Avatar

Warszawa, 16.02.2023 – Jesteśmy świadkami istotnych zmian w sposobie prowadzenia ataków przez cyberprzestępców sponsorowanych przez państwa – twierdzą eksperci Cisco Talos. Działania ewoluowały ze szpiegostwa, poprzez kradzież własności intelektualnej aż po ataki na dysydentów. Zaawansowane i długotrwałe ataki (APT – ang. Advanced Persistent Threat) stają się coraz bardziej destrukcyjne i destabilizujące, co widoczne jest na przykładzie cyberataków w Ukrainie oraz na Bliskim Wschodzie. Dodatkowo wojna dezinformacyjna staje się równie ważna, co potyczki militarne. Jednocześnie szpiegostwo zawsze będzie nieodzowną częścią krajobrazu zagrożeń – zdobycie poufnych danych to wciąż główny cel ataków sponsorowanych przez państwa.

„Krajobraz ataków w 2022 roku był wyjątkowo dynamiczny, m.in. ze względu na trwającą wojnę w Ukrainie. Widzieliśmy, jak była ona wykorzystywana na różne sposoby przez wiele grup sponsorowanych przez państwa, nie tylko z Rosji. W zeszłym roku zostały zdemaskowane grupy takie jak Mustang Panda z Chin, które prowadziły akcje malware, a przynętą były dokumenty związane z wojną w Ukrainie. Pokazuje to, jak daleko idący wpływ ma wojna na krajobraz zagrożeń – o wiele szerszy niż tylko tereny objęte walkami” – mówi Nick Biasini z Cisco Talos, największej na świecie komercyjnej jednostki zajmującej się wykrywaniem i analizą cyberzagrożeń.

Wojna ta pierwszy raz pokazała, jak dużą rolę w wojnie kinetycznej odgrywają działania cybernetyczne. Ciężar tych ataków jest jednak trudny, czy wręcz niemożliwy, do zmierzenia ze względu na stosunkowo niewielkie efekty działań przeprowadzonych przez Rosjan. Możliwe, że również i w tym sektorze wojska rosyjskie były nieprzygotowane do walk, lekceważąc pełen wachlarz potencjalnych rozwiązań.

Należy więc zastanowić się, gdzie przeniosą się ataki sponsorowane przez państwo po zakończeniu walk. Jako że państwa coraz częściej stawiają na produkcję wewnętrzną, cele ataków również będą musiały ulec zmianie. Trend odwrotu od globalizacji zmienia krajobraz i sposoby działania państw w cyberprzestrzeni. Dlatego wzrośnie znaczenie ataków ekonomicznych kosztem działań czysto szpiegowskich. Państwa będą musiały nauczyć się wykorzystywać cyberprzestrzeń w obliczu obciążeń ekonomicznych.

Odwrót od globalizacji zapoczątkuje erę kradzieży własności intelektualnej

Postpandemiczna deglobalizacja może zapoczątkować nową erę kradzieży własności intelektualnej w cyberprzestrzeni. Pandemia zmieniła świat na wiele sposobów, ale przede wszystkim może spowodować koniec trwającej od dziesięcioleci globalizacji. Kraje na całym świecie spotkały się z zaburzeniami w łańcuchach dostaw, przez co zrozumiały, że wysyłka w systemie just-in-time (JIT) i oparcie na eksporcie działa tylko, gdy dostawcy są dostępni. Pierwsze efekty są już widoczne – Apple ogłosiło, że produkcja układów scalonych rozpocznie się w Stanach Zjednoczonych, uchwalono ustawę CHIPS, przeznaczając setki miliardów dolarów na badania nad półprzewodnikami. Zarówno przedsiębiorstwa, jak i państwa dokonują rewizji swoich gospodarek.

Zmiany dotkną każdy kraj, ale najbardziej odczują je te, w których PKB dominuje eksport. Spowoduje to również, że więcej państw autokratycznych zacznie tworzyć krajowe odpowiedniki produktów i technologii. Rozwijanie tych nowych możliwości nie jest prostym procesem i zazwyczaj wymaga znacznych inwestycji w badania i rozwój, aby osiągnąć przełom technologiczny wymagany w przypadku niektórych produkcji.

