Cyberwojna w cieniu wojny: Jak działa rosyjskojęzyczne podziemie hakerskie?

Od jakiegoś już czasu Polska jest w stanie cyfrowej wojny z Rosją. Potwierdzają to chociażby niedawne wypowiedzi medialne wicepremiera i ministra cyfryzacji Krzysztofa Gawkowskiego, który wskazywał, że rosyjskie cyberataki są coraz częstsze, a skala ich zagrożenia nieustannie rośnie. W skali miesiąca potrafi ich być 70 tysięcy, a zdarzają się pojedyncze dni kiedy odnotowuje się ich blisko 2 tys. Warto więc sprawdzić jak funkcjonuje rosyjskojęzyczne cyberpodziemie, aby lepiej poznać m.in. narzędzia i techniki, którymi posługują się nasi przeciwnicy.

Jak wynika z raportu „The Russian-Speaking Underground”, przygotowanego przez badaczy Trend Micro, rosyjskojęzyczne cyberpodziemie wyróżnia się w globalnym krajobrazie zagrożeń cyfrowych jako wyjątkowo zorganizowana, silnie współpracująca i głęboko zakorzeniona kulturowo sieć cyberprzestępców. Funkcjonują oni według własnych kodeksów etycznych, procedur weryfikacyjnych oraz systemów reputacyjnych.

„To nie jest zwykły czarny rynek – to zorganizowane społeczeństwo cyberprzestępców, w którym o przetrwaniu i sukcesie decydują status, zaufanie i doskonałość techniczna” – mówi Władimir Kropotow, współautor wspomnianego raportu i analityk zagrożeń w Trend Micro.

Hakerzy tworzący to środowisko wykazują kilka charakterystycznych cech, takich jak wykorzystanie zaawansowanych narzędzi i technik, wyspecjalizowanych forów i rynków poświęconych licznym usługom (zarówno wirtualnym, jak i fizycznym), a także głęboko zakorzenioną kulturę tajemnicy i współpracy. Przez lata stali oni na czele innowacji cyberprzestępczych, będąc pionierami nowych metod ataków, które ostatecznie przyjmowali inni aktorzy globalnych cyberzagrożeń.

„Rosyjskojęzyczne cyberpodziemie wykształciło unikalną kulturę, która łączy elitarną wiedzę techniczną  z surowymi zasadami postępowania, systemem zaufania opartym na reputacji oraz poziomem współpracy dorównującym legalnym przedsiębiorstwom. To nie jest zwykła zbieranina przestępców – to odporna, silnie powiązana społeczność, która przystosowała się do globalnych nacisków i wciąż kształtuje przyszłość cyberprzestępczości” – dodaje Fiodor Jaroczkin, drugi ze współautorów raportu i analityk zagrożeń w Trend Micro.

Główne cechy rosyjskojęzycznego podziemia

W przeciwieństwie do innych sieci cyberprzestępczych, rosyjskojęzyczne podziemia działają na wielu terytoriach, co czyni je szczególnie groźnymi. Wpływ tego podziemia wykracza poza tradycyjną cyberprzestępczość motywowaną finansowo, ponieważ podmioty państwowe i nastawieni na zysk cyberprzestępcy zaczęli dostrzegać nakładanie się wspólnych celów i operacji.

​​Jak podkreślają twórcy raportu, rosyjskojęzyczni cyberprzestępcy są często dobrze wykształceni i posiadają wysokie umiejętności techniczne, ale przede wszystkim są bardzo ostrożni w stosunku do osób z zewnątrz. Prowadzi to do rygorystycznych procesów weryfikacji, które obejmują używanie specyficznego dla podziemia slangu lub udowadnianie przeszłej działalności przestępczej. Ze względu na obawy przed infiltracją organów ścigania, nowicjusze, którzy nie wykazują tej znajomości kulturowej, są bardzo często odrzucani przez to środowisko.

