Wirtualny front ukraiński

Od początku wojny w Donbasie Ukraina jest celem nie tylko rosyjskiej armii i kampanii propagandowej, ale też rosyjskich hakerów. Kreml traktuje ją jak poligon cyberwojny. Tak będą wyglądać konflikty przyszłości.

19.04.2019

Czyta się kilka minut

Kilka godzin po cyberataku – w oddziale państwowego Oszczadbank, Kijów, 27 czerwca 2017 r. / VALENTYN OGIRENKO
Kilka godzin po cyberataku – w oddziale państwowego Oszczadbank, Kijów, 27 czerwca 2017 r. / VALENTYN OGIRENKO

Kompleks biurowy we wschodniej części Kijowa wyróżnia się na tle okolicy, w której dominuje zabudowa niska i stara. Na ostatnim piętrze znajdziemy biuro Information Systems Security Partners (ISSP) – firmy, która zajmuje się bezpieczeństwem oraz zagrożeniami w cyber­przestrzeni.

Choć działa na tutejszym rynku od 10 lat, to dopiero ostatnie pięć były naprawdę wymagające. Od 2014 r. doszło nie tylko do rosyjskiej agresji na Krym i Donbas, lecz także do całej serii cyberataków, których ofiarami padały serwery i komputery zarówno w sektorze publicznym, jak też prywatnym.

Cyberataki wielokrotnie paraliżowały instytucje państwowe i siały zamieszanie – co było dodatkowym jeszcze ciężarem dla kraju wciągniętego w konflikt zbrojny, w którym po stronie ukraińskiej zginęło co najmniej 13 tys. ludzi (żołnierzy i cywilów), 30 tys. zaś odniosło rany (strona rosyjska i donbascy separatyści nie podają oficjalnie swoich strat).

Cel: chaos i niepokoje

Do pierwszego cyberataku – zidentyfikowanego jako powiązany z tym, co stało się na Ukrainie w wyniku Majdanu – doszło tuż przed wyborami prezydenckimi. Zaplanowane na koniec maja 2014 r., miały wyłonić głowę państwa w miejsce zbiegłego do Rosji Wiktora Janukowycza.

Wówczas zaatakowano Centralną Komisję Wyborczą. Powiązana z Rosją grupa hakerów, występująca pod nazwą „Cyber Berkut” (zapewne nieprzypadkowo taką właśnie: nazwę „Berkut” nosiły wcześniej, za rządów Janukowycza, oddziały specjalne policji), włamała się na serwery tuż przed ogłoszeniem wyników wyborów. Jej wtargnięcie wykryto w ostatnim momencie – dzięki temu nie zostały ogłoszone fałszywe rezultaty. Zgodnie z nimi – wprowadzonymi do serwerów przez Cyber Berkut zwycięzcą miał zostać nie Petro Poroszenko, lecz Dmytro Jarosz, ówczesny lider nacjonalistycznego Prawego Sektora.

Wówczas hakerzy zaatakowali ponownie Centralną Komisję Wyborczą przed wyborami parlamentarnymi, które odbyły się w październiku 2014 r. Szkody nie były wielkie, choć strona Komisji nie działała przez jakiś czas.

Obawa przed ingerencją Rosji w ukraińskie systemy wyborcze jest więc duża także w tym roku, gdy odbywają się dwa ważne głosowania. Najpierw prezydenckie [ich druga tura 21 kwietnia, w której spotkali się Poroszenko i Wołodymyr Zełenski, odbyła się już po oddaniu tych kolumn „Tygodnika” do druku – red.], a jesienią parlamentarne. Podczas pierwszej tury nie było zakłóceń. Ale wcześniej – w grudniu 2018 r. i pod koniec lutego tego roku – doszło do prób wyłudzenia danych do logowania, przez zmasowane kampanie phishingowe. Co będzie w kolejnych miesiącach, nie wiadomo.

– Kluczowym celem Rosji może być wzniecenie fali niezadowolenia i protestów, aby stworzyć obraz Ukrainy jako państwa upadłego – twierdzi Ołeh Derewjanko.

