Niedawna awaria oprogramowania antywirusowego marki CrowdStrike doprowadziła do globalnego paraliżu lotnisk oraz międzynarodowych przedsiębiorstw. Według szacunków telewizji CNN całkowita liczba urządzeń, które ucierpiały w wyniku wadliwej aktualizacji, przekroczyła 8,5 miliona egzemplarzy. Opisywany przypadek przejdzie do historii jako jedna z największych światowych awarii IT, a więc pytania o jego genezę oraz ewentualne następstwa wydają się jak najbardziej uzasadnione.
Część obaw, które pojawiły się w przestrzeni publicznej jeszcze w trakcie całego wydarzenia, wiązała zakłócenia w dostawie usług amerykańskiej firmy z działaniami dywersyfikacyjnymi obcego wywiadu.
W niniejszej publikacji nie będę rozstrzygał o rzeczywistych przyczynach problemów CrowdStrike’a (nie chcę również powielać nieweryfikowalnych teorii spiskowych, których jest w sieci mnóstwo) i skupię się na samej zasadności obaw o bezpieczeństwo w cyberprzestrzeni.
W sieci nie istnieje czas pokoju
Zanim przejdę do konkretnych przykładów działań militarnych prowadzonych przy użyciu zasobów internetowych, chciałbym wprowadzić do tekstu możliwie najbardziej klarowną definicję terminu „cyberwojna”.
Wojna jest bowiem stanem prawnym, który przyznaje określone kompetencje poszczególnym urzędom oraz przedstawicielom służb mundurowych. Wyznaczenie konkretnych ram znaczeniowych, w obrębie których będę korzystał z terminu „cyberwojna”, jest więc konieczne do prawidłowego zrozumienia tego zjawiska.
Nakreślenie takowych granic nie będzie jednak proste, ponieważ większość międzynarodowych instytucji podkreśla płynne znaczenie charakteryzowanego terminu. Biuro Analiz Parlamentu Europejskiego jednoznacznie sugeruje, że działania operacyjne prowadzone w sieci wymykają się klasycznym regulacjom dotyczącym operacji militarnych.
Na stronie Organizacji Narodów Zjednoczonych również znalazłem wiele odniesień do braku uniwersalnej definicji, choć wśród teoretycznych rozważań umieszczono także potencjalne ramy znaczeniowe cyberwojny.
“Cyberwojna jest używana do opisania działań cybernetycznych, które zagrażają i zakłócają działanie systemów infrastruktury krytycznej, co jest równoznaczne z atakiem zbrojnym. Atak zbrojny celowo powoduje destrukcyjne skutki (tj. śmierć i/lub obrażenia fizyczne żywych istot i/lub zniszczenie mienia). W cyberwojnę mogą angażować się wyłącznie rządy, organy państwowe, osoby lub grupy kierowane lub sponsorowane przez państwo”.
Gen. dyw. Karol Molenda przyznał w rozmowie z generałem Rajmundem T. Andrzejczakiem i Sławomirem Dębskim, że nawet NATO miało problem z wypracowaniem jednoznacznej definicji tego zjawiska.
Organizacja wskazała jednak, że działania militarne przeprowadzane w cyberprzestrzeni należy rozumieć jako domenę operacyjną, co wymusza traktowanie tej płaszczyzny na równi z operacjami morskimi, lądowymi oraz powietrznymi. NATO wprowadziło także rozróżnienie na 3 podstawowe grupy działań, które charakteryzują opisywane zjawisko, a są to:
- działania obronne (monitorowanie systemów wewnętrznych państwa),
- działania rozpoznawcze (odczytywanie zamiarów, umiejętności oraz zasobów przeciwnika),
- działania ofensywne (celowa destabilizacja infrastruktury przeciwnika).
Gen. dyw. Karol Molenda, w trakcie wspomnianej wcześniej rozmowy (całość nagrania opublikowano na Kanale Zero), zaznaczył, że określenie jasnego podziału na czas wojny i czas pokoju jest niemożliwe w przypadku konfliktów sieciowych. Część takich operacji jest bowiem zoptymalizowana w taki sposób, by wymykać się definicjom zaproponowanym przez instytucje pokroju NATO czy ONZ.
