Początek rosyjskiej inwazji na Ukrainę – grupa haktywistów Anonymous wypowiada Rosji cyberwojnę. Hakują m.in. serwisy informacyjne czy pobierają duże ilości danych należących do rosyjskich agencji rządowych i firm, a następnie udostępniają je publicznie online. To pierwszy raz, kiedy świat zobaczył udaną cyberwojnę opartą na crowdsourcingu, której nie można było powiązać z żadnym konkretnym krajem lub rządem. Techniki z powodzeniem zastosowane w Rosji próbuje się obecnie wykorzystywać w konflikcie między Izraelem a Hamasem.
Jednak techniki wykorzystane przeciwko Rosji, wydają się być teraz mniej skuteczne. “Wynika to z faktu, że od momentu gdy haktywiści wypowiedzieli cyberwojnę Rosji, eksperci ds. cyberbezpieczeństwa i służby wywiadowcze na całym świecie mieli czas na analizę, przygotowanie i próbę zabezpieczenia się poprzez wyciągnięcie wniosków z niepowodzeń rosyjskiej cyberobrony. W końcu faktem jest, że cyberwojna będzie odgrywać znaczącą rolę we wszystkich obecnych i przyszłych konfliktach. Cyberprzestrzeń działa teraz jako drugi front bez określonych zasad zaangażowania. Haktywiści i grupy powiązane z rządem mogą wybrać stronę i przeprowadzić liczne ataki w oparciu o swoje specyficzne umiejętności, przechylając szalę konfliktu za pomocą zaledwie kilku kliknięć” – uważa Jeremiah Fowler, specjalista ds. cyberbezpieczeństwa, badacz i współzałożyciel Security Discovery.
Najczęstszą taktyką, jaką zaobserwował ten badacz w internetowym konflikcie izraelsko-palestyńskim, są ataki typu odmowa usługi (DoS). W pierwszych dniach konfrontacji ataki koncentrowały się na izraelskich witrynach rządowych, usługach cywilnych, serwisach informacyjnych, instytucjach finansowych oraz firmach telekomunikacyjnych i energetycznych. Atakując te witryny, napastnicy mogą bowiem manipulować informacjami i ograniczać dostęp ludności cywilnej do wiadomości w czasie rzeczywistym, instrukcji rządowych oraz innych ważnych informacji.
Kto hakuje kogo?
Sponsorowane przez państwa cyberataki stanowią poważne zagrożenie zarówno w czasie wojny, jak i pokoju, ale wydaje się, że nową normą jest to, że cyberwojna towarzyszy konfliktowi fizycznemu. Wiele znanych grup haktywistów – w tym różne frakcje Anonymous, KillNet, AnonGhost i inne – już ogłosiło swoje zaangażowanie w konflikt Izrael-Hamas. Według CyberKnow, narzędzia do śledzenia cyberwojen, szacuje się, że w pierwszych dniach konfliktu w cyberatakach uczestniczyło 58 różnych grup. Wstępny raport wskazuje, że 10 z nich działało na rzecz Izraela, a około 48 na rzecz Palestyńczyków. Generalnie, ze względu na anonimowy i ukryty charakter grup haktywistycznych, cyberprzestępczych i szpiegowskich, trudno jest określić, jaki jest ich program i jakie dokładnie mają wpływ. Anonimowość jest bowiem kluczowym elementem ich przetrwania i skuteczności, co starają się zapewnić, ukrywając swoją lokalizację, tożsamość i wszelkie powiązania państwowe. Jednym z głównych wyzwań w cyberwojnie jest przypisywanie cyberataków konkretnym podmiotom sponsorowanym przez państwo lub niezależnym grupom haktywistów. Brak dokładnej wiedzy na temat tego, kto jest celem ataku, utrudnia ustalenie odpowiedzialności.
Niemniej jednak różne cyberataki zostały publicznie powiązane z jednym lub drugim rządem. Przykładowo, wiele grup powiązanych z Rosją, takich jak KillNet i Anonymous Sudan, publicznie twierdziło, że jest zaangażowanych w cyberataki na Izrael. Grupa KillNet uruchomiła nowy kanał Telegram o nazwie KILLNET PALESTINE, na którym potwierdziła swoje powiązania z Anonymous Sudan i ogłosiła zamiar skoordynowania ataków na izraelskie aktywa. Ponadto, zgodnie z raportem opublikowanym przez Microsoft, w okresie od lipca 2022 roku do czerwca 2023 roku Iran atakował izraelską infrastrukturę rządową i sektora prywatnego częściej niż jakikolwiek inny kraj. Ten sam Iran obwiniał również Izrael za liczne cyberataki sięgające wielu lat wstecz.
Metody cyberataków
Nie ma zatem wątpliwości, że cyberwojna toczy się obecnie online równolegle z wojną fizyczną. Jak dotąd wpływ tych cyberataków wydaje się być minimalny, powodując raczej niewielkie zakłócenia, jednak w miarę jak coraz więcej grup i podmiotów dołącza do walki, zagrożenia cyberbezpieczeństwa będą pewnie tylko rosły.
Ataki DoS
Póki co istnieją doniesienia o atakach DoS na firmy prywatne i podmioty rządowe zarówno w Izraelu, jak i Palestynie. Ataki te, pochodzące z całego świata, po prostu zalewają strony internetowe przytłaczającą ilością żądań ruchu. Ten “zły ruch” zużywa zasoby sieci – takie jak przepustowość, moc obliczeniowa, pamięć lub połączenia sieciowe – i praktycznie nie pozostawia miejsca na legalne żądania użytkowników, stąd termin odmowa usługi. Innymi słowy, atak DoS to stosunkowo mało zaawansowana technologicznie, ale skuteczna metoda na złośliwe zakłócenie działania sieci, usługi lub strony internetowej poprzez przytłoczenie jej masowym zalewem żądań ruchu.
