Cyberataki narzędziem presji na Ukrainę i Zachód

Ataki hakerskie na systemy informatyczne instytucji rządowych Ukrainy, dokonane w nocy z 13 na 14 stycznia 2022 r., to operacje informacyjno-psychologiczne. Prowokacyjny komunikat o tym, że społeczeństwo ukraińskie ma oczekiwać pogorszenia się sytuacji, mógł być użyty w celu odwrócenia uwagi od złośliwego oprogramowania, powodującego destrukcje danych na zainfekowanych urządzeniach. Zgromadzone dotychczas dowody w tej sprawie wskazują, że odpowiedzialność za ataki ponosi Rosja, a cyberprzestrzeń została użyta jako płaszczyzna demonstracji jej siły i testowania reakcji Zachodu. Kolejne potencjalne prowokacje mogą służyć Rosji do uzasadnienia inwazji na Ukrainę i okupacji kolejnych terenów.

Próby dialogu z Rosją na temat bezpieczeństwa podjęte na forum USA – Rosja (10 stycznia), Rady NATO – Rosja (12 stycznia), OBWE (13 stycznia) oraz podczas spotkań wielostronnych na najwyższych szczeblach okazały się nieskuteczne. Rosja nie bierze pod uwagę żadnej alternatywy dla wysuniętych wobec Zachodu żądań i oczekuje twardych deklaracji NATO i USA co do ustępstw, eskaluje napięcia poprzez prowokacje na terenach okupowanych, szerzy dezinformację i przeprowadza cyberataki.

Cyberataki na strony rządowe. Masowe, skoordynowane ataki hakerskie na strony internetowe rządu ukraińskiego i agencji rządowych są instrumentem nacisku pozadyplomatycznego Rosji na Ukrainę i Zachód. Zgodnie z informacją Państwowej Służby ds. Łączności Specjalnej i Ochrony Informacji Ukrainy uszkodzono ok. 70 stron w domenie gov.ua, m.in. Ministerstwa Spraw Zagranicznych, Gabinetu Ministrów, Rady Bezpieczeństwa i Obrony Narodowej, Ministerstwa Obrony, Państwowej Służby ds. Sytuacji Nadzwyczajnych. Zhakowana została także aplikacja Dija, za pośrednictwem której ponad 20 mln obywateli korzystało z usług publicznych. Strona Ministerstwa Edukacji i Nauki została prewencyjnie wyłączona, a atak na Narodowy Bank Ukrainy udało się zneutralizować. Według komunikatów Ministerstwa Transformacji Cyfrowej praca instytucji nie została przerwana. Na zhakowanych witrynach doszło tylko do podmiany zawartości, opublikowany został plik graficzny, jednak wycieku danych do sieci nie było, a pracę większości systemów udało się przywrócić w ciągu doby.

Przyczyny cyberataków. Do ataków została wykorzystana podatność aplikacji October CMS, używanej do zarządzania zawartością serwisów przez firmę Kitsoft (Komputerowe informacyjne technologie Sp. z o.o., która trudni się opracowywaniem produktów IT dla sektora publicznego (ostatnie zamówienie z listopada 2021 r. na kwotę 38,4 mln UAH na cyfryzację usług publicznych) i utrzymaniem stron rządowych. O możliwości ataków było wiadomo od maja 2021 r. (lista podatności October CMS jest ogólnodostępna). Zalecano wówczas wymianę i regularną aktualizację oprogramowania.

Był to największy od 4 lat cyberatak, choć wcześniej dochodziło już do ataków na operatorów systemu energetycznego – w grudniu 2015 r. i w grudniu 2016 r. (za pomocą fałszywego oprogramowania trojan uszkodzono komputery operatorów 3 obwodów, wstrzymano pracę stacji elektroenergetycznych, a ponad 300 tys. osób odcięto od prądu). Atakowane były Państwowa Służba Skarbowa, Ministerstwo Finansów, Fundusz Emerytalny – w grudniu 2016 r. oraz organizacje pozarządowe i media – w październiku 2021 r. (po użyciu przez ukraińską armię dronów Bayraktar TB2).

Zmasowany charakter ostatnich ataków przypominał atak z 2017 r. wirusem Petya.A, który zaszyfrował dane na twardych dyskach, a w zamian za klucz do szyfru żądał 300 tys. USD w bitcoinach, chociaż jego celem było bezpowrotne zniszczenie danych, a nie uzyskanie korzyści finansowych. Ucierpiało wówczas ok. 300 instytucji, w tym Narodowy Bank Ukrainy, operatorzy systemu telekomunikacyjnego, lotniska i metro w Kijowie, zakłady energetyczne, elektrownia w Czarnobylu, kanały telewizyjne i podmioty prywatne.

Element antypolski. Na stronach Ministerstwa Spraw Zagranicznych i Ministerstwa Obrony pojawił się prowokacyjny plik graficzny w języku ukraińskim, rosyjskim oraz polskim. W treści wykorzystany został wątek rzezi wołyńskiej i działalności OUN-UPA jako powód ukarania Ukrainy cyberatakiem. Ponadto komunikat informuje Ukraińców o zniszczeniu danych oraz straszy pogorszeniem sytuacji. Tekst po polsku został napisany z błędami przez osobę, dla której polski nie jest językiem ojczystym. Według Ministerstwa Obrony Narodowej RP metadane pliku wskazują na Warszawę jako miejsce użycia, jednak plik graficzny nie jest zdjęciem, więc dane te mogły zostać podrobione. Prowokacja to próba wywierania presji psychologicznej na społeczeństwo ukraińskie, ale także podsycania nastrojów antypolskich. Władze ukraińskie i polskie potępiły takie działania jako nieudaną próbę destabilizacji relacji polsko-ukraińskich. W odpowiedzi na ataki na Ukrainie rząd polski zastosował działania prewencyjne w cyberprzestrzeni, wprowadzając do 23 stycznia najniższy pierwszy stopień alarmowy ALFA-CRP na obszarze państwa.

