"Jeżeli haker chce się włamać gdziekolwiek, może to zrobić w 10 minut, ale jeśli chce się włamać do konkretnej instytucji, to często zajmuje mu to miesiące" – Adam Haertle z Zaufanej Trzeciej Strony tłumaczy, dlaczego niemal rok po rosyjskim ataku na Ukrainę nie widzimy aż tak wielu aktywności w sferze cyberbezpieczeństwa.
Dlaczego na tej wojnie nie ma tak spektakularnych ataków jak NotPetya z 2017 roku? Czy latami przecenialiśmy rosyjskich hakerów? O te i wiele innych aspektów toczącego się konfliktu pytamy Adama Haertle'a, specjalistę ds. bezpieczeństwa i redaktora naczelnego Zaufanej Trzeciej Strony.
Matylda Grodecka: To jak jest z tą cyberwojną Rosji z Ukrainą? Jest czy jej nie ma?
Adam Haertle, Zaufana Trzecia Strona*: Jest, ale jest inna, niż wszyscy się spodziewali. Mamy do czynienia ze sprawcą, który jest uważany za jednego z najsprawniejszych napastników w tym świecie, najbardziej zdeterminowanego i do tego działającego niemal jawnie. Choć przestępcy w świecie cyber mogą dużo prościej nie tylko ukryć swoją tożsamość, ale nawet się pod kogoś podszyć. Jeśli wystrzelimy rakietę w świecie wojny kinetycznej, trudno ukryć to, kto strzelał. W świecie cyber to trywialne. Przestępcy w świecie rzeczywistym muszą się naprawdę nakombinować, żeby zostawić cudze włosy, odciski palców i wizerunek na kamerze.
W świecie cyber ukrycie swojej tożsamości też jest możliwe i często udaje się w 100 procentach. W wypadku wielu poważnych incydentów do tej pory nie mamy nawet pomysłu na to, kto za nimi stał.
Tyle że hakerzy rosyjscy znani byli z tego, że często się tym ogóle nie przejmowali. Cały świat wiedział, że to Rosjanie stoją za danym atakiem i – co więcej – sami Rosjanie wiedzieli, że cały świat wie. To było coś w rodzaju buńczucznego demonstrowania: "No i co nam zrobicie?". Wiedzieli najwyżej, że ich czołowi operatorzy nie powinni udawać się na wakacje do krajów posiadających umowy ekstradycyjne ze Stanami Zjednoczonymi.
Mamy więc do czynienia ze sprawdzonym nie raz potencjałem, dużym poziomem bezczelności i z otwartym konfliktem, którego nikt nie planuje ukrywać. Poziom oczekiwań wynikający z tych trzech czynników był ogromny. Okazało się jednak, że bańka pękła, a cyberwojna jest przereklamowana. Przynajmniej w tym wydaniu rosyjskim.
Ale dlaczego? Przecież nie z braku możliwości – pamiętamy 2017 rok, w którym z Ukrainy na Europę rozlał się NotPetya. Szacowane straty na świecie po tym ataku wyniosły ponad 10 mld dolarów i donosiły o nim wszystkie media. Teraz jest cisza.
Bo mamy wojnę nie tylko kinetyczną i cyber, ale też wojną informacyjną, a na niej wszystkie chwyty są dozwolone. Zarówno Rosja, jak i Ukraina nie mówią prawdy.
Tak naprawdę wydarzyło się wiele, ale dużo z tego, co się stało, zostało skrupulatnie ukryte.
W świecie cyber jest coś takiego jak protokół świateł drogowych (traffic light protocol, w skrócie TLP – przyp. red.). To sposób klasyfikowania dostępności informacji. Jeśli chcemy pokazać jakiś raport publicznie, mówimy TLP:CLEAR – wtedy każdy może go przeczytać. Kiedy mówimy TLP:GREEN – nadal mogą go przeczytać wszyscy, ale nie wrzucamy raportu do internetu. Dalej jest TLP:AMBER – ten mogą przeczytać tylko wybrani. Na końcu jest TLP:RED – przeznaczony tylko dla wybranych oczu.
