Co agresja Rosji w Ukrainie zmienia na gruncie cyberbezpieczeństwa?

Rosja posiada znakomitych inżynierów, w tym informatyków specjalizujących się w cyberbezpieczeństwie. Zarówno w ochronie, atakach, jak i inżynierii wstecznej oprogramowania oraz urządzeń IT. Najlepsi zachodni analitycy oficjalnie przyznają, że niektóre znajdowane dowody ataków świadczą o bardzo zaawansowanych technologiach, nigdy wcześniej niespotykanych. Dlatego nie wiadomo dokładnie dlaczego cyberprzestrzeń nie była do tej pory istotnym frontem inwazji Rosji na Ukrainę. Jedna z hipotez opiera się na założeniu, że Rosja chciała, aby inwazja była postrzegana jako operacja specjalna, a nie konwencjonalna i pełnoskalowa ofensywa wojskowa - pisze w komentarzu dla Interii Krzysztof Dyki, ekspert ds. cyberbezpieczeństwa, prezes zarządu ComCERT (Grupa Asseco).

Polska - jako jeden z największych sojuszników Ukrainy - jest w gronie państw szczególnie narażonych na cyberataki ze strony Rosji. Ryzyko jest o tyle duże, że udowodnienie sprawstwa profesjonalnego cyberataku często jest niemożliwe. Rosja może wykorzystać cyberataki, aby destabilizować i osłabiać gospodarki wrogich sobie państw, ponieważ nawet potężny i skuteczny atak na członka NATO - zakładając brak możliwości udowodnienia winy Rosji - może pozostać bezkarny, właśnie z powodu braku formalnego sprawcy.

Rosyjski potencjał ofensywny w cyberprzestrzeni najlepiej obrazuje wieloletnia bezsilność rządu USA oraz największych prywatnych firm technologicznych. Padają one ofiarą sprawców, którzy najczęściej nie są nawet identyfikowani, nie wspominając już o pociągnięciu do odpowiedzialności. Bank of America posiada nielimitowany budżet na cyberbezpieczeństwo. Niektóre wiodące korporacje technologiczne IT przeznaczają rocznie ponad 1 miliard dolarów na samo cyberbezpieczeństwo. W tym świetle Polska jest jeszcze łatwiejszym celem do ataków. Nie oznacza to, że jesteśmy bezbronni, ale na pewno znaczniej słabsi od USA.

W przypadku profesjonalnego i skutecznego ataku klasy APT na polską infrastrukturę krytyczną należy zwrócić uwagę na fakt, że w całej Unii Europejskiej nie ma ani jednego organu upoważnionego i zdolnego do natychmiastowego reagowania i profesjonalnego wsparcia w przypadku wystąpienia takiego incydentu. Każdy operator infrastruktury krytycznej musi liczyć na własne zespoły oraz systemy cyberbezpieczeństwa. Zarówno w Unii Europejskiej, jak i NATO, nie ma praktyki profesjonalnej i natychmiastowej wzajemnej pomocy w przypadku wystąpienia poważnych i profesjonalnych zagrożeń. Również USA - mające problemy z ochroną własnej cyberprzestrzeni - nie będzie w stanie efektywnie wspierać swoich sojuszników. A APT (Advanced Persistent Threat czyli zaawansowane trwałe zagrożenie) to ataki przeprowadzane na zlecenie państw, których celem jest uzyskanie dostępu do sieci. W tym przypadku cyberprzestępcy mogą wykorzystywać phishing i exploity w aplikacjach publicznych i atakować strategiczną infrastrukturę.

Według informacji pochodzących od producentów systemów cyberbezpieczeństwa zorganizowane grupy, takie jak APT29 ("Fancy Bear") i APT28 ("Cozy Bear") włamują się do ukraińskich sieci próbując zakłócić, a nawet zniszczyć, systemy podatne na zagrożenia. Niektóre z atakujących grup posądzane są o współpracę z rosyjskimi instytucjami rządowymi.

Organizacje takie jak CrowdStrike, SentinelOne, czy Trustwave przedstawiły ataki i próbki złośliwego oprogramowania, które powiązano z grupami hakerskimi wspieranymi przez Rosję. Ataki obejmowały różne narzędzia do wymazywania i szyfrowania danych, ataki DDoS i wielowarstwowe operacje, które zakłóciły między innymi działanie dostawców internetu. Celem tych ataków jest zakłócenie, zniszczenie albo przejęcie kontroli nad atakowanymi systemami.

Najniebezpieczniejszą kategorię zagrożeń stanowią ataki infiltracyjne, które - w odróżnieniu od tradycyjnych zagrożeń infekcyjnych - potrafią skutecznie przenikać do atakowanej infrastruktury i pozostawać w niej przez długi okres w uśpieniu, czekając na zdalne polecenia od atakującego. Ataki infiltracyjne rzadko wykrywane są bezpośrednio. Częściej są wykrywane w wyniku czynności informatyki śledczej lub analizy powłamaniowej, ale dotyczącej innego, zupełnie odrębnego zagrożenia. W takiej sytuacji ofiara korzystająca z usług ekspertów dowiaduje się, że oprócz znalezienia przyczyny głównego problemu odkryto również zupełnie inne zagrożenie, które pozostawało uśpione i nie wyrządzało żadnych szkód w systemie.

Wśród analityków trwa spór co do modelu działań Rosji w cyberprzestrzeni. Część analityków spekuluje, że rosyjskie służby specjalne do cyberataków wykorzystują grupy przestępcze. Inni twierdzą, że ataki przeprowadzane są wyłącznie własnymi siłami rosyjskich służb specjalnych. Bez względu na to kto ma rację, należy uznać, że w kategorii potencjału do cyberataków Rosja należy do cyber-mocarstw, obok USA, Izraela i Chin.

Z uwagi na cyber-potencjał Rosji największe obawy stanowi ryzyko infekcji i infiltracji infrastruktury krytycznej (telekomunikacyjnej i energetycznej), które mogło się zmaterializować jeszcze przed oficjalnym rozpoczęciem ataku na Ukrainę. Koszt i czas profesjonalnej analizy bezpieczeństwa infrastruktury krytycznej występującej w całym kraju jest zbyt duży, aby można było przeprowadzić taką operację w rozsądnym czasie i kosztach. Dodatkowym problem jest zbyt mała liczba ekspertów potrafiących realizować takie usługi - problem ten dotyka każdego kraju, na czele z USA.

Autor: Krzysztof Dyki, ekspert ds. cyberbezpieczeństwa, prezes zarządu ComCERT