ukraińskie wojsko wykorzystywało je jako komunikację zapasową, a głównym celem rosyjskiej operacji było pozbawienie go łączności – co potwierdziły we wspólnym komunikacie UE, Wielka Brytania i Stany Zjednoczone. Wykorzystanie środków wojny elektronicznej wraz z cyberatakiem na Viasat doprowadziło do problemów z komunikacją wojsk broniących Kijowa. W pozostałych państwach UE atak zakłócił funkcjonowanie tysięcy firm, w samych Niemczech spowodował awarię 5800 turbin wiatrowych.

Problem z komunikacją ukraińskich obrońców został jednak szybko rozwiązany poprzez błyskawiczne dostawy telekomunikacyjnego systemu satelitarnego wyprodukowanego przez amerykańską firmę SpaxeX Elona Muska. Starlinki zagwarantowały bezpieczną i sprawną łączność, okazując się odpornymi na działania rosyjskich hakerów i inne zakłócenia.

Rosjanie na początku inwazji zaatakowali również głównego ukraińskiego dostarczyciela usług internetowych Triolan oraz największego ukraińskiego operatora telekomunikacyjnego – Ukrtelecom, próbując w ten sposób zakłócić ukraińską łączność i wywalczyć sobie dominację w środowisku informacyjnym, co było zgodne z rosyjską doktryną informacyjną. W konsekwencji użytkownicy Triolana i Ukrtelecom cierpieli na czasowe braki w dostawie usług internetowych. Wewnętrzne urządzenia firm przestały działać, ponieważ rosyjscy hakerzy wymusili ich reset do ustawień fabrycznych. Przywrócenie usług internetowych okazało się mocno utrudnione przez ciągłe rosyjskie ataki z powietrza i zajęło kilka dni.


Zmasowany atak złośliwego oprogramowania


W pierwszych czterech miesiącach wojny Rosjanie użyli od ośmiu do dziesięciu różnych rodzajów złośliwego oprogramowania typu wiper, którego zadaniem było zniszczenie przechowywanych danych. Ataki były wymierzone w prawie 50 różnych ukraińskich instytucji i przedsiębiorstw. W niektórych przypadkach zaobserwowano czasowe trudności w działaniu, które jednak szybko zostały usunięte. Skala tego ataku była olbrzymia, takiej samej ilości złośliwego oprogramowania Rosja używała w ciągu sześciu lat uprzednich lat.


Wraz z trwającą wojną liczba ataków oraz stopień ich zaawansowania malały, w sierpniu i wrześniu 2022 roku nie odnotowano żadnej aktywności złośliwego oprogramowania typu wiper. Victor Zhora, zastępca szefa ukraińskiej Państwowej Służby Łączności Specjalnej i Ochrony Informacji, powiedział, że rosyjskie ataki wraz z trwaniem wojny stawały się coraz mniej zaawansowane i słabiej skoordynowane, co potwierdza obserwacje dotyczące wykorzystania oprogramowania typu wiper. Ekperci z amerykańskiego think tanku Carnegie uważają, że zmniejszenie zaawansowania rosyjskich cyberataków wynikało z konieczności odbudowania własnych zdolności ofensywnych ze względu na fakt, że użyte złośliwe oprogramowanie stało się rozpoznawalne dla programów antywirusowych. Wpływ na to miały również cyberataki prowadzone przez Ukraińców oraz hakerów z całego świata wymierzone w Rosję, które skutkowały koniecznością zaangażowania sił do obrony rosyjskich systemów.

Jednym z ważniejszych celów rosyjskich ataków w Ukrainie był sektor energetyczny. Do końca 2022 roku Ukraińcy odnotowali 84 próby infiltracji sieci i systemów z wykorzystaniem zaawansowanego złośliwego oprogramowania, mające zakłócić dostawy prądu. Ofiarą hakerów oraz rosyjskiego wojska padło na przykład największe ukraińskie przedsiębiorstwo w sektorze energetycznym DTEK. W przeciwieństwie jednak do 2015 i 2016 roku, tym razem operacje się nie powiodły. Ukraińcy odrobili lekcje z przeszłości i byli zdecydowanie lepiej przygotowani. Zainwestowali znaczne środki w poprawę cyberbezpieczeństwa, zwłaszcza sektora energetycznego.

Atakowane były również podmioty z sektora logistycznego, transportowego i rolniczego, ale z biegiem czasu intensywność operacji spadała. Tradycyjne działania kinetyczne okazały się o wiele skuteczniejsze.





Cyberelement rosyjskiej machiny wojskowej


Od samego początku pełnoskalowej inwazji można było zaobserwować pewne oznaki, że działania w cyberprzestrzeni były koordynowane z operacjami przeprowadzanymi przez regularne wojska. W przeddzień zajęcia zaporoskiej elektrowni atomowej w marcu 2022 roku do jej sieci włamali się rosyjscy hakerzy, szukając informacji. Podobny incydent miał miejsce w rejonie Winnicy, gdzie 4 marca 2022 roku hakerzy włamali się do systemów rządowych, a cztery dni później na lotnisko w tym rejonie uderzyło osiem pocisków.

