Rosyjski ekosystem cyberprzestępczości

homodigital.pl 3 godzin temu

Pełnoskalowa inwazja na Ukrainę w lutym 2022 roku zmieniła rosyjski ekosystem cyberprzestępczości, który uchodził za najbardziej zaawansowany i profesjonalny na świecie.

Przed inwazją większość grup cyberprzestępczych, w tym w szczególności zajmujących się ransomwarem, działała głównie dla zysku i korzystała z milczącej zgody Kremla pod warunkiem nieatakowania celów rosyjskich i współpracy ze służbami w razie potrzeby. Wojna zmieniła system działania cyberprzestępców z rosnącą kontrolą ze strony państwa i wykorzystaniem tych grup to bezpośrednich operacji prowadzonych przez Kreml.

Czytaj też: Rosja wykorzystuje technologię ElevenLabs do dezinformacji

Jak wyglądała sytuacja cyberprzestępczości w Rosji przed 2022 rokiem

Rosyjskojęzyczne podziemie cyberprzestępcze było jednym z najbardziej rozwiniętych, zorganizowanych i profesjonalnych ekosystemów przestępczych na świecie. Działało jak dobrze naoliwiona maszyna korporacyjna – z hierarchią, specjalizacją ról, systemami reputacji i arbitrażem sporów. Szacuje się, iż było najgroźniejsze pod względem zdolności, wyrafinowania ataków i zasięgu geograficznego.

Ekosystem opierał się na niepisanej umowie między cyberprzestępcami a rosyjskim państwem. Umowa nazywana była Dark Covenant. Przestępcy nie atakowali celów w Rosji oraz przede wszystkim nie powodowali problemów na własnym podwórku. W zamian państwo praktycznie nie ścigało ich – zapewniało niemal całkowitą bezkarność, a najlepszych rekrutowano do służb specjalnych. Zamiast celów w Rosji atakowano instytucje na Zachodzie. Moskwa w ten sposób mogła się cieszyć z osłabiania swojego głównego przeciwnika, jednocześnie odcinając się od sprawców, argumentując, iż są to jednostki niezależne od władzy. Rosja stawała się bezpieczną przystanią dla cyberprzestępców i choćby grupy objęte sankcjami USA działały otwarcie nieniepokojone.

Cyberprzestępców można podzielić na trzy grupy:

  • Mających bezpośrednio powiązania z Kremlem. Zostali oni złapani na gorącym uczynku i zaproponowano im pracę w służbie Kremla w zamian za odbycie kary więzienia.
  • Współpracujących z agencjami rządowymi poprzez dzielenie infrastruktury i sporadyczną wymianę informacji
  • Osoby działające za cichym przyzwoleniem Kremla, dopóki nie atakują oni celów w Rosji.

Czytaj też: Mariupol. Dlaczego Rosjanom tak bardzo zależy na zdobyciu tego miasta?

Co oferowało rosyjskie podziemie cyberprzestępcze przed wojną?

Rosyjskie podziemie cyberprzestępcze oferowało najróżniejsze usługi od bulletproof hosting, czyli możliwość hostowania treści nielegalnych i nieetycznych treści bez obaw o ich usunięcie, ransomware jako usługę, udostępnianie botnetów, przeprowadzanie ataków DDOS oraz inne usługi. Wsławili się również dużymi operacjami, które znacząco wpłynęły na państwa zachodnie.

Rosyjscy cyberprzestępcy z grupy DarkSide stali za atakiem na ropociąg Colonial Pipeline 2021, który doprowadził do jego wyłączenia. Mowa o ropociągu transportującym 45% paliwa na wschodnim wybrzeżu USA! Spowodowało to niedobory paliwa, podwyżki na stacjach benzynowych i wybuch paniki. Colonial Pipeline zapłaciła cyberprzestępcom 4,4 mln dolarów. Grupa przedstawiała się jako apolityczna i niezwiązana z Kremlem, ale po nagłośnieniu sprawy i naciskach ze strony USA przestała istnieć.