Dlatego należy uważać na cyberkradzież własności intelektualnej – kraje przegrywające w wyścigu technologicznym będą zmuszone sięgnąć po tego typu środki. Nie jest to nowość, gdyż już w 2012 roku generał Keith Alexander powiedział, że cyberkradzież jest “największym transferem bogactwa w historii”.

„To wszystko sprawia, że sfera ataków sponsorowanych przez państwa stale się powiększa. Prawdopodobieństwo, że kolejne kraje obiorą drogę cyberprzestępczości, wydaje się wysokie. Historia pokazała, że kradzież własności intelektualnej to najszybszy sposób na przyśpieszenie rozwoju technologicznego. Jest również prawdopodobne, że organizacje przestępcze będą częściej kraść dane niż żądać za nie okup, bowiem dane te mogą być warte wiele razy więcej niż kwoty posiadane przez państwa próbujące nadrobić zaległości technologiczne” – prognozuje Nick Biasini z Cisco Talos.

Ataki będą się nasilać wraz z postępującym odwrotem od globalizacji

Cyberprzestępcy sponsorowani przez państwa zwiększli w ciągu ostatniej dekady zakres stosowania działań mających na celu spowodowanie zniszczeń. Dotychczas były one w dużej mierze kojarzone z rosyjską agresją: NotPetya, OlympicDestroyer, WhisperGate, CaddyWiper itd. Jednak eksperci Cisco Talos zaobserwowali przykłady innych grup przeprowadzających takie ataki, przede wszystkim przeciwko Saudi Aramco. W nadchodzących miesiącach i latach wykorzystanie oprogramowania destrukcyjnego będzie rosło. Atakujący nauczyli się, że tzw. wipery są skutecznym środkiem destabilizacji regionu lub wpływu na kluczowe usługi. Najdobitniej pokazał to atak na Colonial Pipeline, gdzie atak ransomware na systemy przedsiębiorstwa spowodował zatrzymanie rurociągów i pokazał, że nie trzeba fizycznie atakować krytycznej infrastruktury, aby ją zakłócić. Nie ma powodu, aby przestępcy unikali cyberataków na te obszary, ponieważ do tej pory agresja w cyberprzestrzeni rzadko spotykała się odpowiedzią.

Infrastruktura krytyczna zawsze stanowiła temat tabu, który już kilkukrotnie został złamany. Rosja wielokrotnie atakowała ukraiński system energetyczny, co skutkowało utratą usług, a w niektórych przypadkach przerwami w dostawie prądu. Jednak wszystkie ataki Rosji można powiązać z wojną przeciwko Ukrainie. Wojną, która rozpoczęła się w 2014 roku od inwazji Rosji na Krym. Patrząc na konflikt w obecnej formie, wydaje się, że w wojnach regionalnych ataki kinetyczne na infrastrukturę krytyczną wydają się znacznie bardziej skuteczne, gdyż bomby są w stanie wyrządzić trwalsze szkody. Może to nie dotyczyć bardziej odległych przeciwników, gdzie ataki kinetyczne są bardziej kosztowne i trudne. Jedynym powodem stosowania wyłącznie ataków cyfrowych byłaby chęć utrzymania obiektów w stanie możliwym do funkcjonowania, choć nie ma gwarancji, że atak cybernetyczny nie dokona zniszczeń, co pokazał Stuxnet.

Obecnie atakujący sponsorowani przez państwa szukają sposobów na zakłócenie funkcjonowania infrastruktury krytycznej bez bezpośredniego atakowania jej. Jedynym sposobem, aby infrastruktura krytyczna nie stała się celem jest ustalenie zasad wojny w cyberprzestrzeni, co nie nastąpi w najbliższym czasie, chyba że dojdzie do jakiejś katastrofy. Póki co najwięksi gracze nie chcą rezygnować z własnych możliwości na czas wojny. Jednocześnie, infrastruktura krytyczna nie jest jedynym miejscem, w którym atakujący próbują zdestabilizować swoich przeciwników. Pole bitwy informacyjnej rozkwitło wraz z pojawieniem się mediów społecznościowych, a informacje mogą być dynamicznie wykorzystywane, osiągając ogromny sukces.