Najsłynniejsze cyberataki w historii oraz ich klasyfikacja
Imperva, czyli amerykańska organizacja zajmująca się cyberbezpieczeństwem, wyznaczyła 7 głównych typów ataku sieciowego. W zaproponowanej klasyfikacji znalazły się następujące zagrożenia:
- szpiegostwo (monitorowanie innych krajów w celu kradzieży poufnych danych oraz strzeżonych informacji, tego typu działania często przeprowadzane są techniką spear phishing),
- sabotaż (wrogie podmioty mogą wykorzystywać w tym celu zagrożenia wewnętrzne i brak integralności systemów bezpieczeństwa),
- ataki DoS (ataki DoS uniemożliwiają legalnym użytkownikom dostęp do domeny internetowej poprzez zalewanie jej fałszywymi żądaniami i zmuszanie strony internetowej do obsługi tych żądań),
- ataki na sieć elektroenergetyczną (atak mający na celu wyłączenie krytycznych systemów i zakłócenie infrastruktury, tego typu działania mogą również uniemożliwić korzystanie z takich narzędzi jak sieć telekomunikacyjna),
- destabilizacja przez propagandę (szerszenie fałszywych informacji przy użyciu mediów społecznościowych oraz serwisów rozpowszechniających fake newsy),
- zakłócenia gospodarcze (zakłócenie procesów gospodarczych i ekonomicznych w kraju wroga poprzez naruszenie kluczowej dla nich infrastruktury komputerowej),
- atak z zaskoczenia (zmasowane operacje, które zazwyczaj są częścią tzw. wojny hybrydowej, obejmującej zarówno działania cybernetyczne, jak i kinetyczne).
Do najsłynniejszych cyberataków w historii należy m.in. amerykańsko-izraelska operacja, przeprowadzona z użyciem wirusa Stuxnet. Złośliwe oprogramowanie było robakiem działającym w systemie Windows, a jego celem stał się sabotaż irańskiego programu nuklearnego. Wśród najgłośniejszych cyberataków opisanych przez organizację Imperva znalazły się następujące operacje:
- atak na Sony Pictures, który nastąpił po premierze filmu „The Interview” (będącego satyryczną komedią, portretującą w negatywny sposób Kim Dzong Una). Operacje przypisuje się hakerom z Korei Północnej, ponieważ FBI znalazło szereg podobieństw do poprzednich ataków złośliwego oprogramowania przeprowadzanych przez specjalistów z tego kraju (w tym kod, algorytmy szyfrowania i mechanizmy usuwania danych),
- atak destabilizujący Estonię, który nastąpił w 2007 roku – zaraz po tym, jak władze państwa przeniosły pomnik związany ze Związkiem Radzieckim z centrum swojej stolicy Tallina na cmentarz wojskowy w pobliżu miasta. Estońskie strony rządowe, media i banki zostały przeciążone ruchem w wyniku masowych ataków typu DoS i w konsekwencji przestały działać,
- sytuacja z Elliottem Broidy’m (amerykański republikański fundraiser), który w 2018 roku pozwał rząd Kataru, oskarżając go o działania szpiegowskie, których celem miał być on oraz inni wysokiej rangi urzędnicy. Katarczycy rzekomo postrzegali go jako przeszkodę w poprawie ich pozycji w Waszyngtonie. Zgodnie z pozwem, brat katarskiego emira miał zaaranżować kampanię cyberataków, której celem było 1200 osób.
Rosyjskie cyberataki
Inwazja rosyjskich wojsk na Ukrainę była poprzedzona serią cyberataków, których intensywność oraz złożoność z czasem malały. Jak pisze Agnieszka Warchol z Uniwersytetu Pedagogicznego w Krakowie: “[…] cyberatak nie jest decydującą metodą uzyskania przewagi w rosyjsko-ukraińskim konflikcie zbrojnym”. Działania w sieci uzupełniają klasyczne ataki konwencjonalne i często je wyprzedzają, jednak nie zastąpiły kinetycznych operacji militarnych.
