Aktualności TechNews 29 marca 2023
Autor:
Sergey Shykevich, ekspert bezpieczeństwa cybernetycznego z Check Point Software
Haktywizm tradycyjnie kojarzony jest z luźno zarządzanymi podmiotami, takimi jak Anonymous. Zdecentralizowane i nieustrukturyzowane grupy składają się zazwyczaj z osób współpracujących w celu wspierania różnych programów, a wiele z nich prowadzi politykę otwartych drzwi w zakresie rekrutacji. Jednak w ciągu ostatniego roku ekosystem haktywistyczny zmienił formę i dojrzał pod względem motywacji i celów. Granice między haktywizmem, a państwowymi operacjami cybernetycznymi zaczęły się zacierać.
Grupy haktywistów sprofesjonalizowały organizację i kontrolę oraz prowadzą operacje przypominające kampanie wojskowe: rekrutują i szkolą, udostępniają między sobą narzędzia, dane wywiadowcze i przydzielają cele. Po rosyjskich atakach na ukraińską infrastrukturę informatyczną na początku wojny, Ukraina stworzyła bezprecedensowy ruch o nazwie „Ukraine IT Army”. Poprzez dedykowany kanał Telegram, jego operatorzy zarządzają grupą ponad 350 tys. międzynarodowych wolontariuszy w kampaniach skierowanym przeciwko rosyjskim celom. Po drugiej stronie pola bitwy utworzono Killnet, powiązaną z Rosją grupę o strukturze organizacyjnej przypominającej wojsko i jasnej odgórnej hierarchii. Killnet składa się z wielu wyspecjalizowanych oddziałów, które wykonują ataki i odpowiadają przed głównymi dowódcami.
Większość nowych grup haktywistycznych ma jasną i spójną ideologię polityczną, która jest powiązana z narracjami rządowymi. Inne są mniej motywowane politycznie, ale mimo to uczyniły swoje operacje bardziej profesjonalnymi i zorganizowanymi dzięki specjalnie ukierunkowanym kampaniom motywowanym raczej celami społecznymi niż ekonomicznymi.
Kto jest odpowiedzialny i czy wiemy to na pewno?
Ten rodzaj cyberwojny polega nie tylko na wyrządzaniu szkód. Wszystkie aktywne grupy są świadome znaczenia relacji w mediach i wykorzystują swoje kanały komunikacji do ogłaszania udanych ataków i chwalenia się nimi w celu zmaksymalizowania efektu i zwiększenia strachu przed atakami. Przykładowo Killnet ma ponad 91 000 subskrybentów na swoim kanale Telegram, na którym publikuje ataki, rekrutuje członków zespołu i udostępnia narzędzia do ataków. Grupa pojawia się często w głównych rosyjskich mediach, aby promować swoje osiągnięcia w cyberprzestrzeni i potwierdzać wpływ udanych ataków na „wrogów” lub podmioty antyrosyjskie.
Coraz częściej obserwuje się trend, w którym grupy cyberprzestępcze przyznają się do ataków, w których w rzeczywistości miały nikły udział lub nie miały go wcale. Flagowa niemiecka linia lotnicza, Lufthansa, doświadczyła poważnego problemu informatycznego na początku 2023 r., w wyniku którego tysiące pasażerów utknęło na kilku lotniskach w całym kraju. Uważano, że jest to wynik prac budowlanych powodujących uszkodzenie okablowania zewnętrznego.
Niemniej, prorosyjska grupa haktywistów Killnet przyznała się do ataku i powiedziała, że był to odwet za wsparcie Niemiec dla Ukrainy. Grupa opublikowała oświadczenie za pośrednictwem swoich mediów społecznościowych: „Zniszczyliśmy sieć korpusu pracowniczego Lufthansy trzema milionami żądań grubych pakietów danych na sekundę. Były to eksperymenty na szczurach, które zakończyły się sukcesem. Teraz wiemy, jak zatrzymać wszelkie urządzenia nawigacyjne i techniczne dowolnego lotniska na świecie. Kto jeszcze chce dostarczać broń Ukrainie?”
Oprócz tego komunikatu, praktycznie nie ma dowodów sugerujących, że Killnet był w jakikolwiek sposób zaangażowany w atak. Nie zawsze jest łatwo ustalić, kto jest odpowiedzialny za atak, a jeszcze trudniej to zrobić, gdy incydent jest potencjalnie sponsorowany przez państwo.
Kim jest osoba (lub rząd) za cyber-maską?
Analizy University of Notre Dame dowodzą, że haktywizm sponsorowany przez państwo to „broń i ataki w domenie cybernetycznej mające na celu wywołanie skutków politycznych podobnych do tych, do których zwykle dąży się jako cel lub cel konwencjonalnego użycia siły przez państwa przeciwko sobie”.
Podejście to oznacza, że państwa mogą działać anonimowo w cyberświecie, a co najważniejsze, bez strachu przed odwetem i bez brania odpowiedzialności za ataki. Celem ataków są również komponenty infrastruktury krytycznej, takie jak instytucje finansowe lub służby zdrowia, budynki rządowe, dostawcy energii lub służby ratunkowe. Przy tak znaczącym wsparciu, następstwa takiego ataku mogą być równe tym, w których użyto wojsk.
Przed rosyjską inwazją na Ukrainę haktywizm był terminem rzadko używanym w poważnym kontekście i raczej zanikał. Jednak wojna wywołała gwałtowny wzrost aktywności znanych i nieznanych grup. Te nieznane są tymi, które tworzą najwięcej intryg, ponieważ organizacje rządowe najprawdopodobniej pomagają im w przeprowadzaniu ataków w celu osiągnięcia korzyści politycznych.
Na przykład w ciągu 48 godzin od inwazji Rosji na Ukrainę nastąpił 800% wzrost liczby podejrzanych cyberataków pochodzących z Rosji. Według Check Point Research w drugiej połowie 2022 roku, Killnet oraz inne grupy haktywistyczne powiązane z Rosją atakowały ponad 650 organizacji lub osób, z których co ciekawe, tylko 5% stanowili Ukraińcy. Uważa się, że nie tylko Rosja wykorzystuje zasoby rządowe do pomocy w cyberatakach, ale również cybergangi w Iranie, Izraelu i Chinach mogą mieć powiązania z państwem.
Jak będzie wyglądał haktywizm w 2023 roku?
Częstotliwość i wyrafinowanie ataków w nowej erze haktywizmu rodzi pytania o ich pochodzenie. Kto lub jaka organizacja kryje się za maską i czy ich działania są motywowane korzyściami politycznymi czy terrorem? W nadchodzącym roku coraz trudniej będzie zidentyfikować, czy za atakiem stoi rząd, haktywista czy typowa grupa cyberprzestępcza.
Być może jest zbyt wcześnie, aby mówić o haktywizmie jako o terroryzmie sponsorowanym przez państwo, ale nie ma wątpliwości, że coraz trudniej jest oddzielić jedno od drugiego. Napięcia geopolityczne nadal dominują w światowej agendzie, a nowa era cyberwojny będzie stawać się coraz bardziej destrukcyjna.
