Dr Piotr Łuczuk: Cyberwojna już się rozpoczęła. Polska stałym celem rosyjskiej agresji informacyjnej

by IS in Bezpieczeństwo

Browse By

Calendar

lipiec 2021
P W Ś C P S N
« cze   sie »
 1234
567891011
12131415161718
19202122232425
262728293031  

Najnowsze raporty dotyczące skali cyberzagrożeń i seria ataków wymierzona w polskich polityków to donośny sygnał alarmowy, którego dłużej ignorować nie można. Jak wynika z danych Cisco Umbrella, w aż 86 proc. organizacji przynajmniej jeden użytkownik próbował połączyć się z witryną phishingową, prawdopodobnie poprzez kliknięcie w link znajdujący się w wiadomości. Co to oznacza w praktyce? Mniej więcej tyle, że praktycznie w każdej firmie i organizacji w Polsce przynajmniej jeden pracownik był obiektem cyberataku. A jeśli do tego zostawienia dodamy także przedstawicieli administracji rządowej, posłów, senatorów i ministrów – dostaniemy dość wierny obraz skali całego zjawiska. Brzmi dość groźnie? To dopiero początek… .

Podstawowym problemem w kwestii podnoszenia świadomości w kontekście cyberzagrożeń i promocji cyberbezpieczeństwa jest uświadomienie użytkownikom internetu, że zagrożenia związane z cyberprzestrzenią i komunikacją cyfrową nie dotyczą jedynie strategicznych systemów informatycznych danego państwa. W celu pozyskania informacji i niejawnych danych, hakerzy, cyberprzestępcy, a nawet służby specjalne wielu państw są w stanie posłużyć się komputerami osób postronnych, aby za ich pośrednictwem zacierać ślady, mylić tropy, a co najważniejsze niepostrzeżenie uzyskać dostęp do pożądanych informacji. 

Analizując w książce „Cyberwojna. Wojna bez amunicji?” ogólny stan świadomości poszczególnych państw w kwestii cyberbezpieczeństwa, zwracałem uwagę, że w kwestii ochrony przed cyberwojną jest jeszcze wiele do zrobienia. Pomimo chęci wypracowania skutecznych metod cyberobrony na szczeblu narodowym, na przełomie XX i XXI wieku pojawiło się bardzo wiele nowych zagrożeń. Co prawda swego rodzaju punktem zwrotnym była w tym przypadku pierwsza cyberwojna w Estonii (rok 2007), ale minęło sporo czasu, zanim zaczęto wdrażać skuteczne metody ochrony przed cyberwojną i cyberterroryzmem. Dopiero w 2011 roku na szczeblu NATO przyjęto założenia nowej strategii bezpieczeństwa w cyberprzestrzeni. Może zwlekano z tym tak długo właśnie dlatego, że przez lata temat cyberbezpieczeństwa traktowany był przez wielu wojskowych w kategoriach science-fiction?

Skala ataków daje do myślenia

Tymczasem spore zaniepokojenie musi wywoływać fakt, że w roku 2020 w 86% organizacji przynajmniej jeden użytkownik próbował połączyć się z witryną phishingową (metoda wyłudzania danych), prawdopodobnie poprzez kliknięcie w link znajdujący się w wiadomości.

Warto zwrócić uwagę, że w pozostałych kategoriach świadomość użytkowników również nie była zbyt wysoka.

  • W 70 procent organizacji znaleźli się użytkownicy, którym prezentowano złośliwe reklamy w przeglądarce.
  • 51 procent firm spotkało się z aktywnością związaną z ransomware.
  • 48 procent organizacji wykryło złośliwe oprogramowanie wykradające informacje.

Analizując dane przedstawione przez Cisco Umbrella spróbujmy zatem wskazać słabe punkty i potencjalnie najpoważniejsze zagrożenia dla sektora administracji rządowej, który w ostatnim czasie stał się celem zmasowanej serii cyberataków.

