Rosja nie zastosowała jeszcze cyberataków do zniszczenia czy zakłócenia na szeroką skalę podstawowych usług na Ukrainie. Jest jednak mało prawdopodobne, że sytuacja rozwinie się w sposób, który zmniejszy ryzyko ataków. Grupy rosyjskich „patriotów” – autorów ransomware’u, phishingu czy operatorów botnetów – mogą atakować cele postrzegane jako zagrożenie dla Rosji z większą niż zwykle częstotliwością.
– Rosja prawdopodobnie nie zaryzykuje, by NATO uruchomiło artykuł 5., więc nie zaatakuje bezpośrednio państw członkowskich sojuszu. Jednak może dać swobodę cyberprzestępcom działającym z terytorium Federacji Rosyjskiej i jej partnerów ze Wspólnoty Niepodległych Państw (WNP). Poziom zagrożeń będzie więc rósł – wskazuje Chester Wisniewski, Principal Research Scientist w firmie Sophos.
Nieprzewidywalny krajobraz cyberzagrożeń
25 lutego grupa haktywistów Anonymous wypowiedziała rosyjskiemu rządowi „cyberwojnę”. Kilka godzin później grupa Conti rozpowszechniająca złośliwe oprogramowanie ransomware na swojej stronie w darkwebie zadeklarowała pełne poparcie dla rosyjskiego rządu. Niedługo potem złagodziła stanowisko, ale zasugerowała, że może uderzyć w odpowiedzi na podjętą przez Amerykanów agresję w cyberprzestrzeni. Obie deklaracje zwiększają ryzyko dla wszystkich, niezależnie od tego, czy są zaangażowani w konflikt, czy nie. Ataki generują zamieszanie i niepewność, rośnie też prawdopodobieństwo, że inne rosyjskie grupy przestępcze zintensyfikują działania przeciwko sojusznikom Ukrainy. 1 marca grupa ransomware znana jako TheRedBanditsRU opublikowała na Twitterze oświadczenie dystansując się od wojny. Twierdzi, że nie atakuje ukraińskich celów cywilnych, jednak wyraźnie sugeruje, że wciąż może zaatakować ukraiński rząd.
– Krajobraz cyberzagrożeń jest w tej chwili nieprzewidywalny. Trzeba liczyć się z ryzykiem eskalacji sytuacji i dodatkowym podburzaniem rosyjskich grup hakerów do odwetu na zachodniej infrastrukturze, firmach i instytucjach rządowych, co doprowadzi do miliardowych strat. Jak dotąd nie doszło do zwiększenia liczby ataków. Jednak może się to zmienić, jeśli rosyjscy cyberprzestępcy będą wspierani przez państwo – dodaje Chester Wisniewski.
Prawdopodobny jest wzrost częstotliwości i dotkliwości ataków. Dlatego firmy i organizacje na całym świecie, szczególnie w krajach sąsiadujących z Ukrainą, powinny być przygotowane na ataki i zadbać o zaawansowaną ochronę – nawet jeśli nie działają bezpośrednio na Ukrainie. Pojawiły się już informacje o ataku złośliwego oprogramowania na ukraińskie systemy kontroli granicznej, który miał zakłócić przepływ uchodźców przez granicę z Rumunią. Proofpoint opublikował też dane o wzroście phishingu wymierzonego w urzędników NATO.
Rosyjski „podręcznik” cyberwojny
Niezależnie od tego jak rozwinie się sytuacja, cyberataki będą kontynuowane. Ukraina jest ich celem od czasu obalenia Wiktora Janukowycza w 2014 roku. Zgodnie z oficjalną doktryną wojskową z 2010 roku Kreml próbuje kontrolować reakcję świata na swoje działania poprzez wojnę informacyjną. Kluczowe są w niej fałszywe dowody, zakłócanie komunikacji i manipulacje w mediach społecznościowych. Celem jest powodowanie opóźnień, zamieszania i dezorientacji.
Kampanie dezinformacyjne wkrótce osiągną apogeum, ale konieczne jest też monitorowanie wszystkich nietypowych zdarzeń w sieci. Może upłynąć wiele miesięcy zanim pojawią się dowody na cyfrowe działania związane z sytuacją na Ukrainie. Cyberprzestępcy często zostawiają fałszywe poszlaki dotyczące państwa, z którego atakują – to powszechna praktyka, niezależnie od sytuacji geopolitycznej. Tak było m.in. w połowie stycznia br., gdy wiele ukraińskich stron rządowych zostało zablokowanych przez złośliwe oprogramowanie. Atakujący zostawili fałszywe poszlaki wskazujące na dysydentów ukraińskich lub stronę polską. W czasie konfliktu informacje są sprzeczne i wprowadzają w błąd, trzeba więc będzie czasu, aby je zweryfikować.