Threat Inteliigence / OSINT / NETSEC / NATSEC

Spojrzenie na operacje cyber podczas pierwszych dni konfliktu w Ukrainie

W poprzednim poście starałem się przedstawić jakie rodzaje cyber operacji towarzyszą działaniom zbrojnym i jak różne typy operacji mają osiągać cele różnymi środkami. Niektórzy być może spodziewali się dużo bardziej intensywnych cyber działań w Ukrainie, ataków na sieci przemysłowe czy masowego użycia wiperów. Pomimo, że nie ma sygnałów wskazujących na tak radykalne operacje, to pierwsze dni konfliktu zarysowują już miejsce operacji cyber w konflikcie. Spójrzmy więc na aktywności w kontekście kategorii CNE, CNA i środków aktywnych.

Naturalnie jeżeli chodzi o aktywności wywiadowcze to informacji będzie najmniej. Zarówno dlatego, że działania takie w założeniu mają pozostać niewykryte, jak i dlatego, że ujawnianie informacji nie zawsze leży w interesie obrońców, którzy mogą skuteczniej przeciwdziałać kampanii jeżeli napastnik nie zmienia swoich zachowań. Wciąż jednak pewien wgląd w operacje dają raporty opublikowane jeszcze przed inwazją, gdzie analitycy opisali aktywność grup powiązanych z Rosyjskimi służbami przeciwko Ukrainie. Zespół Unit 42 opisał aktywność infrastruktury grupy Gamaredon/Primitve Bear, którą służby Ukrainy powiązały z FSB. Z opisu aktywności wyłania się klasyczny obraz działań wywiadowczych z phishingowymi dokumentami dostarczanymi emailem i korzystającymi z funkcjonalności pakietu Office w zakresie pobierania zewnętrznej zawartości w celu dostarczenia implantów, w tym wypadku do Państwowego Urzędu Migracji Ukrainy. Warto jednak mieć na uwadze, że sami analitycy Unit42 zaznaczają, że grupa prowadzi operacje przeciwko Ukrainie od około dekady. Pamiętajmy bowiem, że operacje wywiadowcze, szczególnie w kontekście krajów o tak wyraźnie zarysowanym sporze jak Ukraina i Rosja, mają charakter ciągły. Unikajmy w ten sposób automatycznego powiązywania aktywności z wydarzeniami w Ukrainie, nawet jeżeli w tym kontekście związek wydaje się bardzo wyraźny. Do tej kategorii działań możemy zapewne również zaliczyć aktywność UNC1151, która to starała się atakować żołnierzy w Ukrainie i być może również Polsce.

Dużo więcej działo się w obszarze CNA czyli działań destrukcyjnych. Mieliśmy tutaj przykłady ataków DDoS przeciwko bankom i instytucjom rządowym, malware’u WhisperGate który był wiper udającym ransomware, i powiązaną z nim grupą aktywności ochrzczonej nazwą HermeticWiper. Brytyjskie NCSC opublikowało również raport informujący o nowym malwarze wykorzystywanym przez grupę Sandworm, który zastąpił implant VPNFilter. W końcu grupa odpowiedzialna za ransomware Conti zadeklarowała, że będzie wpierać rząd Federacji Rosyjskiej i odpowie na potencjalne cyber operacje przeciwko Rosji. Pomimo tego do tej pory nie zobaczyliśmy spektakularnych efektów tego typu działań – porównywalnych z NotPetya, Industroyer czy w szerszym kontekście wywołujących masowe awarie sieci IT w Ukrainie. Zdarzeniem które korelowało idealnie z początkiem inwazji i wpisywało się w schemat CNA wspierających inwazję, jest atak na modemy satelitarne abonentów Viasat. Wczesnym porankiem użytkownicy zostali pozbawieni dostępu do Internetu gdyż firmware urządzeń został uszkodzony. Dotyczyło to modemów podłączonych wtedy do sieci satelitarnej, awaria zaczęła się w Ukrainie, a operator faktycznie mówi o zdarzeniu cyber. Na szczegóły i atrybucje przyjdzie nam jednak zapewne jeszcze poczekać. W odniesieniu do ataków DDoS jednak niektórzy komentatorzy, jak Kim Zetter, zaczęli nawet kwestionować czy działania wywołujące tak niewielkie efekty powinny być nazywane „atakami”. Pomijając jednak dyskusje semantyczne, należy zauważyć, że biorąc pod uwagę skalę inwazji i ataki na ludność cywilną, wstrzemięźliwość w obszarze cyber wydaje się zaskakująca. Co więc może być powodem?