Potencjalne skutki. Śledztwem w sprawie cyberataków zajęły się Służba Bezpieczeństwa Ukrainy, Państwowa Służba ds. Łączności Specjalnej i Ochrony Informacji, Departament Cyberpolicji. Dokładne straty po atakach są trudne do oszacowania. Zgromadzone dowody zniszczeń wskazują, że analogiczne oprogramowanie zostało wykryte w innych organizacjach rządowych, NGO i firmach prywatnych. Prawdopodobnie doszło również do poważniejszego w skutkach wykorzystania złośliwego oprogramowania, które według Microsoft Threat Intelligence Center (MSTIC) jest trudne do wykrycia i może spowodować destrukcję danych na zainfekowanych urządzeniach. Zastępca sekretarza RBNiO Ukrainy Serhij Demediuk potwierdził podejrzenia władz ukraińskich, że za atakiem stoi grupa UNC1151, powiązana z wywiadem białoruskim (która w przeszłości atakowała Litwę, Łotwę, Polskę i Ukrainę, rozpowszechniając treści krytykujące NATO), a złośliwe oprogramowanie wykorzystane do niszczenia danych przypomina narzędzia wykorzystywane przez grupę APT29, powiązaną z rosyjską SVR (która prawdopodobnie przeprowadziła ataki hakerskie w USA przed wyborami prezydenckimi w 2016 r.).

USA zaoferowały wsparcie w zakresie śledztwa i skutków ataku. NATO zapowiedziało zawarcie z Ukrainą umowy specjalnej o cyberbezpieczeństwie, wspierającej aplikację Dija i zapewniającej Ukrainie dostęp do platformy informacyjnej Sojuszu o złośliwym oprogramowaniu. Szef dyplomacji UE Josep Borrell zapowiedział wsparcie techniczne ukraińskich cybersłużb i pomoc ekspertów UE w dziedzinie cyberbezpieczeństwa.

Powody cyberataków. Pomimo braku ostatecznych wniosków co do źródła ataków, ich charakter wskazuje na rosyjskie działania hybrydowe. Według ukraińskiego Centrum Strategicznych Komunikacji i Bezpieczeństwa Informacyjnego wiadomość o cyberatakach najpierw pojawiła się w sieciach społecznościowych, a następnie rozpowszechniła się na rosyjskich stronach informacyjnych. Ataki są wyrazem dalszej presji Rosji na Ukrainę i Zachód. Po tygodniu bezskutecznych rozmów dyplomatycznych Rosja eskaluje napięcia od razu na kilku płaszczyznach: militarnej – gromadzi wojska wzdłuż granicy, wspólnie z Białorusią planuje manewry wojskowe „Związkowa Stanowczość 2022” w pobliżu granicy z Ukrainą (i Polską) w celu przećwiczenia gotowości wojsk do odparcia zagrożenia z Zachodu, przerzuca sprzęt wojskowy; informacyjnej – poprzez komunikaty w mediach rosyjskich o przygotowaniu ataków przez USA i NATO, o rzekomych prowokacjach na Donbasie, doniesienia o ewakuacji pracowników ambasad z Ukrainy (niepotwierdzone przez MSZ Rosji); w cyberprzestrzeni – poprzez ataki, które będą rozszerzać się także na inne państwa.

Wnioski. Cyberataki odsłoniły słabość zabezpieczeń cyberprzestrzeni Ukrainy i nieprzygotowanie do wdrożenia strategii cyberbezpieczeństwa. W przypadku inwazji zaatakowane portale mogą zostać użyte do szerzenia propagandy i przekazywania treści fałszywych (np. o ładunkach wybuchowych w obiektach infrastruktury krytycznej). Ataki uderzyły w instytucje demokratyczne Ukrainy, osłabiając ich wiarygodność w oczach społeczeństwa i środowiska międzynarodowego. Ich celem może być ukazanie Ukrainy jako „państwa upadłego”, którego dysfunkcyjne struktury nie radzą sobie z bezpieczeństwem. Panika i niepewność wywoływane przez takie operacje powodują podział ukraińskiego społeczeństwa co do postrzegania sprawczości Zachodu, ale także możliwości Rosji.

Wykorzystanie cyberprzestrzeni do wywierania presji na NATO i USA po odrzuceniu żądania dotyczącego nierozszerzania NATO było demonstracją determinacji Rosji do nieustępowania w sprawie pozostałych postulatów dotyczących zaproponowanych gwarancji bezpieczeństwa. Brak wspólnego stanowiska Zachodu co do dotkliwości reakcji w przypadku inwazji Rosji może być odczytywany jako przyzwolenie na powrót Ukrainy do jej strefy wpływów. Należy oczekiwać eskalacji napięcia nie tylko na Ukrainie, ale w całym regionie Europy Środkowej i Wschodniej, w tym poprzez cyberpresję.