Inny przykład rosyjskich ataków dokonanych przez cyberprzestępców dotyczy grupy Conti, która sparaliżowała z pomocą ataków ransomware irlandzki system ochrony zdrowia. Zaszyfrowano tysiące urządzeń w całej Irlandii, a pacjenci mieli olbrzymie problemy. Odwołano zabiegi, operacje, badania a placówki służby zdrowia musiały przejść na tryb papierowy na wiele tygodni. Irlandzki rząd odmówił zapłaty okupu w wysokości 20 milionów dolarów. Te dwa incydenty pokazują stopień zaawansowania i wyrafinowania rosyjskich grup przestępczych oraz zagrożenie dla kluczowej infrastruktury państw zachodnich.

Czytaj też: Rosjanie i ich świat wypranych mózgów. Czego uczą rosyjskie media

Kontrola państwa zacieśnia się, czyli zmienia się rosyjski ekosystem cyberprzestępczości

Rosyjska pełnoskalowa inwazja na Ukrainę w 2022 roku zmieniła krajobraz cyberprzestępczości w Rosji. Wprowadziła chaos do uporządkowanego ekosystemu cyberprzestępców oraz zmusiła niektóre grupy do zerwania współpracy z partnerami z innych państw WNP, przede wszystkim w Ukrainie. Cześć grup jednoznacznie opowiedziała się za rosyjską inwazją, inne próbowały wciąż utrzymać, iż są apolityczne. Jeszcze inne rozpadły się na różne frakcje, które zajęły odmienne stanowisko. Jednym z przykładów jest grupa Conti, która zakończyła swoją działalność kilka tygodni po rozpoczęciu pełnoskalowej inwazji.

Główną zmianą widoczną po rozpoczęciu pełnoskalowej inwazji było zerwanie z tradycyjnym tolerowaniem działalności grup cyberprzestępców na rzecz aktywnego zarządzania nimi i angażowania ich w rosyjskie cele geostrategiczne. Autonomia, którą cieszyły się grupy, zdecydowanie się zmniejszyła. Od 2023 roku rosyjskie władze zorganizowały pokazowe aresztowania dla niektórych grup, pokazując, co grozi za brak współpracy, jednocześnie wspierając i wzmacniając ugrupowania lojalne względem Kremla oraz te, których działalność była szczególnie potrzebna i przydatna.

Za zmianą polityki zaszły również zmiany ze współpracy ze służbami, które zaczęły wydawać bezpośrednie rozkazy cyberprzestępcom. Pogłębiło to chaos w środowisku cyberprzestępców i prowadziło do dalszej erozji zaufania między grupami. Zdarzały się też sytuacje, iż rosyjskie organy ścigania podszywały się pod przestępców. Doszło choćby do tego, iż rosyjscy cyberprzestępcy byli używani w ramach wymiany z państwami zachodnimi na ważne osoby.

Czytaj też: Wojna w Ukrainie. Jaki jest stan polskiej armii?

Jak Operacja Endgame wpłynęła na rosyjski ekosystem cyberprzestępczości?

Nie tylko zmiana w ekosystemie działania rosyjskich cyberprzestępców wynikała z polityki Kremla, ale również wzmożonej aktywności międzynarodowych organów ścigania.

Dobrym przykładem jest tutaj Operacja Endgame przeprowadzona przez służby na cały świecie pod przewodnictwem Europolu, której celem było zwalczenie infrastruktury cyberprzestępców takiej jak botnety, serwery, domeny internetowe oraz inne narzędzia używane przez cyberprzestępców. Te działania poważnie zakłóciły ich operacje.

Ponadto ze względu na zagrożenie rosyjskimi cyberatakami instytucje rządowe oraz sektor prywatny na Zachodzie wzmocnił cyberbezpieczeństwo. W Polsce przejawiało się to wprowadzeniem alertu Charlie CRP ze względu na zwiększone ryzyko ataków. Wymagało to podjęcia przez administrację szeregu działań ukierunkowanych na wzmocnienie cyberbezpieczeństwa. Wprowadzenie restrykcyjnych polityk przeciwdziałania ransomware pozbawiło grupy jednego z najważniejszych źródeł dochodów. W takiej sytuacji liczyło się zyskanie przychylności Kremla i zagwarantowanie sobie ochrony z jego strony.

