Kwestie związane z cyberbezpieczeństwem to trudny temat. Nie ze względu na konieczność posiadania specjalistycznej technicznej wiedzy, lecz ze względu na to, że przez wiele osób, przez lata był i niestety często nadal jest po prostu bagatelizowany. Tymczasem najnowsze raporty dotyczące skali cyberzagrożeń, zaawansowanej kampanii dezinformacyjnej oraz seria ataków wymierzona w polskich polityków to donośny sygnał alarmowy, którego dłużej ignorować nie można. Jak wynika z danych Cisco Umbrella, w aż 86% organizacji przynajmniej jeden użytkownik próbował połączyć się z witryną phishingową, prawdopodobnie poprzez kliknięcie w link znajdujący się w wiadomości. Co to oznacza w praktyce? Mniej więcej tyle, że praktycznie w każdej firmie i organizacji w Polsce przynajmniej jeden pracownik był obiektem cyberataku. A jeśli do tego zostawienia dodamy także przedstawicieli administracji rządowej, posłów, senatorów i ministrów – dostaniemy dość wierny obraz skali całego zjawiska. Brzmi dość groźnie? To dopiero początek…
Phishing na co dzień
Fakt, że w 2020 niemal w każdej organizacji, firmie i instytucji przynajmniej jeden użytkownik próbował połączyć się z witryną phishingową (metoda wyłudzania danych), prawdopodobnie poprzez kliknięcie w link znajdujący się w wiadomości – to jedynie wierzchołek góry lodowej. Warto zwrócić uwagę, że w pozostałych kategoriach świadomość użytkowników również nie była zbyt wysoka.
- W 70 procent organizacji znaleźli się użytkownicy, którym prezentowano złośliwe reklamy w przeglądarce.
- 51 procent firm spotkało się z aktywnością związaną z ransomware.
- 48 procent organizacji wykryło złośliwe oprogramowanie wykradające informacje.
Z informacji potwierdzonej przez kierownika zespołu CERT Polska, CSIRT NASK – badającego przypadki włamań w domenie publicznej – wynika, że od końca listopada 2020 roku przypadków przejęć kont należących do polityków dochodziło przynajmniej kilkanaście razy. Do czego wykorzystywane były pozyskane w ten sposób dane oraz same przejęte konta? Możliwości jest całkiem sporo. mogą być wykorzystywane do udostępniania fałszywych informacji związanych z relacjami Polski z sojusznikami w NATO, a także informacji o charakterze społeczno-obyczajowym, wzbudzających kontrowersje i polaryzujących opinie.
Nie jest też żadną tajemnicą, że serię cyberataków o charakterze dezinformacyjnym obserwujemy regularnie w zasadzie co najmniej od 2016 roku, natomiast eskalację tego typu działań związaną już bezpośrednio z przejmowaniem kont pocztowych oraz profili z mediów społecznościowych zaczęto odnotowywać właśnie od końca listopada 2020 roku.
Cel: chaos i eskalacja napięć
Jaki jest cel tych działań? To dość oczywiste. Chodzi o wywoływanie chaosu i podburzanie opinii publicznej. Eskalowanie napięć i podziałów w społeczeństwie, a przede wszystkim kampanie mające na celu ośmieszać Polskę na arenie międzynarodowej i obniżać jej znaczenie w kontekście geopolitycznym.
Dość spektakularnym przykładem zakrojonej na szeroką skalę kampanii dezinformacyjnej był cyberatak na mailowe i Twitterowe konto szefa KPRM Michała Dworczyka. W toku całej operacji ujawniano informacje wpisujące się w trzy kategorie:
– informacje fałszywe,
– informacje częściowo prawdziwe, ale zmanipulowane
– informacje prawdziwe (dla uwiarygodnienia autentyczności przekazu dwóch powyższych kategorii).
Atakującym chodzi głównie o to, żeby temat cały czas „żył” w mediach i był podtrzymywany przez opinię publiczną możliwie jak najdłużej. W tym celu posłużono się mechanizmem działania wywodzącym się bezpośrednio z doktryny wojskowej. W celu zrozumienia realnej skali zagrożenia, warto zwrócić uwagę na związek przyczynowo-skutkowy pomiędzy serią cyberataków wymierzonych przeciwko Polsce, polskim instytucjom, urzędnikom, a także kampanii dezinformacyjnej wymierzonej już bezpośrednio we wszystkich obywateli Rzeczypospolitej.