Raport ukraiński był w TLP:AMBER, czyli miał trafić tylko do zaufanych partnerów. Dotyczył skutecznych ataków na systemy zarządzania sieciami przesyłowymi energii elektrycznej i wskazywał, że do ataku wykorzystano nowe złośliwe oprogramowanie. Kiedy raport wyciekł do sieci, wszyscy zaczęli się martwić, że Rosjanom coś się udało. Kilka dni później szef zespołu, który raport przygotował, poinformował, że Rosjanom żaden atak się nie udał, a raport zawierał błędy.
Ukraińcy nie mogą mówić, że Rosjanie odnoszą sukcesy, bo to nie wpływa dobrze na ich wizerunek i morale. Więc jeśli coś się Rosjanom udaje na Ukrainie osiągnąć, to my i tak o tym zwykle nie wiemy.
Wiemy na pewno o bardzo skutecznym i bardzo zaawansowanym ataku na system łączności satelitarnej na godzinę przez rozpoczęciem działań zbrojnych. Rosjanie wyłączyli wtedy modemy satelitarne systemu, który obsługiwał kilkadziesiąt tysięcy klientów w Europie, w tym także wojsko ukraińskie.
Armia ukraińska wiedziała, że do tego ataku dojdzie. Główne jednostki, które były zagrożone nalotami czy ostrzałem rakietowym, zostały wycofane ze swoich koszarów w momencie ataku, żeby zminimalizować straty. Łączność satelitarna w tamtym momencie była absolutnie niezbędna. Wypowiedź jednego z ukraińskich oficjeli na ten temat brzmiała jednak: mieliśmy wszystko pod kontrolą, podłączone zostały linie kablowe.
A nie było tak?
Do lasu raczej kabli nie ciągnęli, dysponując łącznością satelitarną. Z nieoficjalnych źródeł wiemy, że mieli duży problem z komunikacją w pierwszych godzinach wojny – właśnie ze względu na to, że Rosja wyłączyła komunikację satelitarną, na której Ukraina się opierała.
Były też inne sukcesy Rosji. To, że na początku wojny robiły się tak gigantyczne kolejki na przejściach granicznych, to nie tylko wynik wzmożonego ruchu. Na skutek ataku włamywaczy niektóre ukraińskie systemy straży granicznej były niedostępne.
Mgła wojny mocno wpłynęła na to, co my wiemy, a czego nie wiemy. Dodajmy do tego jeszcze to, że Ukraina jest w stanie wojny z Rosją tak naprawdę od 2014 roku. Owszem, NotPetya się udała, ale Ukraińcy z każdym atakiem uczyli się i są dzisiaj naprawdę dobrzy w łapaniu rosyjskich włamywaczy. Teraz liczba ataków rosyjskich, które są nieudane, jest pewnie o rząd czy dwa rzędy wielkości większa od tych udanych.
Bardzo dużo pracy wykonali też partnerzy międzynarodowi Ukrainy, przede wszystkim wywiady krajów NATO, wśród których przodują brytyjski i amerykański. Ostrzegają przed tym, co szykują Rosjanie. Zespoły ekspertów amerykańskich i NATO robią tzw. polowanie do przodu – hunt forward. To są operacje, podczas których eksperci przyjeżdżają do danego kraju i szukają przeciwnika w jego sieciach. Amerykanie jeszcze w grudniu 2021 roku wysłali kilkudziesięcioosobowy zespół właśnie do Kijowa, żeby szukał dostępów, które sprawcy już mają i są gotowi wykorzystać. To ułatwia obronę i utrudnia ataki.
A są też partnerzy komercyjni. Microsoft wykonuje ogromną obronę dla Ukrainy i bardzo skutecznie utrudnia życie rosyjskim hakerom. Wiem o kilku bardzo dużych atakach, które były dobrze przygotowane, ale się nie udały, bo Microsoft zadzwonił, gdzie trzeba. Do tego dochodzą niezliczone firmy prywatne zajmujące się cyberbezpieczeństwem, które jednogłośnie nie lubią hakerów. Nasza praca polega na tym, żeby "bić hakera". A jak to jest w dodatku rosyjski haker, który jest ewidentnie po tej złej stronie, to walczymy z nim jeszcze chętniej. I to się udaje.