Inną z jego cech charakterystycznych są surowe zasady zaangażowania, które są rygorystycznie egzekwowane. Reputacja jest podstawą tego ekosystemu i głównym wyznacznikiem statusu oraz możliwości jednostki. Członkowie takiego podziemia są najczęściej podzieleni na różne role: administratorzy forum, sprzedawcy, dostawcy usług, kupujący, obserwatorzy, nieznajomi i oszuści. Każda z tych ról inaczej współdziała z koncepcją reputacji i polega na niej, aby ze swobodą poruszać się w krajobrazie cyberprzestępczości. Przykładowo, administratorzy i moderatorzy forum polegają na zaufaniu, aby utrzymać swoje platformy, podczas gdy sprzedawcy i dostawcy usług wykorzystują reputację, aby wzmocnić swoją markę i ustanowić wiarygodność. Wyjątkiem są kupujący, którzy zazwyczaj nie potrzebują reputacji – chyba, że kupują unikalne aktywa, gdzie zaufanie staje się integralną częścią, aby uniknąć wycieku cennych informacji.

Nowe trendy w rosyjskojęzycznym cyberpodziemiu

Wzrost popularności programów wymuszających okup (ransomware) doprowadził do plagi naruszeń danych, ujawniając na masową skalę wrażliwe dane osobowe. Dostęp do nich stał się ważnym atutem dla cyberprzestępców – nie tylko napędzając wymuszenia, ale także umożliwiając powstawanie nowych schematów oszustw opartych na tożsamości. Ponadto powszechna dostępność danych biometrycznych w mediach społecznościowych, w połączeniu z technologią deepfake opartą na sztucznej inteligencji, usprawniła tworzenie fałszywych tożsamości dla podmiotów stanowiących zagrożenie.

W ostatnich latach popularność zyskały technologie takie jak Web3 – w tym NFT, metaverse i platformy blockchain. Jednak – jak wskazują twórcy raportu – ich wzrost oraz połączenie aktywów o wysokiej wartości z użytkownikami nieposiadającymi wiedzy na temat bezpieczeństwa sprawiły, że Web3 stał się głównym celem dla cyberprzestępców. Atakujący wykorzystują popularne platformy mediów społecznościowych – takie jak Twitter, Discord, TikTok, Instagram i Threads – aby realizować swoje niecne plany. Z kolei, aby opisać swoje cele używają specjalistycznego slangu, w których pojawi się m.in. hasło „mamut”, które nawiązuje do tego, że podobnie jak mamuty, łatwe cele oszustw nigdy nie wyginą.

Oszustwo to polega na tym, że atakujący przejmują kontrolę nad kontami w mediach społecznościowych, a następnie stosują taktyki, takie jak angażowanie się w kontakty z osobami wpływowymi, aby stworzyć wiarygodną obecność online. Hakerzy podszywają się następnie pod legalne projekty Web3, wabiąc ofiary do pobierania złośliwego oprogramowania, które wyczerpuje ich zasoby cyfrowe. Wykorzystanie automatyzacji, botów i usług stron trzecich pozwala działać cyberprzestępcą na dużą skalę, co sprawia, że ​​oszustwa Web3 są dla nich lukratywnym rodzajem ataku.

Jak podkreślają autorzy analizy, wprowadzone sankcje i ograniczenia ekonomiczne doprowadziły do ​​zmian w podziemnych przepływach finansowych. Oszustwa związane z reshippingiem gwałtownie wzrosły, a kryptowaluty stały się jeszcze bardziej zakorzenione w tym ekosystemie. Ponadto legalne firmy coraz częściej korzystają z szarych usług finansowych, aby ominąć ograniczenia ekonomiczne.

Ewoluująca rola oprogramowania ransomware

Jak się okazuje, oprogramowanie ransomware pozostaje kontrowersyjnym tematem w rosyjskojęzycznym cyberpodziemiu. Twórcy badania wskazują, że otwarte dyskusje na jego temat są często zabronione, aby uniknąć kontroli ze strony służb. Pomimo swojej opłacalności, ataki ransomware są postrzegane przez wiele undergroundowych społeczności jako zbyt śmiałe i przyciągające uwagę. W związku z tym większość platform egzekwuje surowe zakazy dotyczące wszelkich transakcji biznesowych związanych z oprogramowaniem ransomware. Nie przeszkadza to jednak grupom ransomware działać poprzez ukryte rekrutacje i kupowanie dostępu na ogólnych platformach handlowych. Zyskują ona także dzięki partnerstwom z brokerami dostępu początkowego, co pozwala im skutecznie rozwijać działalność mimo zakazów.

Phishing i przejmowanie kont

Phishing pozostaje jednym z najbardziej rozwiniętych obszarów rosyjskojęzycznej cyberprzestępczości. Na forach rekrutuje się specjalistów zdolnych do klonowania witryn bankowych, tworzy zaawansowane zestawy phishingowe, a także oferuje kompleksowe szkolenia i samouczki, aby pomóc cyberprzestępcom w udoskonalaniu ich phishingowych taktyk.