Podobna sytuacja mogła mieć miejsce 29 kwietnia, kiedy zaatakowano infrastrukturę kolejową w okolicach Lwowa. Kinetyczny atak został poprzedzony operacją w cyberprzestrzeni. Nie można wykluczyć, że Rosjanie znaleźli informacje wskazujące, że akurat tego dnia będzie transportowane uzbrojenie z Zachodu (terminy i trasy wojskowych transportów są tajne), i postanowili je zniszczyć. Ze względu na dużą ukraińską dyscyplinę informacyjną, nie wiadomo, czy Rosjanie osiągnęli swój cel.

Operacje w cyberprzestrzeni miały również ułatwić odwrót rosyjskich wojsk spod Kijowa i opóźnić przemieszczenie się wojsk ukraińskich na wschód kraju. Dlatego naturalnym celem były systemy i sieci organizacji zajmujących się transportem znajdujące się na zachodzie i w centrum Ukrainy.

Oprócz zastosowania złośliwego oprogramowania, które miało zniszczyć dane, podczas pierwszych czterech miesięcy inwazji Rosjanie przeprowadzili w cyberprzestrzeni ponad 240 operacji szpiegowskich, których głównych celem była kradzież informacji. Zdobyte dane mogły pomóc rosyjskim wojskowym w planowaniu strategicznym, wyborze celów, okupacji zajętych terenów, negocjacji czy prowadzeniu działań operacyjnych. Skuteczność operacji cyberszpiegowskich jest jednak niemożliwa do jednoznacznego zweryfikowania ze względu na fakt, że publicznie unika się informowania, czy zakończyły się one sukcesem i ewentualnie jakie informacje udało się pozyskać. Jednym z najaktywniejszych podmiotów była rosyjska grupa hakerska Turla, które została zidentyfikowana dopiero na początku 2023 roku. W centrum jej zainteresowania znajdowały się głównie rządowe dokumenty utworzone po 1 stycznia 2021 roku. Ostatnio rosyjskie działania cyberszpiegowskie koncentrowały się głównie na trwającej ukraińskiej kontrofensywie, trudno jest jednak ocenić, czy Rosjanie pozyskali jakiekolwiek informacje, które mogły wpłynąć na jej przebieg.




Zachód celem ataków


Rosja wykorzystała również operacje w cyberprzestrzeni przeciwko państwom Zachodu, które na szeroką skalę zaangażowały się w pomoc Ukrainie. Wymienić tu można operacje phisingowe, w których przykładowo rosyjscy hakerzy próbowali podszywać się pod zaufane osoby czy instytucje i zachęcać adresatów ich wiadomości do kliknięcia w załączony plik, który zawierał złośliwe oprogramowanie. Takie działania były wymierzone w instytucje rządowe i wojskowe w Polsce, laboratoria badań jądrowych Brookhave, Argonne i Lawrence w Stanach Zjednoczonych, NATO-wskie instytucje czy think tanki zajmujące się kwestiami bezpieczeństwa i polityki międzynarodowej. Większość z tych ataków miała na celu zdobycie informacji.

Rosjanie przeprowadzili też operacje, których celem było szyfrowanie danych. Pod koniec 2022 roku raport Microsoftu wskazywał na zagrożenie nowym oprogramowaniem szyfrującym Prestige, który poza ukraińskimi organizacjami uderzył również w cele w Polsce. Microsoft nie podał jednak w swoim raporcie żadnych szczegółów.

To tylko wycinek ataków wymierzonych w państwa zachodnie, dlatego tak ważne jest zwracanie uwagi na cyberbezpieczeństwo. Co mogłoby się stać, gdyby Rosjanie przypuściliby udany cyberatak? Taki scenariusz pokazuje na przykład awaria na polskiej kolei, która miała miejsce 17 marca 2022 roku. Doszło wtedy do paraliżu, który unieruchomił setki pociągów w całej Polsce. Początkowo spekulowano, że powodem był cyberatak, potem jednak okazało się, że doszło do awarii 19 z 33 lokalnych centrów sterowania. W tym przypadku zawiódł sprzęt teleinformatyczny, ale podobny efekt można byłoby uzyskać za pomocą cyberataku.


Dlaczego Rosjanie nie złamali ukraińskiej cyberobrony?


Inwazja na pełną skalę i będące jej rezultatem zmasowane, prawdopodobnie największe w historii cyberataki nie pokonały ukraińskiej cyberobrony. To zaskoczyło chociażby generała dywizji i dowódcę Wojsk Obrony Cyberprzestrzeni Karola Molendę, który podczas okrągłego stołu na Międzynarodowym Forum Cyberbezpieczeństwa w Lille we Francji w czerwcu 2022 roku mówił, że spodziewał się cyfrowego odpowiednika Pearl Harbour. Dodał również, że Ukraińcy pokazali, że można przygotować się do konfliktu w cyberprzestrzeni. Na ich sukces miało wpływ kilka czynników.