Minął niemal rok od tego oficjalnego początku wojny. Czy ona w świecie cyber zmieniła swoje oblicze?
Wielu ataków nie widzimy, przez co analiza struktury na podstawie tego małego wycinka, który przenika do przestrzeni publicznej albo pojawia się w raportach, jest trudna.
Na pewno widać, że Rosjanie naprawdę wierzyli w to, że w kilka dni wygrają. Te pierwsze ataki były istotne, skuteczne i przygotowane dużo wcześniej – a potem nastąpiły trzy tygodnie przerwy. Na początku marca nie działo się prawie nic.
Chwila. Każdy, kto ogląda hollywoodzkie filmy, wie, że haker potrzebuje tylko klawiatury, dwóch ekranów i 30 sekund. A więc jakie długo przygotowane ataki?
To niestety – albo na szczęście – tak nie działa. Jeżeli haker chce się włamać gdziekolwiek, może to zrobić w 10 minut, ale jeśli chce się włamać do konkretnej instytucji, to często zajmuje mu to miesiące. W naszej branży mówi się o problemie obrony zamku, który ma tysiąc okien. Atakującemu wystarczy, że jedno okno będzie otwarte, ale obrońca musi pilnować tysiąca. Z drugiej strony atakujący najpierw musi sprawdzić te tysiąc okien, zanim znajdzie otwarte, potem musi uniknąć strażnika, który patroluje korytarze, a następnie dojść do skarbca, przed którym stoi kolejnych czterech strażników. Dodatkowo w zamku są kamery i lasery.
Oczywiście są instytucje, które nie są przygotowane na ataki – do nich haker się dostaje z łatwością i się w nich panoszy. Jeśli jednak ktoś pilnuje, to nawet jeśli przestępca dostanie się do środka, obrońcy mają szansę go znaleźć, zanim zdąży tam nabroić. Microsoft często łapie włamywaczy, kiedy ci są już w sieci. W czasie rzeczywistym informuje ofiarę, że 10 minut temu Wania uruchomił złośliwe oprogramowanie na takim i takim serwerze. Biedny Wania narobił się miesiąc, żeby się tam dostać, a ktoś przychodzi z młotkiem i wali go po łapach. Samo dostanie się do organizacji nie jest sukcesem. Sukcesem jest dopiero zrealizowanie postawionego przed hakerem celu.
A więc na początku wojny mieliśmy do czynienia właśnie z takimi przygotowanymi miesiącami przez rosyjskich hakerów operacjami?
Kiedy mówmy o rosyjskich hakerach, mamy na myśli ok. pięć lub siedem głównych grup zarządzanych przez wywiad wojskowy, wywiad cywilny i służbę bezpieczeństwa. Te grupy najwyraźniej dużo wcześniej miały za zadanie zdobycie dostępów do ukraińskiej sieci i ukrycie się w niej. 24 lutego dostali sygnał – ruszajcie. To była fala ataków, którą boleśnie odczuły niektóre instytucje państwowe, wojskowe i zarządzania kryzysowego. Te ataki były wymierzone w możliwość państwa do obrony przed wojną, ale widać, że 24 lutego wystrzelali się z tego hakerskiego potencjału. Zużyli to, co mieli, i w kolejnych tygodniach musieli od nowa uzyskiwać dostępy.
Próbowali atakować te same cele, co wcześniej? Czy widać jakąś zmianę strategii?
Microsoft w swoich raportach pokazuje korelacje między atakami fizycznymi a atakami cyber. Na przykład jeśli zostaje przeprowadzony fizyczny atak na elektrownie, to równolegle pojawiają się też ataki hakerskie na elektrownie. Tylko jeśli atakujemy cały kraj i równocześnie szturmuje go kilkuset hakerów, to jeśli dobrze poszukamy, zawsze znajdziemy jakieś korelacje.