44-letni Derewjanko jest prezesem ISSP. Ubrany w puchową kamizelkę i szarą koszulę, w trakcie rozmowy w śnieżnobiałym biurze buja się na krześle.

Ołeh Derewjanko uważa, że ten cel Rosji może zostać osiągnięty, jeśli hakerzy przeszkodzą w wyborach, a różnica między poszczególnymi partiami będzie nieznaczna. Wtedy łatwo o to, aby przegrani uznali je za sfałszowane i wezwali na pomoc ulicę, by „przywróciła sprawiedliwość”.

Poligon Ukraina

W przypadku „klasycznej” wojny, która od pięciu lat trwa na wschodniej Ukrainie, łatwo jest określić, gdzie znajduje się linia frontu między wojskami ukraińskimi a wspieranymi przez Rosję separatystami, których oddziały zasilają rosyjscy wojskowi, rosyjski sprzęt i rosyjskie zaopatrzenie. Trudniej jednak zrobić to w przypadku cyberwojny – jak określa ją dziś wielu ekspertów na świecie.

Podobnego pojęcia używa Ołeh Dere­wjanko. – Tutaj nie da się znaleźć takiej linii frontu. Frontem jest tak samo Ukraina, jak Stany Zjednoczone, Niemcy, Austria czy Polska – twierdzi informatyk. – Ona jest wszędzie. Ale nie wszędzie jest tak, że jakiś kraj funkcjonuje jako swego rodzaju „laboratorium testowe”.

Takim „poligonem” jest właśnie Ukraina. „Uważam Ukrainę za punkt zero, jeśli chodzi o zagraniczne wtrącanie się w wybory, bo stawka dla Rosji jest duża” – mówił w wywiadzie dla „Washington Post” były sekretarz generalny NATO Anders Fogh Rasmussen. Miał na myśli wydarzenia z 2014 r., do których doszło na dwa lata przed wyborami prezydenckimi w USA. Zwyciężył w nich Donald Trump, a Rosjanie są oskarżeni, że ingerowali w przebieg kampanii wyborczej, także za pomocą ataków hakerskich.

Jednak rok 2014 – to był dopiero początek ukraińskich problemów w cyberprzestrzeni. W latach 2015-16 hakerskie cyber­ataki na ukraińską infrastrukturę dwukrotnie doprowadziły do rozległej awarii zasilania. W grudniu 2015 r. niemal ćwierć miliona ludzi zostało pozbawionych prądu. Rok później światło zgasło w północnej części Kijowa i okolicznych miejscowościach. To były wyjątkowe cyberataki w skali globalnej.

– Wszystko odbyło się zdalnie. Te ataki pokazały, jak można przejąć kontrolę nad sieciami energetycznymi bez fizycznej obecności na miejscu – wyjaśnia Dere­wjanko.

Mniej więcej w tym samym okresie, gdy doszło do ataku w Kijowie, hakerzy uderzyli też na serwery kolei państwowej, ministerstwa infrastruktury, ministerstwa finansów i skarbu państwa. O mały włos doszłoby do utraty danych, na podstawie których wypłacane są emerytury i renty.

„Pietia” uderza podczas weekendu

Te wszystkie ataki to było jednak nic w porównaniu z tym, co stało się 27 czerwca 2017 r. Tego dnia doszło do finałowej fazy najbardziej skomplikowanego i destruktywnego ataku, jakiego doznała Ukraina.

Wszyscy szykowali się do długiego weekendu, bo tego dnia przypada święto państwowe: Dzień Konstytucji. Czujność była uśpiona. Także Ołeh Derewjanko wybierał się na urlop poza Kijów.

Gdy pojawiły się pierwsze informacje o cyberataku, nie przejął się zbytnio, gdyż do cyberataków na mniejszą skalę dochodzi nieustannie. Przekazał zadania swojej grupie i kontynuował trasę na wieś. Dopiero gdy dotarł w okolice domu letniskowego, zrozumiał, że wydarzyło się coś do tej pory niespotykanego. Z odpoczynku nic nie wyszło – cały czas przesiedział przed ekranem komputera.

