Podczas wojny na Ukrainie cyberprzestrzeń Łotwy stoi przed nowymi wyzwaniami. Rosyjskie cyberataki mogą być globalnym zagrożeniem, ale szczególnie zagrożeni są sojusznicy atakowanego kraju. Wśród nich, oprócz Polski, jest Łotwa, która jako jedna z pierwszych ogłosiła Rosję „państwowym sponsorem terroryzmu” i w sierpniu przestała wydawać wizy wjazdowe jej obywatelom.
Zanim Rosja najechała Ukrainę pod koniec lutego, większość cyberataków na łotewskie organizacje była motywowana finansowo, ale teraz krajowe agencje ds. bezpieczeństwa cybernetycznego muszą radzić sobie z poważniejszymi zagrożeniami – prorosyjskimi haktywistami i hakerami państwowymi atakującymi rząd, infrastrukturę krytyczną i prywatne firmy.
Od początku wojny liczba cyberataków na Łotwie wzrosła o ponad 30 procent. Cyberataki prokremlowskich grup haktywistycznych takich jak Killnet zwykle nie przynoszą niczego poza rozgłosem, chociaż działalność hakerów wspieranych przez państwo jest z pewnością powodem do niepokoju.
Redaktor z The Record odwiedził w tym miesiącu Varisa Teivansa, zastępcę kierownika łotewskiego zespołu ds. gotowości na wypadek awarii komputerowych w biurze CERT w stołecznej Rydze, aby porozmawiać o nowych wyzwaniach, jakie wojna Rosji z Ukrainą stawia dla bałtyckiej cyberprzestrzeni.
Grupy ATP a samozwańczy hakerzy
Według Teivansa cyberataki, które przyciągają największą uwagę łotewskich mediów, są zwykle przeprowadzane przez prokremlowskich haktywistów, w tym Killnet i jego podmioty stowarzyszone (takie jak XakNet i FuckNet).
Najczęściej organizują one rozproszone ataki typu „odmowa usługi” (DDoS), zalewają witryny niechcianym ruchem w celu wyłączenia ich z sieci lub publikują groźby na stronach głównych znanych portali, co jest znane jako ataki typu „defacement”. Większość z nich skutecznie zwalczają łotewscy specjaliści od cyberbezpieczeństwa, a te, które trafiają w cele, nie mają trwałego wpływu na użytkowników zewnętrznych.
Na przykład Killnet przeprowadził atak DDoS na stronę łotewskiego parlamentu na początku sierpnia. Witryna była unieruchomiona kilka godzin, ale ostatecznie nie zakłóciło to pracy decydentów. Haktywiści często atakują w odpowiedzi na konkretne wydarzenia; według Teivansa Łotwa opisała Rosję jako „państwowego sponsora terroryzmu” niedługo przed atakiem DDoS na stronę parlamentu.
W lipcu prokremlowscy haktywiści niemal codziennie atakowali łotewskie systemy komputerowe, oburzeni decyzją rządu łotewskiego o zburzeniu prawie 300 sowieckich pomników. To, co osiągnęli, to zakłócenie niektórych usług biletowych w transporcie publicznym i wyłączenie kilku organizacji charytatywnych. Raczej nie mają się czym chwalić.
Według Teivansa rosyjscy haktywiści mają nikłe zrozumienie tego, do czego celują. Kiedyś zaatakowali stronę internetową nieczynnego już łotewskiego lotniska i przez pomyłkę włamali się do agencji odpowiedzialnej za rekreację, myląc ją z Ministerstwem Spraw Wewnętrznych.
„Rosyjscy haktywiści to projekt PR, a nie utalentowani hakerzy” – powiedział Teivans. „Za każdym razem, gdy twierdzą, iż włamali się na niektóre z naszych stron internetowych i ujawnili tajne informacje, jest to kłamstwo, czasem bardzo żałosne”.
„Rosyjscy haktywiści to projekt PR, a nie utalentowani hakerzy. Za każdym razem, gdy twierdzą, iż włamali się na niektóre z naszych stron internetowych i ujawnili tajne informacje, jest to kłamstwo, czasem bardzo żałosne”.
Varis TeivansNa przykład FuckNet twierdził kiedyś, iż włamał się na stronę internetową prezydenta Egilsa Levitsa i ukradł dane, które, jak się okazało, były publicznie dostępnymi informacjami o zamówieniach.
Istnieją jednak bardziej wyrafinowane operacje cybernetyczne prowadzone przez zdolnych rosyjskich hakerów – tak zwane grupy zaawansowanego trwałego zagrożenia (APT). „Są to ataki, które najbardziej nas niepokoją” – powiedział Teivans.
Zagrożenia dla infrastruktury krytycznej
Wśród najczęstszych celów APT są usługi państwowe, obiekty infrastruktury krytycznej i firmy współpracujące z rządem.
Teivans poinformował, iż te same grupy hakerów, które zaatakowały Ukrainę, próbowały skompromitować infrastrukturę telekomunikacyjną i energetyczną Łotwy, choć dodał, iż nie może ujawnić nazw grup ani wpływu tych ataków ze względów bezpieczeństwa.
We wrześniu ukraińskie władze ostrzegły, iż Rosja planuje zwiększyć intensywność ataków DDoS na infrastrukturę krytyczną najbliższych sojuszników Ukrainy, w tym kraje bałtyckie. Według ukraińskiego wywiadu starannie zaplanowane cyberataki na adekwatne cele mogą zwiększyć wpływ ataków rakietowych na instalacje elektryczne.
Teivans potwierdził, iż rosyjscy hakerzy mogą zintensyfikować ataki na europejski sektor energetyczny i część infrastruktury krytycznej. W rzeczywistości mogli przygotowywać się do tych ataków od miesięcy. „Operacje APT nie są oportunistyczne” – powiedział Teivans. „Hakerzy państwowi zwykle «siedzą» przez chwilę w krytycznych sieciach, czekając na idealny moment do ataku”.
Słowo na koniec
Jak powiedział Teivans, który pracuje w CERT od jego powstania w 2007 roku, Łotwa była częstym celem rosyjskich hakerów jeszcze przed rozpoczęciem wojny na Ukrainie. Atakowali oni Łotwę wielokrotnie na przykład podczas wyborów parlamentarnych w październiku 2018 r. i po nich. Ataki te nie zmieniły wyników wyborów, ale wywołały nieufność między Moskwą a Rygą. Przed wyborami prorosyjscy hakerzy zastąpili pierwszą stronę podobnego do Facebooka łotewskiego portalu społecznościowego rosyjską flagą i napisem „Dlaczego Łotysze, to was dotyczy. Granica rosyjska nie ma granic!”.
Chociaż Łotwa przygotowuje się do rosyjskich ataków, Teivans nie sądzi, żeby zostały one przeprowadzone w taki sam sposób, jak na cele ukraińskie.
„Wciąż jesteśmy na etapie, w którym wojna kinetyczna jest priorytetem dla atakującego narodu, podczas gdy cybernetyka to tylko narzędzie cyberprzestępców, aby uzyskać przewagę gospodarczą i polityczną, lub środek do wspierania operacji kinetycznych” – powiedział w podsumowaniu wywiadu łotewski specjalista CERT.