Zakładając, że wnioski z raportów Microsoftu są prawdziwe, to w rosyjskiej armii ktoś bardzo skrupulatnie koordynuje działania wojenne. Tymczasem widzimy raczej, że rosyjska armia koordynacją nie grzeszy nawet na bardziej operacyjnych poziomach, nie wspominając nawet o synchronizacji strategii cyber i kinetycznych. Powiedziałbym więc, patrząc na poziom profesjonalizmu przeciwnika, że teza o koordynacji to bardzo śmiałe twierdzenie.
Do tego nikt nie widzi całości obrazu oprócz Ukraińców, którzy o tym publicznie nie opowiadają. Więc jeśli ktoś zaobserwował, że tutaj jest więcej ataków, a tutaj mniej, w marcu dominowały akcje takiego rodzaju, a w kwietniu innego – to jest to raczej wróżenie z fusów.
Sam pan powiedział, że Microsoft jest bardzo zaangażowany w obronę Ukrainy. Może ma więc lepszy pogląd na to, co się dzieje?
Myślę, że ma, ale nie przekłada się to na te raporty. To raczej działa tak, że dział PR przychodzi i mówi "dajcie coś, bo musimy pokazać, jak tu pracujemy" i coś tam nawet dostaje, ale ludzie, którzy się tą pracą zajmują, nie będą o swoich sekretach opowiadać.
Do tego kiedy mówimy o hakowaniu i cyberwojnie, musimy rozróżnić dwa rodzaje operacji: dywersyjne i szpiegowskie. Mówiąc prosto – jak haker się włamie, to może niszczyć, ale może też słuchać. Myślę, że większość kluczowych włamań po obu stronach opiera się na słuchaniu, bo z niego jest dużo więcej korzyści. Oczywiście jeśli ma się kontrolę nad systemem komunikacji wojskowej w dniu ataku, to raczej się ją niszczy. Ale gdyby Rosjanie mieli ją dziś, to raczej by słuchali, niż niszczyli.
Domyślam się, że takiego podsłuchującego hakera trudniej też wykryć.
Tak, bo jest mniej objawów, że jest coś nie tak, a do tego korzyści dla napastnika są większe. Myślę, że to właśnie robią teraz Amerykanie, Brytyjczycy i inne kraje NATO, które mają takie możliwości. Być może Polska wśród nich jest. Zbierają informacje, które mogą pomóc w obronie Ukrainy, czyli kiedy, kto, gdzie i jaki planuje atak. Te informacje są w komunikatach radiowych i telefonicznych, w łączności satelitarnej i systemach informatycznych rosyjskiego ministerstwa obrony. Ktokolwiek siedzi i słucha, ten jest w stanie uczynić więcej dobra niż ten, kto by systemy niszczył. Dlatego myślę, że teraz więcej jest operacji szpiegowskich, a mniej tych dywersyjnych.
Mówi pan o operacjach dywersyjnych i szpiegowskich, ale w Polsce wiele mówi się o jeszcze trzecim elemencie cyberwojny – dezinformacji.
Ja bym w ogóle wyłączył dezinformację z obszaru klasycznej cyberwojny. To raczej operacje wspierające, miękkie. Rosjanie manipulacje uskuteczniają od wielu lat i długo byli uznawani za najskuteczniejszych w tym obszarze. Teraz widzimy, jak Chińczycy próbują robić to samo, czyli wpływać na opinię międzynarodową. Na razie im to słabo wychodzi. Widać, że nie mają wyczucia i doświadczenia. Rosyjski wywiad od zawsze był bardzo dobrze przygotowany do rozumienia kultury Zachodu. Mieli słynne ośrodki szkoleniowe, gdzie odwzorowywali całe miasteczka brytyjskie, w których mieli brytyjskie szkoły, telewizje, gazety. Wszystko po to, żeby agenci, którzy potem tam pojadą, byli doskonałymi Brytyjczykami.
