Ukraińskie koleje państwowe w poniedziałek rano poinformowały, że systemy online były obiektem celowego ataku cyberprzestępczego na dużą skalę. Efekt cyberataku to niedziałająca aplikacja i strona internetowa, przez co niemożliwy stał się zakup i rezerwacja biletów online. W komunikacie powiadomiono, że bilety są dostępne w kasach, w których zwiększono liczbę obsługującego personelu. Co ważne, ruch pociągów jest stabilny, kursują one zgodnie z rozkładem.
Od ponad doby trwa przywracanie systemów. Ukrzaliznycia, czyli ukraińskie koleje państwowe, twierdzi, że atak hakerski był wyrafinowany i wielopoziomowy. Dlatego też przed pełnym przywróceniem usług specjaliści zarówno samego przewoźnika, jak i zewnętrzni oraz przedstawiciele departamentu cybernetyki SBU muszą dokładnie przetestować systemy pod kątem możliwych luk.
Autor komentarza: Kamil Sadkowski, analityk laboratorium antywirusowego ESET
Cyberataki, które obserwujemy w ostatnich trzech latach, są elementem wojny hybrydowej. Działania te wymierzone są nie tylko bezpośrednio w Ukrainę, ale również w jej sojuszników, w tym Polskę. Pamiętajmy, że nasz kraj to wschodnia flanka NATO, co powoduje, że staliśmy się jednym z celów, zaś kolej jako element infrastruktury krytycznej to jeden z priorytetów atakujących.
Bliźniaczy incydent na kolei miał miejsce w styczniu w Polsce, gdy systemy sprzedaży biletów naszego krajowego przewoźnika przestały działać na skutek ataku DDoS – w ciągu godziny odnotowano 100 mln wejść, co skutecznie zablokowało systemy. Ataki DDoS to tylko jedna z metod ataków na nasz kraj. Innym popularnym sposobem jest ransomware, czyli złośliwe oprogramowanie, które wykrada i szyfruje dane, a następnie żąda okupu. Z danych ESET[1] wynika, że w porównaniu do I półrocza 2024 roku liczba ataków ransomware w naszym kraju wzrosła w drugim półroczu aż o 37% i pod tym względem jesteśmy na 7. miejscu na świecie. Oczywiście próby DDoS lub ransomware to jedynie przykłady z szerokiej palety metod atakujących.
Warto dodać, że ataki na infrastrukturę krytyczną mające podłoże polityczne często są realizowane przez wyspecjalizowane grupy APT, które koncentrują się w szczególności na podmiotach rządowych, sektorze obronnym i strategicznych branżach. Jednym z ich głównych założeń jest szeroko pojęte szpiegostwo gospodarcze, polityczne jak również sianie dezinformacji i paniki.
Jak wynika z danych ESET[2] aż 28% ataków grup APT pochodzi z Rosji. Musimy natomiast być świadomi, że to nie jedyny niebezpieczny kierunek, gdyż w momencie trwającej wojny hybrydowej z Rosją, wciąż mają miejsce działania destabilizujące pochodzące z Chin, które stanowią już 40% ataków oraz Korei Północnej – 12%. Dosłownie kilkanaście dni temu informowaliśmy o ataku chińskiej grupy APT na środkowoeuropejski instytut dyplomatyczny. Bądźmy czujni, szczególnie w obliczu spodziewanych wzmożonych cyberataków przed zbliżającymi się wyborami prezydenckimi.
[1] https://web-assets.esetstatic.com/wls/en/papers/threat-reports/eset-threat-report-h22024.pdf
[2] https://web-assets.esetstatic.com/wls/en/papers/threat-reports/eset-apt-activity-report-q2-2024-q3-2024.pdf