Operacja przeciwko Polsce
Podczas spotkania w Kancelarii Prezesa Rady Ministrów poświęconego kulisom cyberataków przeciwko Polsce (w tym przejęcia skrzynki ministra Dworczyka) Kamil Basaj – prezes Fundacji INFO OPS Polska, kierujący pracami zespołów ds. reagowania na incydenty w środowisku informacyjnym, odpowiedzialny m.in. za pracę zespołów obługujących typu incydentów w ramach Rządowego Centrum Bezpieczeństwa – zwraca uwagę na konkretny model ataku.
Operacja informacyjna prowadzona przeciwko Polsce prowadzona jest na przestrzeni ostatnich lat w oparciu o następujący schemat:
1. Faza pierwsza – rozpoznanie: pasywne lub aktywne
2. Faza druga – targeting, socjotechnika, tworzenie planu operacyjnego
3. Faza trzecia – oddziaływanie, kompromitacja, skryta kontrola (oddziaływanie niepubliczne dość często polega na podszywaniu się pod inne osoby, ale wykorzystuje też model rozpowszechniania złośliwego oprogramowania, phishingu i malware).
4. Faza czwarta – analiza, korekta pierwotnego planu i jego założeń
5. Faza piąta – kulminacja: publikacja, inspiracja pozoracji, stymulacja medialna, oddziaływania niepubliczne, presja, szantaż, werbunek, mistyfikacja, kontrola dyskursu itp.
W kontekście przywołanego mechanizmu warto zwrócić uwagę na fakt, że cały model planowania i przeprowadzenia operacji informatycznej jest dość perfidny. Wywodzi się w prostej linii z procesów poznawczych człowieka i dogłębnej analizy behawioralnej, dzięki czemu agresor, określany w kontekście tego typu działań w cyberprzestrzeni mianem aktora, jest w stanie niezwykle precyzyjnie ustalić, do kogo należy skierować konkretny element ataku i jak go ewentualnie zmodyfikować, aby zwiększyć skuteczność.
W tym celu wykorzystywana jest właśnie wstępna komunikacja sondująca. Pozornie nieistotne incydenty (na przykład publikacja jakiejś informacji na koncie w mediach społecznościowych). Taki ruch ma na celu sprawdzenie, w jaki sposób na wpis zareaguje opinia publiczna i precyzyjne określenie, które grupy społeczne reagują w określony sposób na poszczególne informacje.
Przeważnie w kampaniach dezinformacyjnych, wpisujących się w schemat wojny informacyjnej przeciwko Polsce wykorzystywano treści, które łatwo polaryzowały społeczeństwo. Sięgano także po treści obyczajowe, treści godzące w relacje z krajami sąsiedzkimi oraz treści godzące w powagę instytucji państwa.
Tropy prowadzą na Wschód
Oczywiście prowadzenie tego typu działalności zostawia za sobą pewne ślady. Należy pamiętać, że treści publikowane w internecie można eksportować do formy pliku tekstowego i w tej postaci poddawać zebrane dane wnikliwej analizie. Można układać wszystkie treści chronologicznie opracowując związki przyczynowo-skutkowe, a także przeglądać jedynie poszczególne fragmenty większej dyskusji.
W ten właśnie sposób niezwykle łatwo jest wyodrębnić konkretne grupy i ośrodki medialne podatne na poszczególne komunikaty i publikowane w internecie treści. Z tej wiedzy korzysta agresor, jednak działa to także w drugą stronę. Analiza wymierzonych przeciwko Polsce kampanii dezinformacyjnych pozwala służbom ustalić, dokąd prowadzą tropy.
W tym miejscu warto zwrócić uwagę, że działania dezinformacyjne zostały znacząco zintensyfikowane w roku 2016. Internet zalała wówczas fala fake newsów na temat rzekomego powiązania Polski z programem PRISM (pozwalającego na inwigilowanie użytkowników). Opublikowano wówczas nawet sfabrykowaną ankietę dla potencjalnych ochotników zgłaszających się do służby PRISM. W kolejnym etapie dochodziło do publikacji rzekomych logów z PRISM dotyczących internautów z Polski. W rzeczywistości były to wcześniej wykradzione dane z botnetu, choć próbowano przedstawiać je jako ujawnione dane o obywatelach Rzeczypospolitej pozyskane w ramach rzekomego uczestnictwa Polski w programie PRISM. Dlaczego publikacje na ten temat masowo zalewały internet właśnie w 2016 roku? Tu eksperci ds. cyberbezpieczeństwa nie mają żadnych wątpliwości. W roku 2016 w Warszawie odbywał się szczyt NATO i ktoś postanowił skorzystać z okazji, żeby Polsce poważnie zaszkodzić.