Szczególnie obawiać się powinny osoby odpowiedzialne za platformy do prania pieniędzy czy oferujące tzw. bulletproof hosting, czyli możliwość hostowania treści nielegalnych i nieetycznych treści bez obaw o ich usunięcie. Na ochronę mogą liczyć przede wszystkim osoby, które wcześniej współpracowały ze służbami oraz eksperci od ransomware.

Czytaj też: Rośnie znaczenie krytyczne infrastruktury podwodnej. Kto rządzi rynkiem?

Ekosystem cyberprzestępczości się zmienia

Działania podjęte przez rosyjski rząd, ale też międzynarodowe instytucje spowodowały liczne zmiany w działaniu cyberprzestępców, którzy musieli się zaadaptować. Doszło do licznego rebrandingu grup, ich decentralizacji, a czasem choćby podziału na mniejsze ugrupowania. Grupy wzmocniły swoje bezpieczeństwo operacyjne, zaostrzyły procedury rekrutacyjne, przez co trudniej dostać się do nich przypadkowym kandydatom. Unika się w tej chwili wszystkich nierosyjskojęzycznych osób, upatrując w nich potencjalnych funkcjonariuszy państw zachodnich.

Z drugiej strony zacieśniono współpracę z chińskimi cyberprzestępcami, wymieniając informacje na temat złośliwego systemu oraz innych narzędzi. Naturalnie takie działania doprowadziły do wzrostu kosztów działalności. Również coraz więcej grup zaczęło bezpośrednio współpracować z Kremlem oraz dzielić z nim swoją infrastrukturę i dane. Grupy, które działały wcześniej za cichym przyzwoleniem albo zniknęły albo zmieniły sposób kooperacji z rządem.

Czytaj też: Tak USA chcą walczyć z Rosją. Zdradzamy co mówiła doradczyni Bidena

RaaS (Ransomware jako usługa) jednym z najmniej dotkniętych obszarów cyberprzestępczości w Rosji

Jednym z najmniej dotkniętych obszarów działalności cyberprzestępczej były RaaS (ransomware jako usługa). Zaobserwowano wprawdzie spadek otwartych ogłoszeń oferowanych przez aktywne przez dłuższy czas i godne zaufania grupy, ale wciąż wiele takich ofert można było znaleźć w sieci. Ponadto ograniczono działania grupy ransomware o kraje BRICS (Chiny, Indie, Brazylia, Afryka Południowa, Egipt, Etiopia, Indonezja, Arabia Saudyjska, Zjednoczone Emiraty Arabskie) oraz powstrzymano zakaz działania w krajach Wspólnoty Niepodległych Państw.

Mniejsza liczba otwartych ogłoszeń i przejście na rekrutację półzamkniętą to racjonalne sposoby dostosowania się do infiltracji i wybiórczego egzekwowania prawa w kraju. Operatorzy starają się utrzymać model generujący przychody. Jednocześnie zmniejszają powierzchnię ekspozycji.

Czytaj też: Nowy front rosyjskiej dezinformacji — chatboty AI — HomoDigital — Subiektywnie o technologii.

Co wyniknie ze zmian w Rosji?

Podsumowując, rosyjski ekosystem cyberprzestępczości zmienił się z tolerowania i przymykania oka władz na nielegalne działanie tych grup na większą kontrolę ze strony państwa. Cyberprzestępczość służy w tej chwili zdobywaniu funduszy, jak to miało miejsce wcześniej, ale również jest narzędziem budowania wpływów, zbierania informacji i wspierania polityki zagranicznej Kremla oraz wzmacniania pozycji geopolitycznej Moskwy. To właśnie od przydatności danej grupy cyberprzestępczej i jej zaangażowania we wsparcie polityki Kremla zależy, czy będzie ona chroniona i na jakie przywileje może liczyć. Rosja przestała odgrywać rolę bezpiecznego schronienia jak kiedyś dla wszystkich cyberprzestępców. w tej chwili jest to uzależnione od tego, co dana grupa może zaoferować. Wojna wpłynęła również na same grupy cyberprzestępcze, powodując często ich rozpad oraz spadek dochodów.

