Nowa Europa Wschodnia (logo/link)
Moscoviada > Kałasz / 26.05.2024
Andrzej Kozłowski

Rosyjski niedźwiedź atakuje cyberprzestrzeń. Działania mają poważne skutki

Ingerencja w wybory prezydenckie w Stanach Zjednoczonych, odcięcie Ukraińców od energii elektrycznej, masowy atak ransomware – to tylko niektóre z operacji przeprowadzonych przez rosyjskie jednostki wyspecjalizowane w działaniach w cyberprzestrzeni. Uchodzą one za jedne z najlepszych na świecie, a Rosję, obok Chin i Stanów Zjednoczonych, zalicza się do tzw. cybertriady.
Foto tytułowe
(Shutterstock)



Posłuchaj słowa wstępnego trzeciego wydania magazynu online!



Rosja klasyfikuje cyberataki jako część wojny informacyjne. Z perspektywy Moskwy oznacza to konfrontację w sferze informacyjnej, mającą na celu uszkodzenie systemów krytycznej infrastruktury informacyjnej oraz podważanie politycznego, ekonomicznego i społecznego systemu wroga. Działania tego rodzaju mają też manipulować opinią publiczną przeciwnika, prowadząc do destabilizacji państwa i zmuszenia jego władz do podjęcia decyzji korzystnych dla Rosji.
Pobierz magazyn ZA DARMO
Magazyn Nowa Europa Wschodnia Online
jest bezpłatny.

Zachęcamy do wsparcia nas na Patronite


W przeciwieństwie do krajów zachodnich Kreml traktuje cyberataki jako jeden z wielu elementów prowadzonych operacji wpływu, które zostały zdefiniowane w rosyjskiej doktrynie wojskowej jako działania kluczowe dla zwycięstwa w obecnych konfliktach. Rosjanie unikają również sformułowania „cyberprzestrzeń”, zastępując je terminem „przestrzeń informacyjna”.

Rosyjska koncepcja wojny informacyjnej składa się z dwóch głównych komponentów. Pierwszym z nich jest aspekt techniczny, który odzwierciedla zachodni sposób rozumienia cyberprzestrzeni, drugi zaś obejmuje sferę psychologiczną i kognitywną, traktowaną przez państwa zachodnie osobno od operacji w cyberprzestrzeni. Rosjanie swoje działania prowadzą zarówno w czasie pokoju, jak i konfliktów zbrojnych, aby osiągnąć szereg celów – od zakłócenia działania infrastruktury krytycznej po osłabienie jedności społeczeństwa i zwiększanie napięć i podziałów.


Cyberfunkcjonariusze i cyberprzestępcy w Rosji


r Rosja posiada szereg podmiotów zdolnych do przeprowadzania operacji w cyberprzestrzeni. W ramach Federalnej Służby Bezpieczeństwa (FSB) funkcjonuje Centrum Bezpieczeństwa Informacji (Information Security Center) oraz Centrum Wywiadu Elektronicznego w Komunikacji (Center of Electronic Intelligence in Communications). Znaczące jednostki działają również w ramach Służby Wywiadu Zagranicznego Federacji Rosyjskiej (SWZ). Należy do nich grupa APT29, aktywna od 2008 roku i odpowiedzialna za włamanie na serwery amerykańskiej Partii Demokratycznej czy opisany poniżej incydent SolarWinds.

W ramach rosyjskiego sztabu generalnego działają też jednostki związane z Głównym Zarządem Sztabu Generalnego Sił Zbrojnych Federacji Rosyjskiej (GU) oraz 8 Dyrektoriatem. Jedną z nich jest należąca do rosyjskiej cyberelity grupa Sandworm, odpowiedzialna m.in. za ataki na ukraińską energetykę w latach 2015–2016, masową infekcję złośliwym oprogramowaniem czy ingerencję w wybory prezydenckie we Francji i Stanach Zjednoczonych. Co ciekawe, Rosja nie posiada jednak formalnej cyberarmii ani dowództwa ds. operacji w cyberprzestrzeni pomimo tego, że próbowano takie struktury powołać.