Informacja będzie używana przez atakujących jako broń

Informacja przemieszcza się dziś z prędkością światła. Granica między prawdą a fałszem została wielokrotnie zatarta, co stworzyło okazję dla atakujących sponsorowanych przez państwa do wykorzystania zamieszania. Widzieliśmy to w trakcie wyborów w USA w 2016 r., później w atakach związanych z wyborami we Francji oraz w trakcie pandemii. Dezinformacja i fake newsy są obecnie potężnymi narzędziami do manipulacji opinią społeczną.

Ważną częścią tej batalii stały się social media – targetowanie cyberataków oparte zostało o wyjątkowe cechy użytkowników, w tym lokalizację, doświadczenie zawodowe czy grupy społeczne, do których należą. To daje możliwość ukierunkowania dezinformacji, aby uderzyć w konkretne grupy. Dla większości państw jest to niezwykle atrakcyjna forma cyberprzemocy, ponieważ jest łatwa do zorganizowania, tania i łatwa do wiarygodnego zaprzeczenia. W najgorszym wypadku, gdy przestępcy zostaną zdemaskowani, kończą kampanię, zakładają nowe podmioty i rozpoczynają kolejną akcję, uzbrojeni w lekcje wyciągnięte z poprzednich niepowodzeń.

Obywatele będą coraz częściej padać ofiarami ataków wraz z rozwojem rynku mobilnego oprogramowania szpiegującego

W ciągu ostatnich pięciu lat nastąpiła eksplozja na rynku mobilnego oprogramowania szpiegującego. Grupa NSO jest najbardziej znana, ale rynek zalewają nowe startupy, wszystkie obiecujące ten sam poziom wsparcia zero-day i dostęp in-memory. Narzędzia te są reklamowane jako najlepsze narzędzie szpiegowskie do demaskowania przestępców i terrorystów na całym świecie, ale często okazuje się, że są wykorzystywane przeciwko dysydentom, aktywistom i dziennikarzom.

„Dziś życie każdego człowieka toczy się na jego urządzeniach, od poczty elektronicznej, poprzez dokumenty, aż po prywatną komunikację. Jeśli ktoś uzna te informacje za wystarczająco cenne, może je zdobyć, musi tylko być skłonny wydać pieniądze, aby to osiągnąć. Dla większości z nas oznacza to, że jesteśmy bezpieczni. Niestety, ryzyko jest dość wysokie dla tych nielicznych, którzy zdecydują się rzucić wyzwanie osobom na stanowiskach władzy. Nie jest to coś, co przeciętna osoba czy nawet firma byłaby w stanie kupić, ale dla aparatu wywiadowczego na całym świecie jest to aż nazbyt łatwe do osiągnięcia” – tłumaczy Nick Biasini z Cisco Talos.

W wielu krajach na świecie obowiązują przepisy i zabezpieczenia, które mają zapobiegać tego typu nadużyciom. Problem polega na tym, że istnieje wiele krajów, które mają dostęp i chęć do omijania zasad. Rządy zaczynają podejmować działania przeciwko firmom zajmującym się mobilnym oprogramowaniem cyberszpiegowskim, ale w miejsce każdej firmy, którą powstrzymają, powstanie kolejna. Obecnie brakuje odpowiedniej ochrony dla ofiar takich ataków, ale firmy technologiczne nad tym pracują.

Odwrót od globalizacji zwiększy aktywność państw sponsorujących cyberprzestępczość

Świat odchodzi od globalizacji po pandemii. Stopy procentowe gwałtownie rosną, a pożyczki stały się dużo droższe. Atakujący będą odczuwali presję, podobnie jak my wszyscy. Operacje cybernetyczne są tanie zarówno pod względem finansowym, jak i politycznym. Można przeprowadzić atak z drugiego końca planety, bez ryzyka wykrycia jakichkolwiek aktywów fizycznych. Dodatkowo, kampanie cybernetyczne zapewniają znacznie wyższy poziom zaprzeczalności i rzadko wywołują reperkusje polityczne. Apetyt na wydawanie ograniczonych zasobów na działania szpiegowskie będzie zawsze istniał, ale jeśli jakaś rządowa agencja może przeprowadzić pięć lub sześć ataków cybernetycznych w stosunku do jednej kampanii przeprowadzonej w rzeczywistości, to decyzja będzie prosta.