Po pierwsze Ukraina przez osiem lat, od 2014 roku, musiała zmagać się z różnorodnymi operacjami w cyberprzestrzeni prowadzonymi przez rosyjskich hakerów. Przez ten czas poznała swojego przeciwnika, jego sposób działania, stosowane złośliwe oprogramowanie oraz sama dokonała znacznych inwestycji w cyberobronę, poprawiając ochronę własnych sieci i systemów, w szczególności w obszarze infrastruktury krytycznej czy zwiększając liczbę ekspertów cyberbezpieczeństwa. Przykładowo jeden z ukraińskich największych operatorów telekomunikacyjnych w latach 2015–2022 zwiększył liczbę osób odpowiedzialnych za cyberbezpieczeństwo o dwie trzecie, a ukraiński dystrybutor energii Ukrenergo wydał tylko w ciągu dwóch lat 20 milionów dolarów na inwestycje w systemy cyberobrony. Ważne zmiany miały miejsce również w ustawodawstwie, przykładowo Ukraina w 2016 roku uchwaliła Narodową Strategię Cyberbezpieczeństwa, której zapisy były skutecznie implementowane. Dokonano również zmian instytucjonalnych i w 2021 roku powołano UA30 Cyber Center, które koordynuje działania podmiotów odpowiedzialnych za cyberobronę.

Drugi czynnik to bezprecedensowa pomoc ze strony Zachodu. Ukraina otrzymała również amerykańskie wsparcie finansowe w wysokości 40 milionów dolarów na rozwój cyberobrony, a Amerykańskie Dowództwo Operacji w Cyberprzestrzeni (USCYBERCOM) wysłało na Ukrainę swój zespół celem wzmocnienia i dzielenia się know-how. Amerykanie razem z Ukraińcami próbowali wyśledzić i zidentyfikować złośliwe działania w ukraińskich sieciach i systemach, które mogłoby świadczyć o włamaniu. Dodatkowo Amerykanie przeprowadzili szkolenia dla Ukraińców z wykorzystania innowacyjnych technologii cyberobrony. Ostatni członkowie USCYBERCOM opuścili Kijów w przeddzień rosyjskiej inwazji. Byli zatem wciąż na miejscu, kiedy zaczęły się styczniowe rosyjskie cyberataki, pomagając w ich analizie oraz dzieląc się uzyskanymi informacjami z agencjami w Stanach Zjednoczonych. Mimo że nie ma amerykańskich żołnierzy na Ukrainie, USCYBERCOM cały czas angażuje się w pomoc Ukraińcom, dzieląc się m.in. informacjami o atakach.

Pomoc zapewniali również Estończycy, Polacy oraz inni członkowie NATO. Na niespotykaną skalę zaangażowały się firmy prywatne, takie jak amerykańskie Microsoft, Google czy Amazon, udostępniając swoje usługi chmurowe, pozwalające przechować informacje ukraińskiego rządu, dzieląc się danymi dotyczącymi złośliwego oprogramowania oraz udostępniając inne funkcje zwiększające cyberbezpieczeństwo. Ważną rolę odegrała również słowacka firma ESET oferująca produkty z zakresu cyberbezpieczeństwa, która dysponuje świetnym rozpoznaniem złośliwego oprogramowania działającego w Europie Środkowo-Wschodniej. Nigdy wcześniej sektor prywatny nie zaangażował się na taką skalę.

Wreszcie odpowiedzialność za sukcesy ukraińskiej cyberobrony leży również po stronie Rosjan, a dokładnie źle przeprowadzonej operacji wojskowej i przecenienia własnych sił. Przede wszystkim Rosjanie nie mają odpowiednika amerykańskich czy europejskich cyberwojsk, które mógłby dokonywać operacji w cyberprzestrzeni przy bliskiej współpracy z wojskami konwencjonalnymi. Operacji na Ukrainie dokonywały grupy powiązane z GRU, FSB i SVR, dlatego trudno sobie wyobrazić przykładowo skuteczną współpracę wojska z wywiadem i kontrwywiadem cywilnym, w szczególności w Rosji, gdzie środowiska te ze sobą silnie konkurują. Ważną kwestią był również fakt, że o inwazji na Ukrainę miało wiedzieć wąskie grono osób, o czym pisze m.in. Owen Matthews w swojej książce Overreach: The Inside Story of Putin and Russia’s War Against Ukraine, hakerzy nie mieli więc czasu na staranne przygotowanie operacji.


Podsumowanie


Pomimo braku znacznych sukcesów ze strony rosyjskich hakerów w czasie inwazji na pełną skalę w Ukrainie, nie powinni oni być lekceważeni. Są to elastyczne jednostki, gotowe do dostosowywania swoich technik oraz używanego złośliwego oprogramowania do zmieniających warunków. Rosjanie odtwarzają swoje zdolności oraz koncentrują się na innych celach. Obecnie, o czym informuje Państwowa Służba Łączności Specjalnej i Ochrony Informacji, widać większą koncentrację na działaniach cyberszpiegowskich, w których Rosjanie mają duże doświadczenie i sukcesy. Nie tylko Ukraina powinna się mieć na baczności, ale również państwa wspierające ją w wojnie, w tym przede wszystkim Polska, która stała się kluczowym hubem dla Ukrainy.