Nie ma na świecie lepszego miejsca, w którym można na własne oczy zobaczyć cyberwojnę, niż współczesna Ukraina

Wojna w Donbasie dała hakerom powiązanym z Rosją okazję do prowadzenia cyberwojny i w ciągu ostatnich kilku lat nastąpiła seria poważnych ataków na Ukrainę

Usuwanie skutków największego w historii ataku cybernetycznego "NotPetya”, kosztowało około 10 mld. dolarów, a skierowany był początkowo przeciw Ukrainie

Wiele tutejszych komputerów ma pirackie oprogramowanie, a więc nie dostaje poprawek zabezpieczeń – przez kraj ten może być używany jako tylne drzwi do hakowania reszty Europy

Marcowe wybory prezydenckie na Ukrainie mogą być cenną lekcją dla Unii, która szykuje się na cyberataki w czasie wyborów do europarlamentu pod koniec maja

Chcesz zobaczyć wojnę przyszłości? Wybierz się na ostatnie piętro zwyczajnego biurowca na wyboistej uliczce, gdzieś na obskurnych przedmieściach Kijowa. To tam, tuż obok zaciemnionej sali konferencyjnej, przed szarymi monitorami siedzą inżynierowie i prowadzą wojnę za pomocą kolejnych linii kodu.

– Ataki zdarzają się codziennie – mówi Ołeh Derewianko, założyciel Information Systems Security Partners, ukraińskiej firmy zajmującej się bezpieczeństwem cybernetycznym. – Nigdy nie myśleliśmy, że będziemy walczyć na pierwszej linii wojny cybernetycznej i hybrydowej.

Nie ma chyba na świecie lepszego miejsca, w którym można na własne oczy zobaczyć cyberwojnę, niż współczesna Ukraina. Stan otwartej wojny z Rosją, duża liczba wysoko wykwalifikowanych i bardzo utalentowanych programistów, wyjątkowo delikatna sytuacja polityczna, ekonomiczna i całe środowisko IT – wszystko to sprawia, że kraj ten jest idealną "piaskownicą" dla tych, którzy chcą testować nowe cyberbronie, taktykę i narzędzia.

– Ukraina to strefa wojny – mówi Kenneth Geers, doświadczony ekspert w dziedzinie cyberbezpieczeństwa, członek Rady Atlantyckiej i doradca Centrum Doskonalenia Obrony przed Cyberatakami w Tallinie (NATO Cooperative Cyber Defence Centre of Escellence, NATO CCD COE).

Geers przez pewien czas przebywał na Ukrainie badając przebieg cyberwojny. Globalne mocarstwa w okresie zimnej wojny toczyły "wojny zastępcze” na Bliskim Wschodzie czy w Afryce – dziś Ukraina stała się poligonem cybernetycznego wyścigu zbrojeń, którego celem jest globalny wpływ na rozwój wydarzeń.

Polecamy tekst oryginalny POLITICO.EU: Problemem wschodniej Europy nie jest Rosja

Na pierwszej linii frontu

Firma Derewianki współpracuje ściśle z ukraińskim rządem i jego amerykańskimi i europejskimi sojusznikami, odpierając ataki na sieci informatyczne tego kraju.

Po drugiej stronie tego frontu walczą nie tylko doskonale przygotowane grupy prorosyjskich hakerów, takich jak Fancy Bear, Cozy Bear czy Sandworm (grupa odpowiedzialna za "NotPetya", jeden z największych cyberataków w historii), ale także wielu innych graczy rządowych, pozarządowych i związanych ze światem kryminalnym, testujących w ten sposób swoje możliwości i umiejętności.

Jak mówi Derewianko, aktywność tych działań znacznie wzrosła przed marcowymi wyborami prezydenckimi na Ukrainie. Od listopada grupy hakerskie "ostrzeliwują" ukraińskich sędziów, urzędników państwowych, prawników i inne osoby za pomocą e-maili z załącznikami zawierającymi złośliwe oprogramowanie – czasami zamaskowane jako życzenia świąteczne czy wiadomości z kancelarii premiera. Derewianko mówi o "masowym phishgingu”.

Rosyjscy hakerzy nieustannie próbują dostać się do systemów Ukrainy, jak poinformowała POLITICO służba bezpieczeństwa tego kraju. Obiektami najostrzejszych ataków są infrastruktura państwa i systemy obsługujące wybory. – Oni nie tylko badają swoje możliwości destrukcji – mówi Derewianko. – Badają także nasz refleks.