  1. Najprostszą odpowiedzią jest to, że Rosja nie musi korzystać z takich środków. Przewaga sprzętowa i ilościowa jaką Rosyjskie wojska mają nad siłami Ukrainy jest znaczna i pomimo tego jak dobrze w tych okolicznościach radzi sobie Ukraina, Rosja prze do przodu czystą siłą swojej armii.
  2. Operacje cyber wspomagające operacje kinetyczne muszą zgrywać się w czasie z nimi. Ataki DDoS i wipery wykorzystane w pierwszych dniach konfliktu być może miały wspomóc ofensywę przez dodatkowy chaos, jednak ze względu na porażki na froncie nie wywołały zakładanych efektów, więc zwiększanie ich intensywności nie miało już większego znaczenia w kontekście całej ofensywy. Pamiętajmy bowiem, że tak jak inwazja wymaga zgromadzenia wojsk i przygotowania zaplecza logistycznego, tak cyber ataki nie dzieją się z dnia na dzień. Poprzedzają je długie fazy rekonesansu, analizy środowiska ofiary, możliwości uzyskania nieprzerwanego dostępu podczas ataku i tak dalej. Wystarczy choćby spojrzeć na przytoczony już HermeticWiper, kiedy to operacja rozpoczęła się według Symantec w Grudniu, lub Olympic Destroyer który również przygotowywany był w Grudniu, a efekty wywołał w Lutym.
  3. Plan inwazji również może być powodem ograniczenia destrukcyjnych akcji. Jeżeli zakładano, że inwazja zakończy się w przeciągu pierwszych dni poddaniem się rządu Ukrainy i ustanowieniem reżimu Moskwy to ataki na infrastrukturę dodatkowo antagonizowałaby ludność cywilną wobec okupantów.
  4. W końcu o ile NATO podkreśla, że nie będzie angażowało się militarnie w konflikt, to współpraca w zakresie wywiadu może obejmować również dzielenie się informacjami z zakresu cyber aktywności. W ten sposób Ukraina zyskiwałaby na możliwościach redukcji szkód i szybszego wykrywania ataków, a państwa sojuszu otrzymałyby dostęp do telemetrii związanej z Rosyjskim aktywnościami. Może to wpływać na kalkulację Rosji co do opłacalności ataków, których TTP byłyby natychmiast analizowane przez zachodnie służby tym bardziej może skłaniać ku ograniczaniu operacji.

Najwięcej widocznych efektów obserwujemy w obszarze operacji informacyjnych, których początek mogliśmy zaobserwować już jakiś czas przed rozpoczęciem działań zbrojnych. W połowie stycznia, rządowe strony Ukrainy zostały zaatakowane, a napastnicy zamieścili na nich informacje w trzech językach twierdząc, że ataki są zemstą za historyczne krzywdy jakich doświadczyli Polacy:

Hackers deface Ukrainian government websites

Na krótko przed inwazją obserwowane były również ataki z użyciem SMSów informujących o awarii bankomatów bądź wywołujących alarmy bombowe, a żołnierze otrzymali wiadomości mające zniechęcić ich do walki. Wysiłki na polu informacyjnym trwają też nieustannie w zakresie klasycznego kreowania narracji odnośnie tego jaki stosunek do sytuacji w Ukrainie powinni mieć Polacy. Analitycy aktywności na portalach społecznościowych zauważyli trolli starających się zmienić podejście do uchodźców, budować napięcia pomiędzy Polkami i Ukraińcami i przywoływać historyczne wydarzenia związane z ciemnymi kartami relacji pomiędzy krajami:

Przykład konta spamującego tweetami przywołującymi działalność UPA

W tym poście skupiam się na operacjach Rosyjskich, ale nie sposób nie wspomnieć o absolutnej dominacji Ukrainy na polu walki informacyjnej i propagandy. Duch Kijowa, który przy obecnym tempie strącania Rosyjskich myśliwców za tydzień będzie nad Moskwą. Starsza pani krzycząca na żołnierzy i wkładająca im do kieszeni ziarna słoneczników, które mają wyrosnąć gdy zostaną zabici. Pan z papierosem odkładający minę przeciwpancerną do lasu. Rosyjski okręcie wojenny, idi na huj. Przykłady takich viralowych zdarzeń można mnożyć i mnożyć, a na osobny akapit zasługuje postawa Wołodymyra Zełenskiego który regularnie pokazuje swoją niezłomną postawę i pozostając z żołnierzami na miejscu jest gigantycznym wsparciem moralnym. No cóż, wojna propagandowa z człowiekiem, który przed objęciem urzędu zawodowo zajmował się tworzeniem materiałów trafiających do jak najszerszej publiczności nie mogła się skończyć się dobrze dla napastników.

Jak widzimy więc, operacje cyber mają charakter wspierający wobec działań kinetycznych – i to głównie w obszarach nie związanych bezpośrednio z walką. Ataki DDoS i wiper nie wywołały radykalnych efektów (a przynajmniej nie wiadomo o takich do tej pory). W tej sytuacji raczej nie należy spodziewać się zwiększenia intensywności działań, gdy operacja kinetyczne są już na tak zaawansowanym etapie – efekty operacji byłyby zwyczajnie pomijalne. Z drugiej strony analitycy spodziewają się okrążenia Kijowa i odcięcia go od wsparcia z zachodu. W takim scenariuszu atak na dostawców usług komunalnych czy nawet serwisy informacyjne byłby poważnym ciosem dla ludności cywilnej i elementem nacisku w negocjacjach.

Kolejnym obszarem wartym uwagi jest to czy CNA będą wykorzystane jako reakcja na zachodnie sankcje. Odpowiedź zachodu szczęśliwie jest bardzo zdecydowana i zjednoczona – kurs rubla leci w dół, a sankcje na banki odcięły dostęp do znacznych ilości gotówki, topniejącej teraz wyniku pogarszającej sie sytuacji ekonomicznej i konieczności fundowania inwazji (pochłaniającej szacunkowo 20 mld dolarów dziennie). Elementem odpowiedzi na te dotkliwe działania mogą być więc właśnie operacje cyber. Kraje zachodu ze są naturalnym celem dla cyber ataków ze względu na wysoki stopień informatyzacji przemysłu co przekłada się na dużą powierzchnię ataku. Przypomnijmy choćby incydent rurociągu Colonial Pipeline. Wbrew niektórym opiniom, nie był to nawet atak o charakterze przemysłowym. Na skutek działania ransomware’u Colonial utraciło dostęp do systemu fakturowania przez co musiało zawiesić dostawy, nie mogąc rozliczać klientów. Dodatkowo, był to incydent będący „skutkiem ubocznym” działalności operatorów ransomware, motywowany finansowymi pobudkami. W przypadku ataku którego celem byłoby wyłącznie wywołanie strat, konsekwencje byłyby nieporównywalnie poważniejsze. W takim scenariuszu niestety mielibyśmy również okazję przekonać się jak bardzo eskalacyjne są działania w domenie. Proporcjonalność odpowiedzi i to czy prowadziłaby ona do spirali coraz bardziej destrukcyjnych ataków byłaby bowiem testem miejsca operacji cyber na tle innych form działań militarnych.

2 przemyślenia na temat „Spojrzenie na operacje cyber podczas pierwszych dni konfliktu w Ukrainie

    1. It is hard to assess current pace and type of operation due to limited public visibility. But reports published by Cisco, Mandiant, and CERT-UA indicate that the operations are focused on intelligence support of kinetic operations. The destructive ops had very limited effect, but then it is not possible to tell how much this an indication of limited usefulness or effective defense efforts.

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *

pl_PLPolish