Wojna w cyberprzestrzeni. Rosjanie użyli "ukrytej" broni. Czy jest też w Polsce?

Pozornie po ataku Rosji na Ukrainie w polskiej sieci panuje spokój. - Widzimy tysiące prób wejścia wormów (złośliwego oprogramowania - red.). Jest tego więcej niż zwykle. Ale nie ma paniki. Największym problemem jest dezinformacja - mówi Wirtualnej Polsce człowiek zajmujący się cyberbezpieczeństwem u dużego dostawcy.

- Wciąż są fałszywe alarmy bombowe, ataki DDoS (ataki na system komputerowy lub usługę sieciową w celu uniemożliwienia działania przeprowadzany równocześnie z wielu komputerów - red.). Jest dużo pracy, ale głównie w związku z prewencją, zabezpieczaniem się przed możliwymi ataki - mówi inny z ekspertów od cyberbezpieczeństwa.

Janusz Cieszyński, pełnomocnik rządu ds. cyberbezpieczeństwa przyznał dziś w Polskim Radiu, że dochodzi do ciągłych ataków. - 27 tysięcy takich złośliwych wiadomości w ciągu jednego dnia trafiło do operatorów infrastruktury krytycznej i do odbiorców rządowych - wyjaśnił Cieszyński. Ale - jak zaznaczył - ataki są na razie odpierane.

Naszych rozmówców niepokoi jednak co innego. Na kilkanaście godzin przez militarnym uderzeniem na Ukrainę Rosjanie zaatakowali naszego sąsiada w cyberprzestrzeni. Dzięki analizom publikowanym przez amerykańskie i brytyjskie służby oraz firmy zajmujące się bezpieczeństwem w sieci wiemy całkiem sporo o tych atakach.

Ukraina została zaatakowana w cyberprzestrzeni dokładnie 12 godzin przed uderzeniem konwencjonalnym. Na nieokreślonej liczbie komputerów (niektóre serwisy piszą o setkach) w jednym momencie uruchomiło się oprogramowanie, które zaczęło nadpisywać dane na dyskach, do których miało dostęp. W ten sposób skutecznie niszczyło ich zawartość. Charles Carmakal z zajmującej się cyberbezpieczeństwem firmy Mandiant (tej która zidentyfikowała białoruskich hakerów jako odpowiedzialnych za ataki na konta pocztowe urzędników i polityków w Europie) powiedział CNN, że atak dotknął wielu firm i urzędów w Ukrainie. Odpryskiem ataku zostały trafione firmy z Litwy i Łotwy, współpracujące z ukraińskimi kontrahentami.

Skąd na ich sprzęcie wzięło się to złośliwe oprogramowanie? Eksperci firmy ESET stwierdzili po jego analizie, że Ukraińcy mogli zostać zainfekowani 28 grudnia 2021 r. - na to wskazują dane zawarte w felernych plikach. Z kolei w raporcie brytyjskich i amerykańskich agencji rządowych ds. cyberbezpieczeństwa czytamy, że to oprogramowanie - nazywane przez fachowców "wiperem" (ang. - wycieraczka) - zostało stworzone przez cyberprzestępcę o pseudonimie Sandworm, powiązanego z cyberjednostką GRU, rosyjskiego wywiadu wojskowego.

Dlaczego powinniśmy się bać tej "wycieraczki"? Po pierwsze jest ona słabo rozpoznawalna przez programy antywirusowe. Jak informował Michał Sajdak z serwisu Sekurak.pl, "poziom detekcji przez silniki antywirusowe jest na razie mizerny: 9/71".

Po drugie, jak informują eksperci z firmy Symantec, ten malware (czyli złośliwe oprogramowanie) dostaje się do sieci poprzez luki w serwerach pocztowych Microsoft Exchange. A to bardzo zła wiadomość dla naszej administracji. Jak pisaliśmy latem ubiegłego roku, z tych rozwiązań pocztowych korzysta m.in. Kancelaria Prezesa Rady Ministrów. A eksperci, którzy na naszą prośbę sprawdzili stan bezpieczeństwa serwerów KPRM, wyrażali wątpliwości co do rzetelności pracy ludzi odpowiedzialnych za właściwą aktualizację rządowych serwerów pocztowych.

Czy zatem możemy obawiać się, że takie samo złośliwe oprogramowanie, które siało spustoszenie w Ukrainie, może czekać na sygnał do ataku na polskich serwerach? A może Rosjanie przygotowali dla nas coś specjalnego, inne narzędzie, które wykorzystają w wybranej przez siebie chwili?

- To realne ryzyko. To tzw. taktyka i technika pozycjonowania narzędzi. Można po tym rozpoznać celowe i zorganizowane działania operacyjne, zarówno wywiadowcze, jak i wojskowe. Choć oczywiście nie tylko. Ale to możliwa przesłanka. Warto kontrolować jakie operacje są w systemach zaplanowane, bo czasem może być "niespodzianka", i to zupełnie inna niż tzw. Smerfa Zgrywusa - mówi Wirtualnej Polsce dr Łukasz Olejnik Prywatnik.pl, niezależny badacz i konsultant w dziedzinie cyberbezpieczeństwa i prywatności, były doradca ds. cyberwojny w Międzynarodowym Komitecie Czerwonego Krzyża w Genewie.

Na razie Rosjanie nie próbują atakować tymi narzędziami instytucji i infrastruktury krytycznej w Polsce. Jak dowiaduje się nieoficjalnie Wirtualna Polska, w tym momencie Rosjanie koncentrują swoje działania w cyberprzestrzeni (oczywiście oprócz Ukrainy) na atakowaniu celów w Stanach Zjednoczonych. - Spodziewamy się, że będą kolejne "wipery", już się pojawił nowy szczep. Malware, który był implantowany od wielu miesięcy po cichu, może zostać aktywowany w celu sabotażu np. szkieletowych sieci i węzłów telekomunikacyjnych - przyznaje w rozmowie z Wirtualną Polską ekspert z jednej z największych światowych firm zajmujących się bezpieczeństwem w sieci.

Janusz Cieszyński nie odpowiedział Wirtualnej Polsce, czy polska administracja i polskie służby są przygotowane na działanie malware, którego Rosjanie użyli bezpośrednio przed atakiem militarnym na Ukrainę.

Z naszych nieoficjalnych informacji wynika, że eksperci od cyberbezpieczeństwa analizują pod kątem ukrytego rosyjskiego oprogramowania sieci najważniejszych instytucji i przedsiębiorstw.

Napisz do autora: szymon.jadczak@grupawp.pl