To właśnie sektor rządowy wydaje się być najbardziej równomiernie obłożony pod względem głównych kategorii ataków – phishingu, cryptominingu, ransomware i trojanów.

Z informacji potwierdzonej przez kierownika zespołu CERT Polska, CSIRT NASK – badającego przypadki włamań w domenie publicznej – wynika, że od końca listopada 2020 roku przypadków przejęć kont należących do polityków dochodziło przynajmniej kilkanaście razy. Do czego wykorzystywane były pozyskane w ten sposób dane oraz same przejęte konta? Możliwości jest całkiem sporo. Mogą być wykorzystywane do udostępniania fałszywych informacji związanych z relacjami Polski z sojusznikami w NATO, a także informacji o charakterze społeczno-obyczajowym, wzbudzających kontrowersje i polaryzujących opinie.

„Cui bono” – czyli kto za tym stoi?

Nie jest też żadną tajemnicą, że serię cyberataków o charakterze dezinformacyjnym obserwujemy regularnie w zasadzie co najmniej od 2018 roku, natomiast eskalację tego typu działań związaną już bezpośrednio z przejmowaniem kont pocztowych oraz profili z mediów społecznościowych zaczęto odnotowywać od końca listopada 2020 roku.

Jaki jest cel tych działań? To dość oczywiste. Chodzi o wywoływanie chaosu i podburzanie opinii publicznej. Eskalowanie napięć i podziałów w społeczeństwie, a przede wszystkim kampanie mające na celu ośmieszać Polskę na arenie międzynarodowej i obniżać jej znaczenie w kontekście geopolitycznym.

„Ustalenia ABW i SKW dowodzą, że Polska jest stałym celem prowadzonej przez Rosję agresji informacyjnej. To ważne tło oceny wydarzeń dotyczących cyberbezpieczeństwa w Polsce” – ostrzega rzecznik prasowy ministra koordynatora służb specjalnych Stanisław Żaryn.

Skąd wiadomo, że tropy prowadzą do Rosji? Polskie służby specjalne na przestrzeni ostatnich miesięcy odnotowują wzmożone działania w cyberprzestrzeni wymierzone w Polsce. Analiza samych ataków oraz towarzyszący im modus operandi nie pozostawia złudzeń, że w tego typu działania zaangażowane są podmioty realizujące kolejne założenia rosyjskiej strategii wojny hybrydowej przeciwko Polsce.

Jeśli weźmiemy pod uwagę całą koincydencję zdarzeń oraz zastosowane w cyberatakach modele i metody i zestawimy je z celami, które przy użyciu tych metod miały zostać osiągnięte, uzyskamy uzasadnione podejrzenie graniczące z pewnością, że cała operacja jest stymulowana, kontrolowana i zarządzana przez organizacje działające na rzecz Federacji Rosyjskiej. Dlaczego jedynie podejrzenie, a nie stuprocentową pewność? Na tym właśnie polega cyberwojna. Nawet, gdy wszystkie dowody wskazują na Rosję, Kreml – co obserwowaliśmy już niejednokrotnie – zapewnia o swojej niewinności. Jednak polskie służby specjalne nie mają już w tej kwestii żadnych wątpliwości.

„Kreml prowadzi operacje dezinformacyjne, wykorzystuje wrogą propagandę, sięga po agresywne narzędzia cybernetyczne, by szkodzić Polsce i atakować Zachód” – wyjaśnia rzecznik ministra koordynatora służb specjalnych.

W kontekście skoordynowanych cyberataków na Polskę dość szybko wskazano na pojawiające się w rozpowszechnianych plikach rosyjskie metadane.

