Wojna w Ukrainie: ataki rosyjskich hakerów mogą się nasilić

Przeczytaj także: Dzieje cyberprzestępczości: era nowoczesnego ransomware’u

Rosja prawdopodobnie nie zaryzykuje, by NATO uruchomiło artykuł 5., więc nie zaatakuje bezpośrednio państw członkowskich sojuszu. Jednak może dać swobodę cyberprzestępcom działającym z terytorium Federacji Rosyjskiej i jej partnerów ze Wspólnoty Niepodległych Państw (WNP). Poziom zagrożeń będzie więc rósł – wskazuje Chester Wisniewski, Principal Research Scientist w firmie Sophos.

Nieprzewidywalny krajobraz cyberzagrożeń

25 lutego grupa haktywistów Anonymous wypowiedziała rosyjskiemu rządowi „cyberwojnę”. Kilka godzin później grupa Conti rozpowszechniająca złośliwe oprogramowanie ransomware na swojej stronie w darkwebie zadeklarowała pełne poparcie dla rosyjskiego rządu. Niedługo potem złagodziła stanowisko, ale zasugerowała, że może uderzyć w odpowiedzi na podjętą przez Amerykanów agresję w cyberprzestrzeni. Obie deklaracje zwiększają ryzyko dla wszystkich, niezależnie od tego, czy są zaangażowani w konflikt, czy nie. Ataki generują zamieszanie i niepewność, rośnie też prawdopodobieństwo, że inne rosyjskie grupy przestępcze zintensyfikują działania przeciwko sojusznikom Ukrainy. 1 marca grupa ransomware znana jako TheRedBanditsRU opublikowała na Twitterze oświadczenie dystansując się od wojny. Twierdzi, że nie atakuje ukraińskich celów cywilnych, jednak wyraźnie sugeruje, że wciąż może zaatakować ukraiński rząd.

Krajobraz cyberzagrożeń jest w tej chwili nieprzewidywalny. Trzeba liczyć się z ryzykiem eskalacji sytuacji i dodatkowym podburzaniem rosyjskich grup hakerów do odwetu na zachodniej infrastrukturze, firmach i instytucjach rządowych, co doprowadzi do miliardowych strat. Jak dotąd nie doszło do zwiększenia liczby ataków. Jednak może się to zmienić, jeśli rosyjscy cyberprzestępcy będą wspierani przez państwo – dodaje Chester Wisniewski.

Prawdopodobny jest wzrost częstotliwości i dotkliwości ataków. Dlatego firmy i organizacje na całym świecie, szczególnie w krajach sąsiadujących z Ukrainą, powinny być przygotowane na ataki i zadbać o zaawansowaną ochronę – nawet jeśli nie działają bezpośrednio na Ukrainie. Pojawiły się już informacje o ataku złośliwego oprogramowania na ukraińskie systemy kontroli granicznej, który miał zakłócić przepływ uchodźców przez granicę z Rumunią. Proofpoint opublikował też dane o wzroście phishingu wymierzonego w urzędników NATO.

Rosyjski „podręcznik” cyberwojny

Niezależnie od tego jak rozwinie się sytuacja, cyberataki będą kontynuowane. Ukraina jest ich celem od czasu obalenia Wiktora Janukowycza w 2014 roku. Zgodnie z oficjalną doktryną wojskową z 2010 roku Kreml próbuje kontrolować reakcję świata na swoje działania poprzez wojnę informacyjną. Kluczowe są w niej fałszywe dowody, zakłócanie komunikacji i manipulacje w mediach społecznościowych. Celem jest powodowanie opóźnień, zamieszania i dezorientacji.

Kampanie dezinformacyjne wkrótce osiągną apogeum, ale konieczne jest też monitorowanie wszystkich nietypowych zdarzeń w sieci. Może upłynąć wiele miesięcy zanim pojawią się dowody na cyfrowe działania związane z sytuacją na Ukrainie. Cyberprzestępcy często zostawiają fałszywe poszlaki dotyczące państwa, z którego atakują – to powszechna praktyka, niezależnie od sytuacji geopolitycznej. Tak było m.in. w połowie stycznia br., gdy wiele ukraińskich stron rządowych zostało zablokowanych przez złośliwe oprogramowanie. Atakujący zostawili fałszywe poszlaki wskazujące na dysydentów ukraińskich lub stronę polską. W czasie konfliktu informacje są sprzeczne i wprowadzają w błąd, trzeba więc będzie czasu, aby je zweryfikować.