Źródło zdjęcia: sztuczna inteligencja Canva

Idź do oryginalnego materiału
  1. Strona główna
  2. Serwisy SEC
  3. Rosyjski ekosystem cyberprzestępczości

Powiązane

Ukraińcy wykiwali rosyjskich dowódców. „Metoda na Starlinka”

Ukraińcy wykiwali rosyjskich dowódców. „Metoda na Starlinka”...

14 godzin temu
Windows 11 z potężną zmianą. Tylko bezpieczne aplikacje

Windows 11 z potężną zmianą. Tylko bezpieczne aplikacje

17 godzin temu
Nowelizacja ustawy o cyberbezpieczeństwie uderzy w małe firmy? Nie spełnisz wymagań – stracisz kontrakt [PYTANIA DO EKSPERTA]

Nowelizacja ustawy o cyberbezpieczeństwie uderzy w małe firm...

20 godzin temu
Krajobraz zagrożeń 05-11/02/2026

Krajobraz zagrożeń 05-11/02/2026

20 godzin temu
Europejczycy chcą ostrzejszego podejścia do platform? Wyniki badania

Europejczycy chcą ostrzejszego podejścia do platform? Wyniki...

21 godzin temu
PowerConnect rusza już 18 marca!

PowerConnect rusza już 18 marca!

22 godzin temu
Najważniejsza dla cyberbezpieczeństwa ustawa wdrażająca NIS2 czeka na podpis Prezydenta

Najważniejsza dla cyberbezpieczeństwa ustawa wdrażająca NIS2...

22 godzin temu
Problemy z działaniem systemu KSeF. Minister finansów: To był skutek m.in. cyberataku

Problemy z działaniem systemu KSeF. Minister finansów: To by...

23 godzin temu

Polecane

Nocne ćwiczenia antyterrorystyczne na stacji kolejowej w Krakowie-Balicach

Nocne ćwiczenia antyterrorystyczne na stacji kolejowej w Kra...

1 dzień temu
Telegram też do wyrzucenia. Rosja ogranicza dostęp do komunikatora

Telegram też do wyrzucenia. Rosja ogranicza dostęp do komuni...

2 dni temu
Był mroźny grudniowy świt we wsi Łowoziero, gdy do drzwi Walentyny Sowkiny załom…

Był mroźny grudniowy świt we wsi Łowoziero, gdy do drzwi Wal...

1 tydzień temu
Dzwonu Pokoju i Przyjaźni Między Narodami przeszedł przegląd konserwatorski

Dzwonu Pokoju i Przyjaźni Między Narodami przeszedł przegląd...

2 tygodni temu
Nowy Targ. Dwa granaty odnalezione podczas prac budowlanych w Miejskiej Hali Lodowej

Nowy Targ. Dwa granaty odnalezione podczas prac budowlanych ...

2 tygodni temu
Fałszywy alarm bombowy na lotnisku w Krakowie-Balicach

Fałszywy alarm bombowy na lotnisku w Krakowie-Balicach

2 tygodni temu
Nie daj się oszukać metodą na podszywacza. Ogólnopolska kampania BLIK i polskiej Policji

Nie daj się oszukać metodą na podszywacza. Ogólnopolska kamp...

1 miesiąc temu
Pomyłka z walizką i działania minersko-pirotechniczne na krakowskim lotnisku

Pomyłka z walizką i działania minersko-pirotechniczne na kra...

1 miesiąc temu
RUSZYŁ PROCES MADURO. DYKTATOR Z ŻONĄ USŁYSZELI ZARZUTY

RUSZYŁ PROCES MADURO. DYKTATOR Z ŻONĄ USŁYSZELI ZARZUTY

1 miesiąc temu