Operacja Ghostwriter – czas wyciągnąć wnioski

Serię wrogich działań dezinformacyjnych przeciwko Polsce dość łatwo można powiązać z hakerską operacją Ghostwriter. O jej kulisach pisał na łamach „Gazety Polskiej” Grzegorz Wierzchołowski przywołując ustalenia Mandiant – prywatnej agencji zajmującej się cyberbezpieczeństwem, kierowanej przez byłego oficera Sił Powietrznych USA. O początkach dezinformacyjnej kampanii Mandiant informował już w raporcie z 2020 roku. Ghostwriter określono mianem hakerskiej operacji i zorganizowanej kampanie wymierzonej bezpośrednio w Polskę, Litwę i Łotwę (a także w opozycję na Białorusi) oraz w sojusz tych krajów z państwami Zachodu w ramach NATO. Jako elementy składowe operacji Ghostwriter podano m.in: ataki dokonane w maju 2020 roku na media Strefy Wolnego Słowa. Amerykanie wymieniali wprost (jako ofiary Rosjan) portal Niezalezna.pl i wiceszefową „GP” Katarzynę Gójską.

„W maju 2020 roku na Niezależną (i stronę Telewizji Republika) wstawiono uderzający w sojusz polsko-amerykański artykuł, w którym można było przeczytać: „Amerykański dowódca nie oszczędził negatywnych ocen polskim żołnierzom. (…) żadne przeglądy strategiczne, modlitwy i WOT nie przesłonią faktu, że potencjał bojowy naszego wojska jest poniżej krytyki”. W tym samym miesiącu na anglojęzycznym portalu „The Duran” ukazał się „wywiad”, przeprowadzony rzekomo przez Katarzynę Gójską. Jej rozmówcą miał być amerykański generał broni Christopher G. Cavoli, dowódca sił amerykańskich w Europie, twierdzący, że Polska i kraje bałtyckie są fatalnie zorganizowane pod względem militarnym” – czytamy na łamach „Gazety Polskiej” w ślad za raportem Mandiant przypadki pierwszych cyberataków wymierzonych przeciwko Polsce w ramach operacji Ghostwriter.

Analiza najnowszych trendów dotyczących arsenału cyberprzestępców i hakerów pozwala bronić się przed konkretnymi zagrożeniami. Szczególnie istotne jest odpowiednie dostosowanie strategii cyberbezpieczeństwa do potencjalnego ryzyka.

„W odmienny sposób, więc pomocne jest zrozumienie specyficznych trendów otaczających sektor, w którym działamy. Na przykład, ekspert z sektora usług finansowych powinien uważnie śledzić trendy związane z phishingiem, podczas gdy osoba odpowiedzialna za bezpieczeństwo w firmie produkcyjnej może chcieć przyjrzeć się bliżej oprogramowaniu ransomware” – zwracają uwagę analitycy Cisco.

Na jeszcze inne zagrożenia narażeni są politycy oraz statystyczny Kowalski. Wszystkich łączy jednak konieczność podniesienia świadomości na temat potencjalnych zagrożeń i realności ryzyka działań w cyberprzestrzeni.

Cyberwojna może być prowadzona zarówno autonomicznie, jak i w ramach szerszego planu natarcia, jako element wojny hybrydowej. Jej bezpośrednim celem jest unieszkodliwienie struktur informatycznych przeciwnika, osłabienie jego systemów obronnych, a także pośrednio przechwycenie danych. Tymczasem wojna informacyjna zawsze stanowi element szerszej strategii i jej głównym celem jest właśnie pozyskanie informacji i danych w celu poszerzenia stanu wiedzy operacyjnej, a równie często także w celu prowadzonej na szeroką skalę akcji propagandowej i manipulacji faktami.

Który scenariusz działań wojennych obserwujemy obecnie? Dziś to pytanie jest już czysto retoryczne… nie wymaga odpowiedzi.

Dr Piotr Łuczuk 

Medioznawca, ekspert ds. cyberbezpieczeństwa. Redaktor naczelny serwisu FilaryBiznesu.pl. Adiunkt w Instytucie Edukacji Medialnej i Dziennikarstwa Uniwersytetu Kardynała Stefana Wyszyńskiego w Warszawie. Ekspert Instytutu Staszica. Autor pierwszej w Polsce książki o cyberwojnie „Cyberwojna. Wojna bez amunicji?

Foto: pixabay.com

Tagged with: , , , , , , , , , ,