Mimo to, cyberataki stały się powszechnie używaną przez Rosję metodą pozyskiwania informacji o wrogich jednostkach. Według raportu udostępnionego przez firmę Microsoft, nasz wschodni sąsiad już w 2021 roku stał się celem operacji, których głównym założeniem było pozyskanie informacji na temat ukraińskiego partnerstwa wojskowego i politycznego.
W tym samym okresie doszło do intensyfikacji kampanii phishingowych oraz alternatywnych metod destabilizacji bezpieczeństwa przy użyciu narzędzi sieciowych (takich jak np. wipery, czyli złośliwe oprogramowanie, którego celem jest zniszczenie danych przechowywanych na serwerze).
Rosjanie wykorzystywali także ataki hybrydowe, w których działania hakerów miały charakter wyprzedzający i – jak pisze A. Warchoł – pojawiały się przed uderzeniem konwencjonalnym, niejako zapowiadając zaostrzenie konfliktu zbrojnego.
Przykładem takiej operacji jest częściowa neutralizacja sieci satelitarnej KA-SAT, która nastąpiła około godzinę przed przekroczeniem granicy Ukrainy przez rosyjskie wojska. Rezultatem ataku były zakłócenia w komunikacji ukraińskich instytucji publicznych, firm komercyjnych oraz obywateli, co miało kluczowe znaczenie dla przebiegu pierwszych kilku godzin konfliktu.
Dezinformacja w cyberprzestrzeni
Przytoczona przeze mnie wcześniej klasyfikacja Impervy uwzględnia, charakterystyczne dla rosyjskiego wojska, działania dezinformacyjne. Polegają one na rozpowszechnianiu fałszywych danych, wiadomości i informacji przy użyciu fake’owych kont w social mediach, skrzynek mailowych, a także samodzielnych serwisów internetowych.
Dr. Jarosław Greser (ekspert specjalizujący się w regulacjach prawnych dotyczących m.in. technologii medycznych, Internetu Rzeczy oraz cyberbezpieczeństwa) w rozmowie z Narodowym Instytutem Cyberbezpieczeństwa przytoczył dwa kluczowe czynniki, które ugruntowały współczesne spojrzenie na rolę kontroli nastrojów społecznych w trakcie operacji wojennych.
Pierwszym z nich jest paradoks socjologiczny, zaobserwowany w drugiej połowie XX wieku podczas konfliktu zbrojnego w Wietnamie. Amerykańscy żołnierze, którzy wracali wówczas po wojnie do swojego ojczystego kraju, spotykali się często z ostracyzmem społecznym oraz odrzuceniem ze strony obywateli protestujących przeciwko kontynuacji działań zbrojnych na terenie Azji.
Przedstawiciele służb mundurowych doznawali więc pewnego dysonansu między swoimi oczekiwaniami dotyczącymi powitania przez współobywateli (które ugruntowane były w opowieściach poprzednich pokoleń żołnierzy, traktowanych w Stanach z dużym szacunkiem) a rzeczywistością. Przypadek wojny w Wietnamie jednoznacznie wskazał na ogromne znaczenie nastrojów społecznych w procesie finansowania i prowadzenia konfliktów zbrojnych.
Drugim czynnikiem wspomnianym przez Gesera jest skandal polityczny z Cambridge Analytica w roli głównej. Afera związana z brytyjską firmą konsultingową stała się koronnym przykładem możliwości jakie daje tzw. mikrotargetowanie (wpływanie na nastroje – w tym przypadku nastroje polityczne, które pomogły D. Trumpowi wygrać wyścig o urząd prezydencki – poszczególnych użytkowników poprzez manipulowanie treściami jakie do nich docierają). Paradoks wojny w Wietnamie oraz Cambridge Analytica stoją więc u podstaw współczesnych działań dezinformacyjnych.
Rosyjskie kampanie dezinformacyjne w polskim internecie
Od czasu inwazji rosyjskich wojsk na Ukrainę Polska stała się jednym z głównych celów cyberataków prowadzonych przez wschodnie grupy hakerów. Pod koniec lipca zatrzymano trzy osoby biorące udział w operacjach typu DoS, wymierzonych m.in. w polskie instytucje państwowe, administrację oraz banki.