Początkowo zbagatelizowany cyber­atak szybko zbierał żniwa. Padały po kolei sieci kolejnych instytucji: państwowego Oszczadbanku, rządu, ministerstwa infrastruktury, kolei, lotnisk, poczty, a także państwowego operatora sieci telefonicznej UkrTelekom. Rykoszetem oberwały też niektóre media i prywatne firmy.

Nie wiadomo dokładnie, ile komputerów zostało zarażonych przez złośliwe oprogramowanie, ale ich liczba zapewne przekroczyła 100 tysięcy. Ogromna większość znajdowała się na Ukrainie, ale „NotPetya” – jak nazwano ów wirus – uderzył także w sprzęt informatyczny w Niemczech, Polsce i USA. Według Białego Domu straty poniesione z tego tytułu wynosiły jakieś 10 mld dolarów. Amerykański magazyn informatyczny „Wired” uznał to za jeden z najbardziej niszczycielskich cyberataków w dziejach internetu.

Była to długo planowana operacja. Niemal trzy miesiące przed finalną fazą ataku została utworzona luka w systemie firmy MeDoc. To producent najpopularniejszego na Ukrainie programu do rozliczania podatków. 27 czerwca 2017 r. automatycznie dokonała się aktualizacja programu – już ze zmienionym złośliwym oprogramowaniem. Przechwytywało hasła do sieci, podmieniało pliki, szyfrowało je i zarażało inne komputery. Dane były nie do odzyskania, nawet jeśli ofiary wpłacały okup (w wysokości mniej więcej 300 dolarów – zgodnie z poleceniem, które wyświetlało się na ekranie zainfekowanych komputerów).

– „NotPetya” miał kilka celów. Chodziło o przetestowanie tej nowej broni, o sprawdzenie szybkości regeneracji systemów, a także o przetestowanie skuteczności zwodniczej operacji w cyberprzestrzeni, jako że ten atak miał wyglądać jak próba wyłudzenia pieniędzy – wylicza Dere­wjanko. – Chodziło też o sprawdzenie, jak duże zamieszanie można w ten sposób wywołać. A także o zatarcie śladów po poprzednich działaniach.

– Należy zakładać, że hakerzy wciąż mają dostęp do wielu komputerów – dodaje informatyk.

Clausewitz obowiązuje także w cyberprzestrzeni

Metody ofensywnych działań w cyberprzestrzeni Rosja testuje i udoskonala od lat.

To jej są przypisywane ataki w Estonii z 2007 r. Wówczas władze tego kraju chciały przenieść pomnik, który upamiętniał sowieckich żołnierzy poległych w bitwie o Tallin, zbudowany w czasach Związku Sowieckiego – dla Estończyków żołnierze Armii Czerwonej byli okupantami.

Usunięcie pomnika nie spodobało się Rosji ani rosyjskiej mniejszości, która licznie zamieszkuje ten kraj. Zaczęły się protesty na ulicach, a wkrótce po nich doszło do zmasowanych ataków DDOS – to sytuacja, gdy wiele komputerów, często tzw. zombie (tj. przejętych przez hakerów), próbuje połączyć się z danym serwerem, przez co go przeciąża i blokuje. Za sprawą tych cyberataków nie działały serwery rządu, banków (niemożliwe były transakcje przez internet) i mediów.

Był to pierwszy atak na taką skalę. Potem, po raz kolejny Rosja zastosowała cyberataki w trakcie wojny z Gruzją w sierpniu 2008 r. Były to jednak proste metody, mające na celu chwilowe odwrócenie uwagi lub utrudnienie dostępu, jak wspomniane ataki DDOS.

