ESET – firma zajmująca się bezpieczeństwem – odkryła, iż dwie rosyjskie grupy hakerów, Gamaredon i Turla, zaczęły działać razem przeciwko ukraińskim instytucjom, zwłaszcza tym związanym z obronnością. To pierwszy raz, gdy udokumentowano taką współpracę: cyberwojna i jej techniki coraz bardziej się rozwijają. Badacze zauważyli sytuacje, w których narzędzia Gamaredona uruchamiały ponownie szpiegowskie oprogramowanie Turli na zainfekowanej maszynie, a w innych przypadkach programy Turli były wgrywane właśnie przy użyciu narzędzi Gamaredona. Mówiąc prosto: jedna grupa „otwiera drzwi” i robi bałagan, a druga wchodzi i zostaje po cichu tam, gdzie są najbardziej wrażliwe informacje.
Gamaredon działa co najmniej od 2013 roku i atakuje na dużą skalę urzędy, wojsko i inne ważne instytucje na Ukrainie. Najczęściej robi to przez sprecyzowany phishing (czyli bardzo wiarygodne, przygotowane „pod kogoś” fałszywe maile) oraz przez zainfekowane pliki na pendrive’ach i innych nośnikach.
Turla to z kolei grupa szpiegowska obecna co najmniej od 2004 roku, znana z uderzeń w rządy i ambasady w Europie, Azji Centralnej i na Bliskim Wschodzie; w przeszłości włamała się m.in. do amerykańskiego Departamentu Obrony oraz szwajcarskiej firmy RUAG. W tym roku ESET znalazł ślady Turli tylko na siedmiu urządzeniach w Ukrainie, podczas gdy Gamaredon zaraża setki, a choćby tysiące komputerów. To pokazuje pewien podział ról: Gamaredon zaraża masowo, Turla wybiera nieliczne, ale najcenniejsze cele.
Czytaj też: Czy wojna w Ukrainie wpłynęła na cyberbezpieczeństwo w Polsce?
Cyberwojna w Ukrainie: hakerzy powiązani z FSB
Obie grupy są (niestety) powiązane z rosyjską FSB, ale co ciekawe, z różnymi jej częściami. Według ukraińskich służb Gamaredon ma być prowadzony przez oficerów tzw. Centrum 18 FSB na Krymie (to część kontrwywiadu), a brytyjskie Narodowe Centrum Cyberbezpieczeństwa wiąże Turlę z Centrum 16 FSB, odpowiedzialnym za wywiad sygnałowy: to spadkobiercy komórki KGB zajmującej się zdobywaniem informacji dzięki przechwytywania sygnałów. W czasach ZSRR podobne jednostki współpracowały ze sobą, choćby w 2018 roku ukraińska SBU opisała wspólną kampanię ich następców o kryptonimie SpiceyHoney. Pełnoskalowa wojna rozpoczęta w 2022 roku prawdopodobnie taką współpracę jeszcze zacieśniła.
Sedno odkrycia ESET polega na tym, iż rosyjskie cyberoperacje coraz częściej działają „na dwie ręce”. Najpierw ktoś robi szybkie, szerokie wejście do wielu komputerów (w tym przypadku to rola Gamaredona), a potem ktoś inny wchodzi tylko tam, gdzie naprawdę warto i efektownie, długoterminowo wydobywa informacje (tu np. Turla). Z punktu widzenia Ukrainy to również ważna informacja: nawet jeżeli uda się usunąć pierwszą, „głośną” infekcję, w wybranych miejscach może zostać coś bardziej wyspecjalizowanego, nastawionego na ciche podkradanie wrażliwych, strategicznych danych.
Wszystko to wpisuje się także w wojenną logikę ekonomii zasobów: Gamaredon jako masowe wejście (tanie, szybkie, podatne na wykrycie) i Turla jako chirurgicznie wycelowany operator (drogi, rzadki, cichy). Taki duet ogranicza ryzyko przepalenia zaawansowanych narzędzi szpiegowskich, bo są uruchamiane wtórnie dopiero po skutecznym i szerokim wejściu.
Czytaj też: Złe boty przejmują coraz więcej ruchu w internecie, a sztuczna inteligencja daje im lepsze możliwości ataków
Nie przegap najważniejszych trendów w technologiach!
Zarejestruj się, by otrzymywać nasz newsletter!
Jakie są praktyczne wnioski dla Polaków?
Z punktu widzenia obrony najważniejsze jest zrozumienie, iż teraz masowe ataki na dużą grupę urządzeń (np. spearphishingiem) niekoniecznie są celem samym w sobie. Przy bardziej wyspecjalizowanych operacjach mogą być wyłącznie wstępem do selektywnego pogłębienia penetracji tam, gdzie napastnik zidentyfikuje wysoką wartość informacyjną.
Dla nas, Polaków, ta historia nie jest wyłącznie tech-newsem z frontu ukraińskiego. Mechanika, którą ESET opisał, czyli masowe, szybkie wejścia i późniejsze ciche szpiegowanie na wybranych, najcenniejszych maszynach, to wzorzec, który niestety działa niezależnie od granic.
Jeśli w pracy korzystasz ze służbowej poczty, współdzielisz dokumenty, nosisz dane na pendrive’ach albo podłączasz cudze nośniki „na chwilę”, to często właśnie w takich chwilach zaczyna się pierwszy etap „otwierania drzwi” w bardziej złożonych operacjach. Drugi etap pozostaje często niewidzialny już tylko tam, gdzie dane mają największą wartość. To dobra lekcja dla polskich firm i instytucji: pierwszy, głośny incydent nie musi być celem samym w sobie, bywa przystawką do adekwatnego ataku.
Czytaj też: Jak będzie wyglądać wojna przyszłości? Technologie i maszyny
Żadne technologie nie zastąpią dobrych nawyków z cyberbezpieczeństwa!
Z perspektywy zwykłego użytkownika najlepszą tarczą pozostają nawyki: ostrożność wobec „personalizowanych” maili i załączników, weryfikacja nadawcy, brak automatycznego klikania w linki, a w organizacjach – proste zasady higieny pracy z nośnikami wymiennymi. ESET wskazuje spearphishing i zainfekowane pliki jako najbardziej prawdopodobne drogi wejścia, więc to właśnie tam warto uważać najbardziej. Natomiast po uporaniu się z masowym atakiem już dziś raczej nie powinno się zakładać, iż system jest czysty – trzeba sprawdzać, czy w newralgicznych miejscach nie pozostało coś, co może działać długo i po cichu.
I na koniec my, Polacy, powinniśmy myśleć o cyberatakach w kategoriach współpracy: łączenia operacyjnej czujności użytkowników, procedur w instytucjach i pracy zespołów bezpieczeństwa. Nie chodzi o straszenie, a o zrozumienie, iż coraz częściej cyberataki mogą być kilkustopniową układanką i iż powodzenie choćby najbardziej zaawansowanych kampanii może zależeć od bardzo „zwykłych” czynności po stronie każdego z nas, czyli maila, załącznika, podłączonego pendrive’a.
Źródło zdjęcia tytułowego: iStock
