Jednym z elementów obecnej agresji Federacji Rosyjskiej na Ukrainie są ich szkodliwe działania w cyberprzestrzeni. Rosja już przed rozpoczęciem wojny atakowała wybrane elementy ukraińskiej infrastruktury informatycznej. Dokonywała ataków DDoS przeciwko ukraińskiemu MON, bankom i sektorowi energetycznemu.

Ofiarami również zostały serwisy internetowe administracji publicznej, które oberwały za pomocą złośliwego oprogramowania niszczącego dane (tzw. wiper) co postawiło w stan gotowości służby odpowiedzialne za bezpieczeństwo na Ukrainie i w krajach partnerskich.

Następstwem takich działań po raz pierwszy w Polce został wprowadzony trzeci stopień alarmowy CHARLIE-CRP, który jest aktywowany w przypadku wysokiego zagrożenia o charakterze terrorystycznym dla infrastruktury teleinformatycznej organów administracji lub systemów zaliczanych do infrastruktury krytycznej. Tym samym, wymaga od kluczowych podmiotów gospodarczych oraz instytucji publicznych szczególnej uwagi i konkretnych działań monitorująco – zabezpieczających sieci i systemy teleinformatyczne.

W przypadku, gdy zostanie dokonany atak na konkretny element infrastruktury istnieje możliwość uruchomienia DELTA-CRP, co jest skorelowane z większym ryzykiem ataku na polskiego przedsiębiorcę.

Niepokojące działania w cyberprzestrzeni Ukrainy

Firma Microsoft już 13 stycznie 2022 r. wykryła, że niektóre instytucje Ukrainy zostały zainfekowane złośliwym oprogramowaniem. Według analityków, złośliwe oprogramowanie zostało zaprojektowane tak, aby wyglądało jak ransomware, ale nie ma mechanizmu odzyskiwania okupu. Incydent doprowadził do naruszenia bezpieczeństwa ponad 70 ukraińskich rządowych stron internetowych, analiza pokazuje powiązanie strony atakującej z rosyjskimi służbami specjalnymi. Obecnie atak nosi nazwę WhisperGate.

Kolejnym złośliwym oprogramowaniem jest HermeticWiper i powiązany z nim komponent ransomware o nazwie PartyTicket, który po raz pierwszy został publicznie zgłoszony jako atakujący organizacje ukraińskie 23 lutego 2022 roku. Analitycy ustalili, że oba komponenty służą do niszczenia danych.

Dlaczego przedsiębiorcy nie mogą spać zupełnie spokojnie?

Atakujący systemy rządowe oraz infrastrukturę mogą wykorzystać przedsiębiorców jako furtkę do dalszych działań i zainfekowania biznesu. Coraz częściej będziemy zauważać incydenty w polskiej cyberprzestrzeni. Niestety, nie będą to tylko elementy wypadkowe cyberataków skierowanych na Ukrainę. Polska również stała się celem. Szczególną uwagę na ataki powinny zwrócić firmy tworzące oprogramowanie oraz firmy technologiczne. Warto uważać na możliwość ataku typu „phishing”. Przykładem może być podszywanie się pod zaufanego partnera technologicznego organizacji, aby uzyskać dostęp do dalszych klientów. Odpowiedzą Rosji na sankcje od zachodnich firm może być próba skompromitowania tego sektora w przestrzeni cyfrowej.

Niebezpieczeństwem są także ataki na globalną infrastrukturę cyfrową, w tym światłowody lub DNS, które mogą wywołać bardzo poważne zakłócenia dla funkcjonowania Internetu. Musimy też pamiętać, że Rosja stara się uzyskać długoterminowy, systemowy dostęp do różnych punktów w łańcuchach dostaw usług technologicznych.