Klasyczny przykład operacji wpływu mieliśmy przy wyborach prezydenckich w Stanach Zjednoczonych, po których prezydentem został Donald Trump. Od tamtego czasu media społecznościowe i zespoły, które zajmują się identyfikacją takich działań i ich zwalczaniem, zrozumiały skalę zagrożenia. Wcześniej była ona ignorowana, bo co z tego, że Rosjanie wrzucają memy na Facebooka. Kiedy ludzie zrozumieli wreszcie, że te memy działają, zaczęli to zwalczać. Teraz jak popatrzymy w kwartalne raporty Facebooka opisujące, jakie działania wpływu usunął, to regularnie pojawiają się informacje o działaniach Chińczyków i Rosjan, a w ostatnim raporcie nawet Amerykanów. Każdy próbuje, ale Rosjanom do tej pory wychodziło to najlepiej.
A jak to wygląda w Polsce?
Całe Dworczyk Leaks, czyli wyciek maili rządowych to operacja wpływu białorusko-rosyjskiego. Wiem, że wycieki te sterowane są z Mińska prawdopodobnie pod dyrektywą Moskwy. Stoi za tym grupa Ghostwriter, która była sto razy przypisywana białoruskim służbom. Mieliśmy też kilka dni temu rzekome nakazy inwentaryzacji Ukraińców mieszkających w polskich mieszkaniach, mailami rozsyłane do agencji pomagających Ukrainie i rozklejane na słupach. To jest kampania tej samej organizacji. Ma zbudować nienawiść do Ukraińców. Niestety, mamy w Polsce miejsca, w których takie teksty trafiają na żyzny grunt i działają.
Operacja wpływu ma określony cel: w tym wypadku skłócenie ze sobą narodów współpracujących po to, żeby łatwiej było prowadzić dalej wojnę. Budowanie nastrojów antyukraińskich w Polsce jest oczywiście w interesie rosyjskim, idzie im to całkiem przyzwoicie, ale efekt skali nie został osiągnięty. Może jesteśmy zbyt dobrymi ludźmi, żeby dać się tak zmanipulować. Wiemy, kto jest zły, a kto jest dobry w tym konflikcie.
Te operacje wpływu wcześniej były bardziej nastawione na skłócenie Polaków z NATO. Ta linia została przekonwertowana – teraz Polska dobra, a Ukraina niedobra.
Jeśli jesteśmy już przy działaniach prowadzonych z myślą o "zwykłych obywatelach", to co dzieje się z "pospolitym ruszeniem" z początku wojny? Rok temu wielu było entuzjastów, którzy deklarowali, że będą walczyć z Rosjanami w cyberprzestrzeni własnym sumptem. Nawet Anonymous się zaktywizowali i przez kilka dobrych dni ich tweetami ekscytowały się media na całym świecie. Jak się zmieniła ta przestrzeń?
Większość z tych ataków to ataki DDoS, czyli zapychanie łącza. Znaczna ich część się nie udaje, bo to wbrew pozorom nie jest aż tak trywialne, żeby kogoś zddosować. Ta część zawsze była aktywna głównie w warstwie komunikacyjnej, nie przynosiła realnych skutków, które ktokolwiek poważnie odczuł. Kiedy udał się atak na serwery polskiego Senatu, zauważyła to pani?
Nie. I pewnie nikt nie zauważył poza administratorem strony.
Administrator może zauważył, jeśli po miesiącu sprawdził statystyki i okazało się, że pewnego dnia zamiast 30 weszło na stronę 30 tys. osób. Zdziwił się. I tyle. Dziennikarze to napompowali, bo Senat podjął uchwałę, że Rosja to kraj zbrodniczy i w odwecie nie działała strona Senatu. I co dalej? I nic. Następnego dnia strona normalnie działała.
Nieszczególnie mrozi to krew w żyłach.
Skutki ataków są często symboliczne i działają głównie w warstwie medialnej – jeśli ktoś o nich napisze, to atak się udał. Oczywiście były ataki na infrastrukturę bardziej kluczową niż strona Senatu zarówno w Polsce, jak i w innych krajach, ale widać, że ci atakujący nie bardzo wiedzą, jak się za nie zabrać i co chcą osiągnąć. Weźmy takie ataki na lotniska: napastnicy wyłączyli rozkład lotów, ale w internecie można go dalej sprawdzić, tylko na innej stronie. Niby im się coś udało, ale tak nie za bardzo.