Koordynacją działań agencji wywiadowczych w cyberprzestrzeni zajmują się administracja prezydencka i Rada Bezpieczeństwa Federacji Rosyjskiej, a ściślej: zhierarchizowana struktura w stylu wojskowym, jak dzieje się to w przypadku innych operacji specjalnych. W cyberprzestrzeni nie ma też jasnego podziału na zadania realizowane przez instytucje wywiadowcze. Na przykład zdarza się, że FSB czy SVR atakują cele wojskowe, a GU – podmioty prywatne. W rezultacie agencje te często ze sobą rywalizują czy atakują nawet te same cele. Tak było w przypadku włamania się do Komitetu Partii Demokratycznej w USA w 2015 i 2016 roku, kiedy dwa rosyjskie zespoły z SVR i GU rywalizowały ze sobą w sieciach i systemach, praktycznie ze sobą nie współpracując. Wszystkie trzy służy wywiadowcze wraz ze swoimi „cyberzespołami” zaangażowały się w działania przeciw Ukrainie w trakcie rosyjskiej inwazji na pełną skalę rozpoczętej w 24 lutego 2022 r.

Rosja posiada również rozbudowane podziemie cyberprzestępcze, które świadczy wiele nielegalnych usług. Cyberprzestępcy dokonywali również motywowanych finansowo ataków przeciwko zachodnim instytucjom przy cichym przyzwoleniu służb specjalnych. Podobnie jak dzieje się to w przypadku klasycznych przestępców, cyberprzestępcy współpracują blisko z rosyjskim aparatem bezpieczeństwa i nie są niepokojeni przez funkcjonariuszy policji, dopóki działają zgodnie z interesem Kremla.

Warto również zwrócić uwagę na kwestie sektora prywatnego, a w szczególności najbardziej znanej rosyjskiej firmy antywirusowej Kaspersky Lab, której działalność od dawna budziła podejrzenia. Oferowane przez nią oprogramowanie miało posłużyć do wykradzenia informacji należących do National Security Agency (NSA) z komputera jednego z zewnętrznych kontraktorów tej agencji. Nie tylko Kaspersky wspiera rosyjskie służby w działaniach w cyberprzestrzeni. Inne komercyjne podmioty odgrywają podobną rolę, czego przykładem jest firma SyTech, zakontraktowana przez FSB do zbierania informacji na temat użytkowników mediów społecznościowych. Podobne usługi dla SVR świadczyła firma AO Pasit. SyTech była również odpowiedzialna za penetrowanie sieci P2P (są to np. popularne torrenty) czy deanonimizację sieci TOR.

Sektor prywatny odgrywa kluczową rolę, dostarczając technologie i szkoląc funkcjonariuszy trzech agencji wywiadowczych w zakresie cyberbezpieczeństwa. Rosja ma również rozwinięte placówki edukacyjne, które kształcą młodych ludzi w dziedzinie bezpieczeństwa informacyjnego. Ponad 170 uniwersytetów i szkół wyższych uczestniczy w tym procesie, co powoduje, że Rosja posiada znaczną liczbę osób zdolnych do prowadzenia działań w cyberprzestrzeni. Pomimo tego służby rosyjskie, podobnie jak wszystkie tego typu organizacje na całym świecie, cierpią na niedobór kadry. Po inwazji na Ukrainę sytuacja pogorszyła się z powodu ucieczki z kraju wielu wykształconych Rosjan.


Cyberszpiegostwo


Rosja od lat prowadzi wiele różnych operacji cybernetycznych: od zdobywania informacji po ataki na infrastrukturę krytyczną. Cyberprzestrzeń sprzyja przy tym działalności szpiegowskiej. Możliwość uzyskania ogromnych ilości informacji o strategicznym znaczeniu bez wychodzenia z domu i narażania się na złapanie jest bardzo kusząca. Nie inaczej jest w przypadku Rosji, która zawsze była znana z aktywnego i profesjonalnego wywiadu. Pierwsze takie działania Moskwa przeprowadziła już w latach 90. XX wieku. Wówczas, w ramach trwającej trzy lata operacji „Moonlight Maze”, Rosjanom udało się zinfiltrować sieci i systemy Pentagonu, NASA, amerykańskich kontraktorów wojskowych, uniwersytetów. Kreml miał uzyskać dostęp do tajnych kodów marynarki wojennej USA czy informacji o systemie naprowadzania pocisków. Incydent miał być tak poważny, że wszyscy pracownicy Pentagonu zostali zmuszeni do zmiany haseł.

Aktywność służb w cyberprzestrzeni wzrosła wraz z postępującą na całym świecie cyfryzacją. Coraz więcej informacji zapisywano w postaci cyfrowej, ale poziom ich zabezpieczeń wciąż pozostawiał wiele do życzenia. W 2008 roku doszło do incydentu znanego pod nazwą „Buckshot Yankee”. Wtedy za pomocą zainfekowanego pendrive’a rosyjskim hakerom udało się spenetrować sieci Centralnego Dowództwa Stanów Zjednoczonych na Bliskim Wschodzie i uzyskać dostęp do tajnej sieci Pentagonu – SIPRNet. Wykradziono plany uzbrojenia, operacji czy informacje pozyskane z działalności wywiadu radioelektronicznego. Incydent został określony jako najpoważniejsze włamanie do wojskowych sieci w historii Pentagonu.


