Minął miesiąc od ataku Rosji na Ukrainę, dzięki czemu możliwe jest już sformułowanie pewnych wniosków płynących z analizy znaczenia i roli cyberprzestrzeni w tym konflikcie. W Indeksie National Cyber Power z roku 2020 Federacja Rosyjska została sklasyfikowana na czwartym miejscu pod względem zdolności działania w cyberprzestrzeni, zaraz za USA, ChRL i Wielką Brytanią. Ranking zbudowany był z cząstkowych ocen poszczególnych zdolności.
Co istotne, Federacja Rosyjska w trzech kategoriach zajmowała miejsca wyższe od generalnej klasyfikacji. Rosyjskie cybersiły były ocenione jako drugie najlepsze pod względem nadzoru oraz kontroli informacji, trzecie pod względem działań ofensywnych. Słabość rosyjskiego potencjału wynikała z ograniczeń na polu zdolności wywiadowczych, wykorzystania e-handlu i kształtowania norm i standardów. Co jednak warte podkreślenia, w zakresie cyberobrony jej zdolności sklasyfikowano dopiero na osiemnastym miejscu, na 30 ocenianych państw. Innymi słowy, jakość rosyjskich sił zbrojnych nie jest jednorodna i również w zakresie cyberzdolności mamy do czynienia z nierównomiernie rozkładającym się potencjałem. Dobrą ilustracją tego fenomenu może być incydent z 15 marca, w którym craker o nicku Spielerkid89 w łatwy sposób, wykorzystując do tego popularną wyszukiwarkę serwerów Shodan, przeskanował sieć w poszukiwaniu tych adresów z rosyjskim IP, które do połączenia nie wymagają uwierzytelnienia. Tym sposobem udało się namierzyć sieć ministerstwa zdrowia w Omsku, a w niej komputer pracownika ministerstwa, z którego mógł bez kłopotu pobrać wszystkie pliki. Craker utrzymuje, iż nie wyrządził jednak żadnych szkód w samym systemie. Incydent ten sugeruje, że poziom rosyjskich cyberzabezpieczeń wydaje się równie niespójny, co kondycja konwencjonalnych sił zbrojnych federacji rosyjskiej.
Spontaniczny charakter działań Anonimowych może mieć również negatywny wpływ na działania sił prozachodnich co najmniej w dwóch wymiarach
Na samym początku trzeba jednak podkreślić, że działania wojenne spowija tzw. mgła wojny, a w domenie cyber jest ona jeszcze bardziej szczelna, przez co weryfikacja informacji, które do nas docierają, jest niezwykle utrudniona, przy czym sprawdzając informacje, należy pamiętać o tym, by sympatia dla zaatakowanej Ukrainy nie przesłoniły obiektywności analizy. Dwie kwestie są tu kluczowe – niska wiarygodność dowodów ataku (same zrzuty z ekranu nie stanowią wiarygodnego potwierdzenia) oraz zrozumiałej niechęci do dzielenia się przez ofiary informacją o ataku. W zdecydowanej większości przypadków łatwość weryfikacji tego, czy wrogie działania zostały rzeczywiście przeprowadzone, jest wprost proporcjonalna do tego, jak istotnego celu dotyczył. W przypadku np. oficjalnych serwisów państwowych zazwyczaj wystarczy sprawdzić, czy one działają, choć i tu czasem, dostęp do nich może być ograniczony dla konkretnych grup adresów IP. Często weryfikacja proxy pokazuje, że np. strony rosyjskich banków są jednak dostępne dla użytkowników z Rosji i Białorusi. Weryfikacja tego, czy rzeczywiście zerwana została łączność z satelitami, wymaga natomiast co najmniej reakcji oficjalnych czynników państwowych. Gdy mowa o atakach np. na infrastrukturę energetyczną, możliwe jest szukanie potwierdzeń pośrednich, m.in. dotyczących przerw w dostawach energii. I wówczas nie można jednak ostatecznie rozstrzygnąć realnej przyczyny usterki. Mając na uwadze powyższe, poniżej omówiono obserwacje płynące z „cyfrowego pola walki”.
Na przełomie lutego i marca wicepremier Ukrainy Mykhailo Fedorov ogłosił powstanie „Armii IT”, składającej się z wolontariuszy chcących wesprzeć czynem obronę Ukrainy. 26 lutego utworzono również konto w serwisie Telegram, na którym wskazywane są cele ataków. Dostęp do konta mają również broniący się. Spowodowało to zaktywizowanie do działań wobec Rosji pospolitego ruszenia. Wśród instrumentarium wykorzystywanego do ataków dominują ataki DDoS, wykradanie informacji, oraz włamania połączone z próbą ingerencji w infrastrukturę krytyczną. Skala ataków jest duża. 4 marca rosyjski rząd opublikował listę 17 576 adresów IP oraz listę 166 domen, z których przeprowadzane były ataki DDoS na rosyjską cyberprzestrzeń. Wykaz domen zawierał dane wskazujące na USA, w tym CIA i FBI.