Plac zabaw rosyjskich hakerów

Wojna na schodzie Ukrainy dała hakerom powiązanym z Rosją okazję do doskonalenia swoich umiejętności prowadzenia cyberataków – w ciągu ostatnich kilku lat nastąpiła seria poważnych ataków na Ukrainę.

– Aneksja Krymu i wojna w Donbasie stworzyły niestabilne środowisko polityczne – mówi Merle Maigre, była szefowa tallińskiego centrum bezpieczeństwa cybernetycznego NATO, a obecnie wiceprezes estońskiej firmy CybExer, także zajmującej się cyberbezpieczeństwem.

Kiedy wiosną 2014 r. rosyjskie czołgi przekroczyły fizyczną granicę na wschodzie Ukrainy, rosyjscy hakerzy atakowali złośliwym kodem ukraińskie systemy IT, tworząc polityczny chaos działający jak zasłona dymna.

Jak donosi Międzynarodowa Fundacja na rzecz Systemów Wyborczych (International Foundation of Electoral Systems, IFES) – do której raportu dotarli dziennikarze POLITICO – na trzy dni przed wyborami prezydenckimi w maju 2014 r. hakerzy włamali się na serwery ukraińskiej centralnej komisji wyborczej i uziemili część sieci za pomocą zaawansowanego złośliwego oprogramowania szpiegowskiego.

Centralna komisja wyborcza została ponownie zaatakowana w październiku, kiedy hakerzy zablokowali jej stronę internetową przed wyborami do parlamentu.

Ataki na dużą skalę powtórzyły się w kolejnym roku, a także w roku 2016. Tym razem celami były firmy obsługujące ukraińską sieć energetyczną. W 2015 r. hakerzy wykorzystali złośliwe oprogramowanie znane jako BlackEnergy (dosł. "czarna energia"), które trafiło do sieci tych firm po ataku phishingowym, poprzez fałszywe e-maile zachęcające pracowników do jego pobierania. Później inny program – znany jako KillDisk – zniszczył część sieci energetycznej.

Efektem były wyłączenia prądu, które dotknęły około 230 tysięcy mieszkańców Ukrainy przez okres do sześciu godzin – był to pierwszy w historii skuteczny atak na sieci energetyczne przeprowadzony na taką skalę. Później, w grudniu 2016 r., hakerzy sięgnęli po jeszcze bardziej wyrafinowane narzędzie, aby po raz kolejny wyłączyć światło w dużej części stolicy Ukrainy.

Ale atak na największą skalę – który spowodował największe straty finansowe w historii cyberataków – miał miejsce w 2017 r. kiedy hakerzy połączyli oprogramowanie wypróbowane w atakach na sieci energetyczne z wirusem Petya, wykorzystując lukę w zabezpieczeniach odkrytą przez amerykańską Agencję Bezpieczeństwa Narodowego (NSA), znaną jako EternalBlue.

Oprogramowanie, które w ten sposób powstało – "NotPetya" – zaatakowało systemy małej firmy technologicznej Linkos Group, uzyskując w ten sposób dostęp do komputerów firm użyteczności publicznej, banków, lotnisk i ukraińskich agencji rządowych. Straty poniosły także firmy międzynarodowe, takie jak duński gigant transportowy Maersk, firma kurierska FedEx, firma farmaceutyczna Merck i inne wielkie korporacje.

Szacuje się, że usuwanie skutków ataku "NotPetya" kosztowało około 10 miliardów dolarów. Jak mówi Geers, była to sytuacja najbliższa totalnej wojnie cybernetycznej. – To był największy cyberatak w historii – komentuje ekspert. – Jego skala i koszty były znacznie większe, niż miałoby to miejsce w przypadku wystrzelenia rakiety z Donbasu na Kijów.

POLECAMY: Ciemna strona internetu

Cyber-piaskownica

Otwarte środowisko sieciowe kraju w stanie wojny sprawiło, że Ukraina stała się magnesem na najróżniejszych graczy chcących wypróbować swoje możliwości w cyberprzestrzeni. Poza rosyjskimi hakerami pojawiły się tu firmy zajmujące się cyberbezpieczeństwem, chcące sprawdzić się w akcji, zachodnie agencje wywiadowcze starające się lepiej zrozumieć naturę współczesnych konfliktów, a nawet zwykli przestępcy mający nadzieję na łatwy zarobek.