Dopiero na Ukrainie połączono i zastosowano na wielką skalę złożone operacje, na które składały się: konwencjonalna akcja wojskowa, działania w cyberprzestrzeni, broń elektroniczna i operacje z dziedziny tzw. wojny informacyjnej (z użyciem mediów tradycyjnych i internetu, w tym serwisów społecznościowych).

– W końcu dla państw cyberwojna i cyberoperacje dyktowane są doktryną Clausewitza – mówi Ołeh Derewjanko. – To są tylko środki, narzędzia do osiągnięcia celów politycznych i ekonomicznych.

Derewjanko przedstawia to w militarnych kategoriach. Celem państwa jest zdobycie jak najszerszego dostępu i kontrola nad jak największym terytorium. W tym ujęciu każdy komputer można porównać do żołnierza rezerwy. Maszyny mogą być uśpione latami, aż wreszcie, gdy przyjdzie czas, zostaną wykorzystane do wyznaczonego zadania.

Żołnierze walczący na wschodniej Ukrainie często powtarzają, że zupełna cisza na froncie bywa gorsza niż aktywna faza działań, gdyż oznacza, że przeciwnik coś szykuje. Podobnie jest na cyberfroncie.

– Powinniśmy bardziej obawiać się ciszy na cyberfroncie niż widocznych już cyber­ataków. Gdy są już widoczne, możemy je zanalizować i przeciwdziałać. Tymczasem gdy ich jeszcze nie widzimy, tworzy to iluzję spokoju – mówi Derewjanko.

Haktywiści na cyberfroncie

Nie wiadomo nic na ten temat, aby państwo ukraińskie miało na swoich usługach potężne grupy hakerskie. Zamiast tego są jednak aktywiści, którzy próbują napsuć krwi Rosji.

– My nie strzelamy, nie siedzimy w okopach. Ale też chcemy bronić naszego kraju przed wrogiem i robimy to w taki sposób, w jaki potrafimy najlepiej – pisze do mnie w mailu Sean Townsend, rzecznik prasowy Ukraińskiego Cyber Aliansu.

Sean jest haktywistą. Określenie to pochodzi od słów haker i aktywista. Najbardziej znaną grupą tego typu byli Anonymous: przez lata atakowali serwery instytucji państwowych w krajach, które łamały demokrację, naruszały prywatność obywateli lub stosowały różne formy dyskryminacji. Swoimi działaniami często łamali prawo.

Ukraiński Cyber Alians to zrzeszenie różnych grup ukraińskich oraz zagranicznych (proukraińskich), które publikują przecieki i informacje o działaniach rosyjskich wojsk na Ukrainie. Sean Townsend twierdzi, że są niezbyt liczną i niezależną grupą, która od nikogo nie przyjmuje pieniędzy ani zleceń. Jak wyjaśnia, chcą pomóc w zwycięstwie nad Rosją.

Ukraiński Cyber Alians atakował więc strony internetowe i serwery rosyjskich instytucji państwowych, powiązanych z Kremlem mediów, a także cele w dwóch parapaństwach w obwodzie donieckim i ługańskim. W ostatnim czasie grupa szuka też luk w serwerach ukraińskiego rządu, aby zwrócić uwagę, że wciąż są źle zabezpieczone.

– O ochronie Centralnej Komisji Wyborczej mówiło się bardzo wiele, przydzielono pieniądze, był monitoring i kontrola, ale rezultat jest zerowy. W ciągu ostatnich kilku lat znaleźliśmy wraz z wolontariuszami, którzy nam pomagają, pięć luk w serwerach Centralnej Komisji oraz Państwowego Rejestru Wyborców – twierdzi Townsend.

Czasami przyczyną istnienia takiej luki jest komputer bez hasła oraz z dostępem do wspólnego dysku. Potem taki komputer zostaje podłączony do internetu i wszystkie dane są widoczne dla hakerów jak na dłoni. Innym sposobem jest osadzenie na stronie internetowej kodu dostępu, co daje możliwość modyfikowania strony.