Hakerzy należeli do grupy NoName057(16), czyli prorosyjskiej organizacji hakerskiej. Tego typu działania stanowią jednak tylko część szkodliwych operacji przeprowadzanych w polskiej strefie internetowej, a równie dużym problemem są nasilające się kampanie dezinformacyjne.
W 2023 roku krakowskie Zeszyty Prasoznawcze opublikowały artykuł o fake newsach na temat wojny w Ukrainie, które przeanalizowane zostały w ramach projektu „Zgłoś trolla”. Wśród danych opracowanych przez autorów znalazło się prawie 20 tysięcy zgłoszeń, które napłynęły do serwisu zglostrolla.pl w zaledwie jeden miesiąc. Przedmiotem zadań były raporty z:
- Facebooka (11 054 zgłoszeń),
- X’a (4808 zgłoszeń),
- Instagrama (835 zgłoszeń),
- YouTube’a (321 zgłoszeń),
- Tik Toka (68 zgłoszeń),
- innych stron internetowych (2719 zgłoszeń).
Analiza pozwoliła klasyfikację treści publikowanych przez internetowych trolli oraz scharakteryzowanie informacji rozpowszechnianych przez nich w social mediach. Kategorie wszystkich zgłoszeń, wraz z dokładną ilością zaklasyfikowanych do nich materiałów, prezentują się następująco:
- posty szerzące antyukraińskie poglądy (10 338),
- posty o prorosyjskich poglądach (6690),
- posty o nacjonalistycznych poglądach (4139),
- zgłoszenia, które odrzucono w trakcie analizy (5068),
- monitoring kont, które usunęły treści dezinformacyjne (341),
- dezinformacja powiązana ze szczepieniami (701).
Dominującą pozycję zdobyły treści powiązane z hasłami o rzekomej ukrainizacji Polski. Autorzy badania (M. Kowalska-Chrzanowska, P. Krysiński) dostrzegli, że najczęściej powtarzającymi się fałszywymi informacji w tego typu postach były fake newsy o: planowaniu regulacji cen benzyny, wysiedlaniu Polaków, konfiskacie mienia Polaków czy specjalnym katalogu świadczeń socjalnych i zdrowotnych dla obywateli Ukrainy.
Równie często powielane były fake newsy o charakterze prorosyjskim, które wskazywały na zasadność putinowskiej inwazji oraz rzekomą faszyzację Ukrainy. Wśród rozpowszechnianych w tej kategorii informacji znalazły się także wiadomości sugerujące obecność laboratoriów z bronią biologiczną na terytorium naszego wschodniego sąsiada.
Do najbardziej absurdalnych fake newsów zaliczyłbym jednak posty dotyczące stworzenia na terenie Ukrainy tzw. Niebieskiej Jerozolimy, czyli azylu dla narodu żydowskiego na wypadek wybuchu wojny z krajami arabskimi.
Wszystkim zainteresowanym tym tematem polecam zarówno bliższe zapoznanie się z przytoczonymi przeze mnie analizami, jak i samodzielne monitorowanie portalu Demagog.pl, którego pracownicy regularnie rozprawiają się z fałszywymi informacjami na temat wojny w Ukrainie.
Niedawne cyberataki cybernetyczne
Wojna informacyjna jest integralnym elementem współczesnych konfliktów militarnych, jednak klasyczne cyberataki nadal pozostają powszechnymi narzędziami w arsenałach państw. Serwisy pokroju Fortinet oraz CSIS regularnie monitorują sieć w poszukiwaniu operacji przeprowadzanych przy użyciu złośliwego oprogramowania oraz zawirusowanych systemów.
W niniejszej publikacji przytoczyłem już kilka najsłynniejszych cyberataków w historii, jednak ich chronologia może sugerować, że tego typu operacje nie są prowadzone w czasie rzeczywistym. Tak oczywiście nie jest, czemu dowodzą dane zgromadzone przez wspomniane wyżej portale.