– Donbas w zasadzie aż świeci od złośliwego oprogramowania – mówi Geers, ekspert Rady Atlantyckiej. – Służby wywiadowcze starają się przewidzieć kolejne kroki Rosji w Donbasie, a tym samym przejrzeć zamiary Władimira Putina. USA, Chiny, Rosja, Izrael, Turcja, Iran: są tu po prostu wszyscy.

Poza trwającym konfliktem zbrojnym jest jeszcze jeden powód, dla którego Ukraina jest kuszącym celem dla hakerów: ogromna część tutejszych komputerów wyposażona jest w pirackie oprogramowanie, a więc nie otrzymuje regularnie poprawek zabezpieczeń. A ponieważ ukraińskie systemy są dobrze zintegrowane z zachodnioeuropejskimi, kraj ten może być wykorzystywany jako tylne drzwi do hakowania reszty Europy.

Ciągłe ataki ze strony takich grup hakerskich jak Fancy Bear, Cozy Bear czy Turla, sprawiają, że krytyczna infrastruktura i systemy wyborcze Ukrainy znajdują się pod nieustanna presją – powiedzieli dziennikarzom POLITICO miejscowi przedstawiciele służb bezpieczeństwa.

Celem tych działań, zdaniem ekspertów, jest testowanie możliwości obronnych Zachodu. Amerykańskie i inne agencje wywiadowcze przeniosły się zatem do ukraińskiej sieci, aby tam bezpośrednio przejmować sygnały.

– Zdobywanie potrzebnych informacji na czas jest niezwykle istotne – mówi Dmytro Szymkiw, były szef Microsoftu na Ukrainie i główny doradca prezydenta Petra Poroszenki do spraw cybernetycznych w latach 2014–2018. – Niektóre wirusy wykorzystane przy atakach na sieci energetyczne na Ukrainie były później znajdowane w USA i Izraelu.

Szymkiw dodaje, że ukraińskie władze wymieniają się z innymi krajami danymi wywiadowczymi na temat cyberbezpieczeństwa, aby pomóc w odpieraniu hakerskich ataków.

– Zawsze, kiedy przechwytywaliśmy złośliwe oprogramowanie, przesyłaliśmy je do specjalnych serwisów, w których mogli je analizować producenci programów antywirusowych – mówi.

Jego zespół współpracował ze środowiskami eksperckimi na platformach takich jak Hybrid Analysis czy ANY.RUN – to miejsca nazywane przez specjalistów "piaskownicami” ("sandboxes”) w chmurze: chodzi o środowisko, w którym badacze mogą mieć bezpieczny dostęp do danych, także tych zainfekowanych złośliwym oprogramowaniem.

Waszyngton dużo zainwestował w cyberbezpieczeństwo na Ukrainie od 2014 r. Sama tylko Amerykańska Agencja ds. Rozwoju Międzynarodowego (USAID) przeznaczyła na te cel około 10 milionów dolarów – a znacząca część jej całego, znacznie większego budżetu przeznaczana jest na zabezpieczenie systemów IT w tym kraju.

Amerykańskie firmy, takie jak Microsoft, także wzmocniły swoją obecność na Ukrainie. Lider w dziedzinie sprzętowej, firma Cisco, ma tu silną pozycję, która obejmuje także działania znanej Cisco Talos Intelligence Group. W kraju działa także monitorująca bezpieczeństwo systemów IT amerykańska firma CrowdStrike – i wiele innych.

USA i Europa inwestują w szkolenia i seminaria dla ukraińskich pracowników firm zajmujących się cyberbezpieczeństwem, a także zaangażowane są w codzienną pomoc za pośrednictwem IFES – międzynarodowej organizacji wspieranej przez kraje demokratyczne z całego świata, pomagającej w przeprowadzaniu wyborów.

– Nasi amerykańscy koledzy proszą o wiele informacji i bardzo efektywnie z nami współpracują – mówi Roman Bojarczuk, szef ukraińskiego państwowego centrum cyberbezpieczeństwa, mającego chronić rządowe sieci przed atakami. Bojarczuk dodaje także, że amerykańskie i europejskie podmioty zajmujące się bezpieczeństwem cybernetycznym regularnie proszą o więcej szczegółów na temat analizy głównych zagrożeń przez jego agencję.

Aktywność ataków wzrosła przed zbliżającymi się marcowymi wyborami na Ukrainie – jak mówią eksperci mniejsze grupy i indywidualni hakerzy, a także zwykli przestępcy, szukają okazji do zarobku.

– Nieustannie skanują sieci i wysyłają mnóstwo złośliwego oprogramowania, chcąc znaleźć słabe punkty – mówi Bojarczuk. – Przejmują kontrolę, zapisują wszystko, co znaleźli, a potem umieszczają te informacje w bazach danych i sprzedają je.