Te ataki pospolitego ruszenia trwają do dziś. Jest tam koordynacja, są ludzie, którzy tym zarządzają, są chętni, którzy biorą w tym udział, i regularnie działają. Wybierają sobie cele i spuszczają na nich te swoje działa, ale nikt się tym nie przejmuje tak naprawdę. To jest monitorowane i inwentaryzowane, ale praktyczny wpływ tych zdarzeń na cokolwiek innego niż media jest zerowy.
Są też grupy, które podejmują skuteczniejsze ataki DDoS. Zdarzyło się od rozpoczęcia wojny kilkanaście razy, że jakieś polskie istotne usługi cyfrowe były niedostępne przez kilkanaście lub kilkadziesiąt minut. Czasami niedostępna była jakaś usługa bankowa, czasami przelewy później dochodziły, bo atakowana była Krajowa Izba Rozliczeniowa, ePUAP przez chwilę nie działał. Nasze banki sobie z tym dość dobrze poradziły, bo ataki o podobnej charakterystyce zaczęły się już koło września i października zeszłego roku. Wyglądało to tak, jakby ktoś wtedy sprawdzał, co jest w stanie zrobić. Ale kiedy atakujący testował swoje możliwości, banki sprawdzały swoje zdolności obrony. Uczyli się jedni i drudzy, a status quo zostało utrzymane. Czasami się coś komuś udało, ale szybko bank radził sobie z problemem. To taka zabawa w kotka i myszkę, ale bez istotnych skutków.
Oczywiście są też próby ataków stricte hakerskich. One miały głównie miejsce w pierwszych miesiącach konfliktu. W ich wypadku też było to pompowanie balonika ponad normę. Jak ktoś mówi, że wykradł 700 gigabajtów danych, to znaczy, że po pierwsze nie wie tak naprawdę, co ukradł. Jakby wiedział, to wybrałby to, co ma jakąś wartość. Po drugie nie czyta po rosyjsku, więc nie jest w stanie nawet zweryfikować tego, co przechwycił, więc publikuje wszystko. Były takie ataki w obie strony, gdzie były wykradane specyficzne bazy danych, ale trudno powiedzieć, że to miało jakiś istotny wpływ na cokolwiek. Jednak idzie komunikat "jest duży incydent, bo opublikowano dużo danych".
Czy to znaczy, że możemy w Polsce spać spokojnie i ta wojna w świecie cyber nas nie dotyczy?
Myślę, że zwykły obywatel nie powinien się niczym przejmować i nawet nie zauważy, że coś się dzieje. Ale osoby, które zajmują się cyberbezpieczeństwem i obroną, mają na pewno więcej pracy. Jeśli jest więcej prób ataków, to statystycznie któryś z nich ma większe szanse, żeby się udać. To jest trochę losowe. Nigdy nie jesteśmy w stanie przewidzieć, czy atak, który aktualnie obserwujemy, czegoś istotnego nie wyłączy. Jak się grzebie przy infrastrukturze zasilania w kraju, najmniejszy drobiazg może być tym, który wyłączy nam prąd w Warszawie, a o którym nawet nie pomyśleliśmy my ani haker.
Osoby zajmujące się obroną przed tymi atakami są teraz bardzo zajęte i dużo pracy wkładają w to, żeby zwykły obywatel nie musiał się tym zajmować i żeby to go nie dotyczyło. I robią to na razie skutecznie, tyle że katalog ataków możliwych do przeprowadzenia jest prawie nieograniczony, więc ta aktywna obrona musi trwać. Musimy patrzeć, co się dzieje, monitorować i reagować, gdy zauważymy coś podejrzanego. Dzięki temu skutki tych ataków są znikome, ale gdybyśmy przestali, skutki zaczęłyby się pojawiać. Koledzy, którzy pilnują bezpieczeństwa w bankach, firmach energetycznych czy infrastrukturze państwowej, raczej nie śpią spokojnie.
Zdjęcie tytułowe: Halfpoint/Shutterstock
DATA PUBLIKACJI: 03.02.2023