Cyberprzestępcy wykorzystują ataki phishingowe do masowych kampanii, ale także do infiltracji organizacji, stosując często taktyki socjotechniczne w celu uzyskania dostępu do wrażliwych systemów. Skradzione dane uwierzytelniające trafiają na podziemne giełdy jako cenny towar. Mogą być one przeróżne, od danych logowania do korporacji, po pełne profile finansowe lub nawet konta związane z ChatGPT.

Integracja cyberprzestępczości i przestępczości fizycznej

Nowym, groźnym zjawiskiem jest rosnąca integracja cyberprzestępczości z przestępczością zorganizowaną (fizyczną). Coraz częściej oferowane są usługi takie jak „przemoc na zlecenie”, psyops (operacje psychologiczne takie jak: uporczywe groźby telefoniczne, blokowanie kart SIM i inne działania zakłócające), zbieranie informacji wywiadowczych (OSINT, HUMINT), czy ataki fizyczne wspierane technologią. Reklamy takich usług pojawiały się na forach cyberpodziemnych, czasami obok ofert pracy na stanowiska związane z technologią. Wspomniane wyżej działania przekraczają granice świata wirtualnego, przenosząc zagrożenia do świata rzeczywistego.

Krajobraz geopolityczny a priorytety cyberprzestępców

Zmieniające się realia geopolityczne, w tym przede wszystkim wojna w Ukrainie, wpływają na strategię i cele cyberprzestępców. Łamane są dawne zasady etyczne, jak – przykładowo – długo obowiązujący w tym środowisku zakaz atakowania celów na terenie Rosji. Dzieje się tak ponieważ część cyberprzestępców dostrzega teraz mniejsze ryzyko współpracy organów ścigania, właśnie ze względu na występujące napięcia geopolityczne. Ta zmiana doprowadziła do wzrostu liczby cyberataków wymierzonych zarówno w Rosję, jak i Ukrainę, a podziemne fora hostują oferty pracy i usługi mające na celu wykorzystanie tych regionów.

Zwiększa się także wykorzystanie rosyjskojęzycznego cyberpodziemia, przez osoby powiązane z tamtejszym rządem, do realizacji kampanii szpiegowskich czy sabotażowych przy zachowaniu możliwości „wiarygodnego zaprzeczenia”. Łącząc ataki motywowane finansowo z kampaniami politycznymi, aktorzy cyberzagrożeń mogą ukryć swoje zaangażowanie w cyberoperacje.

Wzrost odnotował także haktywizm, ponieważ motywacje ideologiczne skłaniają cyberprzestępców do atakowania rządów, organizacji wojskowych i coraz częściej – krytycznej infrastruktury. Przykładowo, w ciągu ostatnich miesięcy ofiarą cyberprzestępców padły w Polsce m.in. oczyszczalnia ścieków w Kuźnicy (październik 2024 roku), stacje uzdatniania wody w Tolkmicku, Małdytach i Sierakowie (luty 2025 roku) czy oczyszczalnia ścieków w Wydminach (kwiecień 2025 roku). Wszystkie te ataki potwierdził CERT Polska. Tego typu działania są często maskowane jako aktywizm, ale służą szerszym celom przestępczym lub politycznym.

Jak już wspomniano wcześniej, sankcje i ograniczenia finansowe zmuszają cyberprzestępców do korzystania z szarych usług finansowych, kryptowalut i międzynarodowych rynków. A to napędza jeszcze większą globalizację cyberpodziemia. W efekcie rośnie m.in. współpraca rosyjsko- i chińskojęzycznych grup przestępczych w zakresie sprzedaży exploitów, dostępów oraz rekrutacji.

„Aby stawić czoła tym rozwijającym się zagrożeniom, rządy i przedsiębiorstwa muszą zintegrować wiodące platformy bezpieczeństwa, zaawansowane informacje wywiadowcze dotyczące zagrożeń i analizę strategiczną, ze swoimi procedurami zarządzania narażeniem na ryzyko cybernetyczne (CREM). Tym samym zapewniając, że będą w stanie skutecznie przeciwdziałać rosnącemu wyrafinowaniu i koordynacji zagrożeń cybernetycznych” – podsumowują twórcy raportu.