Propaganda i dezinformacja
To prawdopodobnie najłatwiejsza ze wszystkich metod wojny cybernetycznej, ponieważ nie wymaga prawie żadnej wiedzy technicznej, a jedynie połączenia internetowego. Stosowanie tej taktyki ułatwiają także wyrafinowane sieci botów rozpowszechnione w mediach społecznościowych. Szacuje się, że w 2022 roku w samym X (Twitterze) działało około 16,5 miliona botów. Z raportu na temat rosyjskiej propagandy w serwisie X podczas inwazji na Ukrainę w 2022 roku wynika, że boty odegrały dużą rolę w promowaniu treści prorosyjskich – szacunkowo 20% wiadomości publikowanych przez boty docierało do prawie 14,4 mln użytkowników. Jest wysoce prawdopodobne, że poziom aktywności botów w mediach społecznościowych nadal występuje na tym samym poziomie, przy czym największe ryzyko polega na tym, że przeciętny użytkownik może nie zauważyć różnicy między botem a człowiekiem i może dać się nabrać na dezinformację. Unia Europejska wystosowała już zawiadomienie do Elona Muska i Marka Zuckerburga w związku z rzekomą dezinformacją dotyczącą ataku Hamasu, fałszywych wiadomości i wyrwanych z kontekstu treści wizualnych. UE domaga się wdrożenia środków łagodzących, aby zaradzić zagrożeniom dla bezpieczeństwa publicznego i dyskursu obywatelskiego wynikającym z dezinformacji.
Cyberszpiegostwo
Izraelskie, palestyńskie i inne podmioty aktywnie starają się monitorować komunikację, infiltrować sieci i zdobywać cenne informacje, które mogą wykorzystać na swoją korzyść. I tak, grupa hakerska Storm-1133, z siedzibą w Gazie, od dawna atakuje firmy telekomunikacyjne czy energetyczne w Izraelu – póki co jednak nie odnosi większych sukcesów. Storm-1133 przyjął nieco inne podejście niż inne grupy, wykorzystując wszystko, od LinkedIn po Google Drive, do uruchamiania kampanii socjotechnicznych. Ich celem jest wdrożenie backdoorów omijających tradycyjne metody bezpieczeństwa, a następnie zbieranie informacji za pomocą socjotechniki, zamiast polegać wyłącznie na próbach włamań metodą bruteforce. W cyberszpiegostwie dużą rolę odgrywa również wykorzystanie zhakowanych systemów i danych.
Hakowanie i zniesławianie
Hakowanie: wydaje się, że w obecnym konflikcie tylko niewielka liczba udowodnionych przypadków hakowania miała duże znaczenie dla obu stron, uważa Jeremiah Fowler. Przykładowo, AnonGhost, grupa hakerska z siedzibą w Afryce, na Bliskim Wschodzie i w Europie, twierdziła, że zakłócała izraelską aplikację powiadamiania o sytuacjach kryzysowych (według jej kanału w mediach społecznościowych). Z kolei grupa nazywająca się Team Insane PK’ zapewniała, że zhakowała elektrownię wodną w Izraelu. A Cyber Av3ngers, grupa popierająca Hamas, twierdziła, że próbowała zaatakować izraelską organizację zajmującą się siecią energetyczną. Jeśli to prawda, zwiększa to ryzyko cyberataków na infrastrukturę krytyczną, w tym sieci energetyczne i obiekty wodne.
Zhakowane dane to kolejny poważny problem podczas konfliktów. Jednym z przykładów jest forum w języku rosyjskim, które najwyraźniej sprzedaje dane osobowe Sił Obronnych Izraela. Zapisy te mogą obejmować adresy domowe, dane kontaktowe, a nawet imiona i nazwiska członków rodziny żołnierzy, które mogą zostać wykorzystane przez haktywistów do nękania lub dodatkowych cyberataków. Dostęp do prywatnych danych może zapewnić dodatkowy wgląd w cyfrowe życie żołnierzy i narazić ich na ryzyko ukierunkowanych prób phishingu i dystrybucji złośliwego oprogramowania.
Zniesławianie: strony internetowe, konta w mediach społecznościowych i platformy cyfrowe powiązane z podmiotami izraelskimi i palestyńskimi stały się również celem zniesławiania. W pierwszym tygodniu konfliktu zniszczono około 100 stron internetowych obu stron konfliktu. Celem tych ataków jest włamanie się do witryny internetowej i przekazywanie przesłań politycznych oraz ideologicznych. Ataki te są zwykle przeprowadzane poprzez “wstrzyknięcie” kodu SQL, podczas którego haker wykorzystuje luki w polach wejściowych witryny internetowej w celu manipulowania bazą danych witryny. Wstrzykując starannie spreparowane zapytania SQL, osoba atakująca może ominąć zabezpieczenia i uzyskać nieautoryzowany dostęp. Ta forma ataku pozwala hakerowi odzyskać poufne dane uwierzytelniające użytkownika lub przejąć kontrolę nad witryną i ją zniszczyć.
“Chociaż incydenty te wydają się poważne, prawdopodobnie nie dostarczą one hakerowi żadnych wrażliwych danych ani informacji, ponieważ wrażliwe rejestry zwykle nie są przechowywane w publicznej witrynie internetowej. Dane uwierzytelniające przeznaczone są zazwyczaj dla jednego obszaru panelu administracyjnego witryny i dopóki nie zostaną ponownie wykorzystane lub udostępnione w celu uzyskania dostępu do innych części sieci, ryzyko poważnego naruszenia bezpieczeństwa danych jest mniejsze” – podsumowuje Jeremiah Fowler.
Źródło: Website Planet