Hakerzy znajdują kupców na te dane albo uzyskują dostęp do tajnych sieci. Ogromne ilości danych sprzedawane są w dark webie (ukrytej części zasobów Internetu, dostępnej jedynie przy użyciu specjalnego oprogramowania) każdemu, kto gotów jest zapłacić odpowiednią cenę. – Kupców jest mnóstwo – mówi Bojarczuk. – Konkurencja biznesowa, agencje rządowe, wszyscy…

Zobacz także: Polowanie na cyber-szakala – jednego z najniebezpieczniejszych terrorystów

Obawy przez "zakażeniem”

Celem tych, którzy starają się wspierać Kijów, nie jest jedynie pomoc dla rozwijającego się kraju pod ostrzałem. W miarę, jak Ukraina coraz bardziej integruje się z Zachodem, na Zachodzie panuje coraz silniejszy strach przed "zakażeniem”. Skuteczny cyberatak przeprowadzony w Kijowie może przecież bardzo łatwo prześlizgnąć się przez granice państwa i zainfekować komputery na całym świecie.

Stało się to szczególnie istotne po zwróceniu się Ukrainy ku Zachodowi – co wywołało rosyjską agresję. Umowa stowarzyszeniowa z UE z 2014 r. zawiera między innymi "kompleksową umowę o wolnym handlu”, obowiązującą od 2016 r., która zacieśniła więzy ekonomiczne między Ukrainą a Zachodem. A wzrost handlu pociąga za sobą wzrost przepływu danych i interakcji w sieci.

Atak "NotPetya” z 2017 r. był bolesnym przykładem ryzyka, które wiąże się z takim zbliżeniem: atak, który zaczął się od małej firmy technologicznej na Ukrainie, szybko rozszerzył się na firmy i agencje rządowe na całym świecie, uderzając także w interesy największych, międzynarodowych korporacji.

– To wtedy wszyscy zdaliśmy sobie sprawę z tego, jak bezbronni jesteśmy, kiedy zaatakowana zostaje Ukraina – mówi Merle Maigre, była szefowa centrum bezpieczeństwa cybernetycznego NATO. – Taki atak z łatwością uderza w Europę i resztę świata.

Zwłaszcza z punktu widzenia UE atak uzmysłowił wszystkim pilną potrzebę wzmocnienia bezpieczeństwa cybernetycznego Ukrainy.

Od tego czasu poszczególne kraje Europy zawierały z Kijowem dwustronne umowy o współpracy. Estonia na przykład zaangażowała się w pomoc władzom Ukrainy w stworzeniu bezpiecznego systemu wyborczego. Bardzo aktywna jest także Litwa, o czym zapewnia nas Edvinas Kerza, wiceminister obrony tego kraju.

– Wspieraliśmy Ukrainę politycznie, dostarczaliśmy jej także broń i amunicję – mówi. – Teraz przechodzimy do wsparcia na polu cybernetycznym.

Uwaga Unii skupia się obecnie na zabezpieczeniu zbliżających się w marcu wyborów prezydenckich. "Jesteśmy przekonani, że Rosja będzie próbowała wpłynąć na przebieg wyborów w 2019 r.” – napisał w e-mailu przedstawiciel służb bezpieczeństwa Ukrainy, dodając, że największym zagrożeniem są specjalne serwisy uruchamiające "celowe, długotrwałe ataki prowadzone w interesie konkretnego państwa".

Przede wszystkim jednak marcowe wybory na Ukrainie mogą być cenną lekcją dla UE, która szykuje się na cyberataki w czasie wyborów do europarlamentu pod koniec maja. Te wybory, w których obywatele Unii decydują o składzie PE, a w konsekwencji także o tym, kto będzie zasiadał w najwyższych instytucjach Wspólnoty, mogą okazać się szczególnie podatne na obce interwencje.

Jak mówią eksperci, to, co dzieje się dziś w Kijowie, jutro łatwo może wydarzyć się w Berlinie, Rzymie czy Amsterdamie. – Ukraina to jakby papierek lakmusowy – mówi Maigre. – Strumień wiadomości phishingowych, sprzedaż danych w dark webie, nowe typy złośliwego oprogramowania: wszystko to w każdej chwili może pojawić się także na zachód od Ukrainy. Dlatego tak ważne jest, aby dokładnie przyjrzeć się temu, jak będzie to działało na te wybory.

Redakcja: Michał Broniatowski

(MW)