– Czasami wystarczy postawić cudzysłów we właściwym miejscu. Specjalnie dla pana znalazłem takie miejsce na stronie premier.gov.pl – napisał mi Townsend i na dowód wysłał screenshota (kopię widoku z ekranu). Po wejściu na odpowiednią podstronę wyświetlało się okno z napisem „POWNED”, co w internetowym żargonie oznacza posiadane, zdobyte, zawłaszczone.

– To bardzo prosta luka, która nazywa się „odbity XSS”. Mógłbym przerysować całą stronę polskiego premiera i każdy człowiek, który wszedłby na nią przez ten konkretny link, zobaczyłby moją twórczość – pisze Townsend.

Haktywista dodaje, że dzięki temu można na przykład ukraść tzw. token, a przez to zdobyć dostęp do strony i manipulować nią.

Czy Townsend rzeczywiście dostał się na serwery polskiego rządu, tego w „Tygodniku” nie byliśmy w stanie zweryfikować.

Kolejny cyberatak trwa

Mimo tych braków, pierwszą turę wyborów prezydenckich udało się przeprowadzić bez problemów. „CKW działa, systemy także, cyberbezpieczeństwo zadziałało we właściwy sposób” – mówiła podczas konferencji prasowej po pierwszej turze Tetiana Slipaczuk, przewodnicząca Centralnej Komisji.

Ale to nie znaczyło, że zagrożenie minęło. Ołeh Derewjanko uważa, że jest dokładnie na odwrót: że to, co działo się dotąd na ukraińskim cyberfroncie, to dopiero początek.

Gwałtowny rozwój technologii i sieci internetowej, a także rosnąca liczba przedmiotów użytkowych, które można do niej podpiąć, jak też coraz bardziej skomplikowane kody – wszystko to powoduje, że także ataki hakerów będą coraz bardziej skomplikowane, a także o coraz większym zasięgu. Ukraina, która pięć lat temu postanowiła wyemancypować się ze strefy wpływów Rosji, bez wątpienia będzie często mierzyła się z kolejnymi cyber­atakami.

Kiedy Derewjanko spodziewa się następnego?

Informatyk odpowiada, że się go nie spodziewa, gdyż kolejny cyberatak bez wątpienia właśnie trwa. Tylko nie wiemy jeszcze, w jakiej fazie się znajduje. Oraz co jest jego celem. ©

Dziękujemy, że nas czytasz!

Wykupienie dostępu pozwoli Ci czytać artykuły wysokiej jakości i wspierać niezależne dziennikarstwo w wymagających dla wydawców czasach. Rośnij z nami! Pełna oferta →

Dostęp 10/10

  • 10 dni dostępu - poznaj nas
  • Natychmiastowy dostęp
  • Ogromne archiwum
  • Zapamiętaj i czytaj później
  • Autorskie newslettery premium
  • Także w formatach PDF, EPUB i MOBI
10,00 zł

Dostęp kwartalny

Kwartalny dostęp do TygodnikPowszechny.pl
  • Natychmiastowy dostęp
  • 92 dni dostępu = aż 13 numerów Tygodnika
  • Ogromne archiwum
  • Zapamiętaj i czytaj później
  • Autorskie newslettery premium
  • Także w formatach PDF, EPUB i MOBI
89,90 zł
© Wszelkie prawa w tym prawa autorów i wydawcy zastrzeżone. Jakiekolwiek dalsze rozpowszechnianie artykułów i innych części czasopisma bez zgody wydawcy zabronione [nota wydawnicza]. Jeśli na końcu artykułu znajduje się znak ℗, wówczas istnieje możliwość przedruku po zakupieniu licencji od Wydawcy [kontakt z Wydawcą]
Dziennikarz, stały współpracownik „Tygodnika Powszechnego". Relacjonował wydarzenia m.in. z Afganistanu, Górskiego Karabachu, Iraku, Syrii i Ukrainy. Autor książek „Po kalifacie. Nowa wojna w Syrii", „Wojna, która nas zmieniła" i „Pozdrowienia z Noworosji".… więcej

Artykuł pochodzi z numeru Nr 17/2019