Wątpliwe jest, aby Rosja pod wpływem spontanicznych ataków tego typu zmieniła swoją strategię względem Ukrainy
Zdecydowanie najpopularniejszą formą haktywizmu stało się trollowanie rosyjskich stron (np. poprzez umieszczanie na nich informacji na temat wojny w Ukrainie), lub klikanie w linki, które mają generować wzmożony ruch skierowany na rosyjskie strony, tworząc tym samym rozproszone fale ataku DDoS. Problem jednak w tym, że same linki potencjalnie mogą stanowić wektor ataku na chcących wesprzeć Ukrainę oraz serwery kierujące ruchem w rosyjskim Internecie bardzo łatwo mogą blokować zewnętrzne adresy, z których przychodzą zapytania. W konsekwencji tego drugiego ruch zostaje faktycznie wygenerowany, ale ponieważ nie dociera do rosyjskich stron, efekt jego działania może być odczuwalny tylko po naszej „stronie” sieci. Innymi słowy, entuzjazm domorosłych haktywistów może obrócić się przeciwko nim samym. Warto też zwrócić uwagę, że spontaniczny charakter działań Anonimowych może mieć również negatywny wpływ na działania sił prozachodnich co najmniej w dwóch wymiarach. Jeśli haktywiści rzeczywiście naruszą integralność jakiegoś systemu, mogą spowodować, że jego administrator podejmie decyzję o jego całkowitej reinstalacji, w trakcie której usunie również inne oprogramowanie, być może umieszczone w nim przez siły cyberobrony Ukrainy albo innego antyrosyjskiego podmiotu. Po drugie łatwo dostępne w sieci interfejsy mogą w rzeczywistości być pułapkami (honeypotami), celowo umieszczonymi w sieci stronami i całymi sieciami udającymi rzeczywiste strony związane z krytyczną infrastrukturą. Wszystko po to, by strona atakująca ujawniła stosowane przez siebie techniki i narzędzia ataku.
Ponadto wątpliwe jest, aby Rosja pod wpływem spontanicznych ataków tego typu zmieniła swoją strategię względem Ukrainy. Działania crakerów, choć dokuczliwe, jak się wydaje, wciąż nie wyrządziły poważniejszych strat. Szkodliwsze od nich są bowiem konsekwencje nałożonych na Rosję sankcji, w tym, od 18 marca, odcięcie od usług chmurowych, (m.in. usług Amazon, Microsoft, Google, Oracle, IBM), co może poskutkować załamaniem się ekosystemu informatycznego Rosji w ciągu najbliższych tygodni. By zmienić postawę Kremla, potrzebne są również dużo bardziej zaawansowane działania, które jednak mogą sprowokować rozszerzenie konfliktu i jego intensyfikację. Przykładowo, zamknięcie przestrzeni lotniczej nad Ukrainą mogłoby mieć równie niebezpieczne konsekwencje, co odcięcie dostępu Kremla od własnych satelitów śledzących broń atomową USA. Stąd prawdopodobnie nie obserwujemy bardziej zaawansowanych form ataków cybernetycznych. Okazuje się bowiem, że cyberataki na mocarstwo atomowe nie mogą zostać substytutem „gorącej” rywalizacji.
Z nieobliczalności działań Kremla zdaje sobie sprawę Joe Biden, który 31 marca przestrzegł przed nieuchronnymi atakami crakerskimi ze strony Rosji. Warto w tym miejscu dodać, że 1 marca z poparciem obu partii USA przyjęto za oceanem ustawę wzmacniającą cyberobronę, The Strengthening American Cybersecurity Act of 2022, która m.in. zaostrzała rygory związane z szybkością raportowania przez instytucje federalne wykrytych naruszeń bezpieczeństwa do 72 godzin. Konkludując, przywołać należy starą prawdę, iż „Rosja nigdy nie jest tak silna ani tak słaba jak się wydaje”. Jak widać, mądrość ta ma odniesienie do każdego wymiaru potęgi Moskwy, również w cyberprzestrzeni.
JEŻELI DOCENIASZ NASZĄ PRACĘ, DOŁĄCZ DO GRONA NASZYCH DARCZYŃCÓW!
Z otrzymanych funduszy sfinansujemy powstanie kolejnych publikacji.
Możliwość wsparcia to bezpośrednia wpłata na konto Instytutu Nowej Europy:
95 2530 0008 2090 1053 7214 0001 tytułem: „darowizna na cele statutowe”.
Źródło zdjęcia głównego: Pexels.
Comments are closed.