Jaki był cel ataku? Są dwie płaszczyzny. Jedna wydaje się dość oczywista – chodzi o zademonstrowanie potencjału – czyli mówiąc kolokwialnie prężenie muskułów. Innym aspektem tej części ataku jest sposób, w jaki pozyskaną informację wykorzystuje się do celów dezinformacji.
Druga płaszczyzna wydaje się mniej oczywista, ale rzuca nieco więcej światła na realnych inicjatorów stojących za kampanią dezinformacji przeciwko Polsce. Analitycy zgodnie przyznają, że analiza kilku tysięcy maili lub wpisów z mediów społecznościowych w obcym języku pod kątem, treści, tego, do czego ta treść może się przydać– wymaga dużej grupy analityków. Przykładowo analiza jednego dokumentu to praca dla kilku osób na kilka tygodni, a niekiedy nawet miesięcy. Oczywiście można to zrobić znacznie szybciej, ale przyspieszenie tego procesu oznacza, że stojący za całą akcją aktor posiada w swoich zasobach wystarczające zasoby ludzkie i finansowe, żeby tego typu operację prowadzić. Nie mówimy wówczas o tzw. aktorze prywatnym, lecz o sieciach powiązań z państwem dysponującym zasobami i infrastrukturą umożliwiającą prowadzenie tego typu zakrojonych na szeroką skalę operacji cybernetycznych.
„Ustalenia ABW i SKW dowodzą, że Polska jest stałym celem prowadzonej przez Rosję agresji informacyjnej. To ważne tło oceny wydarzeń dotyczących cyberbezpieczeństwa w Polsce” – ostrzega rzecznik prasowy ministra koordynatora służb specjalnych Stanisław Żaryn.
Białoruski pośrednik
Skąd wiadomo, że tropy prowadzą do Rosji? Polskie służby specjalne na przestrzeni ostatnich miesięcy odnotowują wzmożone działania w cyberprzestrzeni wymierzone w Polsce. Analiza samych ataków oraz towarzyszący im modus operandi nie pozostawia złudzeń, że w tego typu działania zaangażowane są podmioty realizujące kolejne założenia rosyjskiej strategii wojny hybrydowej przeciwko Polsce.
Jeśli weźmiemy pod uwagę całą koincydencję zdarzeń oraz zastosowane w cyberatakach modele i metody i zestawimy je z celami, które przy użyciu tych metod miały zostać osiągnięte, uzyskamy uzasadnione podejrzenie graniczące z pewnością, że cała operacja jest stymulowana, kontrolowana i zarządzana przez organizacje działające na rzecz Federacji Rosyjskiej. Dlaczego jedynie podejrzenie, a nie stuprocentową pewność? Na tym właśnie polega cyberwojna. Nawet, gdy wszystkie dowody wskazują na Rosję, Kreml – co obserwowaliśmy już niejednokrotnie – zapewnia o swojej niewinności. Jednak polskie służby specjalne nie mają już w tej kwestii żadnych wątpliwości.
„Kreml prowadzi operacje dezinformacyjne, wykorzystuje wrogą propagandę, sięga po agresywne narzędzia cybernetyczne, by szkodzić Polsce i atakować Zachód” – wyjaśnia rzecznik ministra koordynatora służb specjalnych.
Biorąc pod uwagę włączenie do całej operacji także strony białoruskiej, trudno nie odnieść wrażenia, że Rosja używa Białorusi głównie jako pośrednika. Jest to instrument znacznie tańszy i ma jeszcze jedną zaletę – nie obciąża relacji Rosji z innymi podmiotami zagranicznymi, a przynajmniej nie oficjalnie.
dr Piotr Łuczuk
Medioznawca, ekspert ds. cyberbezpieczeństwa. Adiunkt w Katedrze Komunikacji Społecznej, Public Relations i Nowych Mediów Uniwersytetu Kardynała Stefana Wyszyńskiego w Warszawie. Redaktor naczelny serwisu FilaryBiznesu.pl. Ekspert Instytutu Staszica.
Foto: pixabay.com