- Czerwiec 2024: Białoruscy hakerzy sponsorowani przez państwo rozpoczęli kampanię szpiegowską Ministerstwa Obrony Ukrainy i ukraińskiej bazy wojskowej. Atakujący wysłali do celów phishingowe wiadomości e-mail z plikami obrazów dronów i złośliwym arkuszem kalkulacyjnym Microsoft Excel.
- Czerwiec 2024: Główna niemiecka partia opozycyjna, Unia Chrześcijańsko-Demokratyczna, padła ofiarą cyberataku tuż przed wyborami do Parlamentu Europejskiego. Niemieckie ministerstwo spraw wewnętrznych nie ujawniło zakresu ataku ani podejrzanego sprawcy, ale przyznało, że był on „poważny”. Atak nastąpił krótko po tym, jak niemiecka partia socjaldemokratyczna została zaatakowana przez rosyjskich hakerów. W ramach środków ostrożności partia na krótko wyłączyła część swoich usług informatycznych.
- Maj 2024: Chińscy hakerzy uderzyli w brytyjskie Ministerstwo Obrony cyberatakiem, który ujawnił poufne informacje na temat każdego oddziału poza brytyjskimi siłami specjalnymi. Atakujący zaatakowali zewnętrznego wykonawcę, aby uzyskać dostęp do nazwisk i danych bankowych obecnych i byłych członków sił zbrojnych. Brytyjski minister obrony powstrzymał się od publicznego wskazania Chin jako winowajcy.
- Kwiecień 2024: Ukraińska agencja wywiadu wojskowego przeprowadza cyberatak na rządzącą w Rosji partię Jedna Rosja w tym samym dniu, w którym Rosja zorganizowała Dyktando Zwycięstwa. Atakujący przeprowadzili serię ataków DDoS na serwery, strony internetowe i domeny Jednej Rosji, aby uniemożliwić do nich dostęp. Jedna Rosja publicznie przyznała, że padła ofiarą „zmasowanego” ataku DDoS.
To zaledwie ułamek informacji zgromadzonych przez Fortinet oraz CSIS, a pełna lista Istotnych Incydentów w Cyberprzestrzeni (Significant Cyber Incidents) autorstwa drugiego z wspomnianych serwisów ma ponad 90 stron (spis obejmuje wszystkie zdarzenia od 2006 roku).
Cyberhigiena, czyli twoja rola w cyberwojnie
Działania przeprowadzane w przestrzeni internetowej nie mają klarownych granic, a więc ich ofiarami (a często również celami) stają się zwykli użytkownicy. Świadomość tego mechanizmu jest szczególnie istotna w przypadku kampanii dezinformacyjnych, których skuteczność zależy od zaangażowania odbiorców fałszywych treści w ich komentowanie oraz rozpowszechnianie.
Przeglądając materiały dotyczące cyberbezpieczeństwa udało mi się wypracować mały poradnik, którego treść oparłem na zaleceniach różnych specjalistów (m.in. popularnego na YouTube Mateusza Chroboka oraz dr Jarosława Gresera).
- Regularnie aktualizuj należące do ciebie urządzenia (hakerzy wykorzystują luki w zabezpieczeniach, o których informacje są częścią każdych patch note’ów, zachowanie regularności jest więc w tym przypadku niezwykle ważne).
- Jeśli zobaczysz transport sprzętu wojskowego, to wstrzymaj się z wykonywaniem zdjęć oraz postowaniem tego w social mediach.
- Wszystkie nietypowe wiadomości sms-owe oraz mailowe zgłaszaj do organizacji CERT Polska (w przypadku sms-ów wystarczy przesłać wiadomość dalej pod numer 8080).
- Weryfikuj wszelkie kontrowersyjne informacje, które wyglądają jak potencjalne fake newsy. Dobrym pomysłem będzie zgłoszenie tego typu informacji do redakcji portalu Demagog.pl lub przeszukanie ich bazy tekstów pod kątem treści, na które właśnie trafiłeś.
Źródła: The Washington Post, QZ, Parlament Europejski, NATO, Imperva, CSIS, Fortinet, Kanał ZERO, Narodowy Instytut Cyberbezpieczeństwo, Zeszyty Prasoznawcze, publikacja Agnieszki Warchoł