W 2020 roku doszło do jednego z najpoważniejszych incydentów bezpieczeństwa w Stanach Zjednoczonych. Rosyjscy hakerzy włamali się do infrastruktury firmy SolarWinds produkującej platformę Orion służącą do monitorowania sieci i aplikacji, a następnie, w aktualizacjach oprogramowania, dodali złośliwe komponenty, co z kolei umożliwiło włamanie się do Departamentu Obrony, Bezpieczeństwa Wewnętrznego, Skarbu oraz innych instytucji federalnych. Produkty firmy SolarWinds były używane na całym świecie, co spowodowało, że incydent nie ograniczał się tylko do Stanów Zjednoczonych, a podatne na rosyjską ingerencję stały się państwa na całym świecie.

Rosjanie skoncentrowali się na Stanach Zjednoczonych, jednak ofiar ich działalności w cyberprzestrzeni jest więcej. W 2015 roku niemiecki Urząd Ochrony Konstytucji oficjalnie poinformował, że Rosja stała za udanym atakiem na Bundestag, w wyniku którego wykradziono znaczne ilości informacji, w szczególności z systemów komputerowych rządzącej wtedy partii CDU-CSU. W przeszłości jednym z najważniejszych celów rosyjskiego wywiadu cybernetycznego były firmy z sektora energetycznego. Obecnie działania szpiegowskie skupione są na pozyskiwaniu informacji związanych z wojną w Ukrainie. Zakłada się, że udanych ataków tego rodzaju jest więcej, chociaż prawdziwa skala działań cyberszpiegów służących realizacji interesów rosyjskich na całym świecie jest nieznana.


Kluczowe obiekty na celowniku


Ataki na infrastrukturę krytyczną należą do najbardziej zaawansowanych ataków, które mogą doprowadzić do zniszczeń w świecie materialnym, a nawet śmierci ludzi. Ich przeprowadzenie wymaga specjalistycznej wiedzy z zakresu cyberbezpieczeństwa, ale również wiedzy na temat działania urządzeń przemysłowych. Rosja angażowała się też w taką działalność. Zimą 2015 i 2016 roku jej hakerzy zaatakowali infrastrukturę energetyczną na Ukrainie, pozbawiając czasowo energii elektrycznej mieszkańców obwodu iwanofrankowskiego, a w 2016 roku – Kijowa. W obu przypadkach Ukraińców uratowała stara technologia, która umożliwiała przełączanie się na sterowanie ręczne i zapanowanie nad kryzysem. Analizujący ten incydent eksperci w Stanach Zjednoczonych stwierdzili, że amerykańskie systemy nie posiadają możliwości przełączenia na sterowanie ręczne, dlatego podobny atak byłby zdecydowanie poważniejszy.

Celem innego istotnego ataku na infrastrukturę krytyczną w 2021 roku stała się amerykańska sieć rurociągów paliwowych Colonial Pipeline, co doprowadziło do czasowej przerwy w dostawach surowca. Koncern zdecydował się zapłacić okup w wysokości 5 milionów dolarów, aby odzyskać dostęp do zablokowanych plików. Za atakiem mieli stać rosyjscy cyberprzestępcy, a nie grupy powiązane z wywiadem, ale biorąc pod uwagę bliskie relacje pomiędzy aparatem bezpieczeństwa a przestępczością w Rosji, trudno sobie wyobrazić, żeby Kreml nie wiedział o tym ataku. Ataki na infrastrukturę krytyczną potwierdzają wysokie umiejętności rosyjskich zespołów działania w cyberprzestrzeni.


Cybernetyczne wsparcie dla działań konwencjonalnych


Rosja należy do państw, którym udało się łączyć działania w cyberprzestrzeni z operacjami konwencjonalnymi, i to jeszcze przed inwazją na Ukrainę 24 lutego 2022 roku. Podczas wojny w Gruzji w 2008 roku Rosjanie przeprowadzili blokujące dostęp do zasobów informatycznych ataki DDOS w koordynacji z działaniem wojsk konwencjonalnych. Według informacji firmy CrowdStrike również podczas pierwszej fazy wojny z Ukrainą, w latach 2014–2016 Rosjanie zastosowali środki cybernetyczne. Udało im się złamać zabezpieczenia aplikacji na Androida, która służyła ukraińskim artylerzystom do koordynacji działań i kierowania ogniem. Zainfekowanie tego oprogramowania pozwoliło stronie rosyjskiej na natychmiastowe niszczenie ukraińskiej artylerii. Straty w jednostkach używających tego oprogramowania miały sięgać nawet 80 proc.


Operacje informacyjne


Rosjanie znani są z prowadzenia zaawansowanych i skutecznych operacji informacyjnych. Ważnym elementem ich działań są włamania do systemów i sieci, a następnie kradzież informacji później wykorzystywanych na szkodę przeciwnika. Najlepszym przykładem cyberataku, który pozwolił na wykradzenie informacji, a następnie wykorzystanie ich w operacji wpływu były wybory prezydenckie w 2016 roku w Stanach Zjednoczonych oraz w 2017 roku we Francji.

Rosyjskie grupy włamały się do Komitetu Partii Demokratycznej, pozyskując informacje na temat działania partii. Ich ofiarą padł również szef sztabu Hillary Clinton, ówczesnej kandydatki Partii Demokratycznej na prezydenta. Dzięki wykorzystaniu portalu Wikileaks oraz innych dane te zostały umieszczone w internecie, a następnie szeroko rozdystrybuowane w mediach społecznościowych. Rosyjska operacja informacyjna przyczyniła się do obniżenia prestiżu Stanów Zjednoczonych na świecie oraz pogłębienia podziałów społecznych i etnicznych. Celem podobnej operacji był Emmanuel Macron, kandydat na prezydenta Francji w 2017 roku. Jednak w tym przypadku kampania nie przyniosła rezultatów korzystnych dla Kremla.

Rosjanie tę strategię stosowali nie tylko dla wpływania na politykę. W trakcie trwania pandemii COVID-19 doszło do włamania na serwery Europejskiej Agencji Leków i kradzieży informacji na temat leków i szczepionek przeciwko nowemu wirusowi. Następnie informacje te zostały zmanipulowane, połączone z informacjami fałszywymi i opublikowane w sieci. Celem operacji było podważenie bezpieczeństwa stosowanych leków i zasianie niepewności w społeczeństwie.

Operacje informacyjne Rosji zawsze stanowiły groźny instrument dla przeciwników Kremla. Wzbogacone o cyberataki pozwalające na zdobycie znaczących informacji, mogą być tylko groźniejsze. Rosja z pewnością będzie wykorzystywała takie działania w przyszłości, aby oddziaływać na sytuację polityczną i społeczną u swoich przeciwników.


Paraliż państwa


Rosja dwukrotnie próbowała sparaliżować całe państwo z wykorzystaniem cyberataków. W 2007 roku, na znak protestu przeciwko zmianie lokalizacji pomnika poświęconego Armii Czerwonej na obrzeża Tallina, przeprowadziła masowe ataki DDoS skierowane przeciwko usługom cyfrowym Estonii. Kampania trwała trzy tygodnie, utrudniając Estończykom płatności, dostęp do rządowych komunikatów oraz informacji pochodzących z głównych mediów. Atak, który miał skłonić Estonię do zmiany decyzji i uległości, nie powiódł się.

Andrzej Kozłowski - ekspert ds. cyberbezpieczeństwa i dezinformacji. Doktor nauk politycznych. Były redaktor naczelny portalu CyberDefence24.pl. Prowadzi wykłady, szkolenia i konwersatoria z zakresu cyberbezpieczeństwa i walki z dezinformacją. Adiunkt na Uniwersytecie Łódzkim.

Inne artykuły Andrzeja Kozłowskiego
Drugim, zdecydowanie poważniejszym incydentem był atak na Ukrainę za pomocą wirusa NotPetya w 2017 roku. W efekcie udało się sparaliżować prace ukraińskich ministerstw, banków, systemu metra, przedsiębiorstw oraz innych obiektów. Atak miał również poważne skutki na arenie międzynarodowej i w jego wyniku ucierpiało wiele zagranicznych firm. Biały Dom oszacował straty z powodu cyberataku na ponad 10 miliardów dolarów na całym świecie.

Rosja uczyniła z cyberataków ważny element prowadzonych operacji: od prób wykradzenia informacji, poprzez uderzenia na infrastrukturę krytyczną, po wzmocnienie swoich operacji informacyjnych. Chociaż rosyjskie działania w cyberprzestrzeni nie osiągnęły zamierzonych skutków w trakcie wojny na pełną skalę w Ukrainie, nie powinny być lekceważone, gdyż stanowią poważne wyzwanie dla świata Zachodu.