MON i agendy wojskowe stały się głównym celem cyberprzestępców szukających ofiar w naszym kraju. Za zmasowanymi atakami stoją grupy powiązane z Moskwą, ale także wspierane przez Białoruś i Chiny – alarmuje Check Point Research (CPR), izraelska firma specjalizująca się w odpieraniu zagrożeń internetowych. Z jej najnowszych analiz wynika, że co tydzień w Polsce przeprowadzanych jest średnio 1106 takich uderzeń na pojedynczą organizację sektora rządowo-wojskowego. Badacze wskazują, iż w 53 proc. przypadków ataki miały na celu ujawnienie poufnych danych.

Czytaj więcej

Rosjanie stworzyli aplikację-pułapkę. Celem ukraińscy aktywiści

Skuteczny odpór

Check Point podaje, że większość cyfrowych ciosów jest z powodzeniem blokowana przez systemy bezpieczeństwa. Mimo to skala wrogich działań jest imponująca – choć i tak mniejsza niż średnia globalna, gdzie instytucje militarne atakowane są z częstotliwością 1675 razy tygodniowo – wynika z raportu izraelskiej firmy.

Sektor wojskowy na świecie jest drugim po branży edukacyjno-badawczej, gdzie aktywność cyberprzestępców jest najwyższa. Także w Polsce w ostatnim czasie to właśnie armia jest główną instytucją, na której hakerzy koncentrują swoje działania. Wedle danych CPR wśród cyberprzestępców „królują” grupy UNC1151 (znana też jako Ghostwriter), wiązana z białoruskim reżimem, wspierane przez Kreml Fancy Bear (nazywana też APT28) i Killnet czy Mustang Panda (kojarzona z Chinami).

Czytaj więcej

Największa w historii sprzedaż kradzionych danych. Miliard obywateli Chin

Już w marcu „The Washington Post” donosił, że celem głośnych wówczas cyberataków byli – obok ukraińskich urzędników – polscy wojskowi. Analitycy firmy Google odkryli wtedy, że grupa UNC1151 próbowała uzyskać ich dane uwierzytelniające. Jak twierdziła kilka miesięcy temu rzecznik Google’a Kaylin Trichon, miała to być pierwsza oficjalnie odnotowana próba ataku na konta żołnierzy w naszym kraju. Przedstawiciele służb mundurowych mają jednak świadomość rosnącego problemu i podejmują kroki, które mają odpierać działania hakerów. Stąd m.in. powołanie Sił Cyberobrony – jednostki, która ściśle współpracuje z Narodowym Centrum Cyberbezpieczeństwa – czy utrzymanie przez rząd trzeciego stopnia alarmowego Charlie-RCB (wprowadzony już 21 lutego br.) oraz drugiego stopnia alarmowego Bravo, aby przeciwdziałać zagrożeniom w cyberprzestrzeni. Analitycy podkreślają, iż tak wysoki stopień (trzeci z czterech) obowiązuje w naszym kraju po raz pierwszy.

Coraz mniej wyrafinowane ataki

Niewątpliwie Kreml dominuje na polu ataków hakerskich – potwierdził to właśnie amerykański Instytut Inżynierów, Elektryków i Elektroników (IEEE). W analizie opublikowanej w „Spectrum” podaje, że choć „wojna elektroniczna nie odegrała decydującej roli w inwazji, to teraz pomaga przechylić szalę na korzyść Rosji”. Bryan Clark, dyrektor Centrum Koncepcji i Technologii Obronnych Instytutu Hudsona wskazuje, że Moskwa posiada jedne z najbardziej doświadczonych i najlepiej wyposażonych na świecie jednostek do prowadzenia tego typu działań cybernetycznych.

Jednak i Kreml musi liczyć się z ripostą. Jak potwierdził w poniedziałek ukraiński resort transformacji cyfrowej, Kijów jest wspierany przez „międzynarodową armię IT” składającą się z ćwierć miliona hakerów-ochotników. Od 24 lutego zaatakowali oni ponad 6 tys. rosyjskich stron i serwisów internetowych. Ofiarą padły prokremlowskie media, agencja kosmiczna czy instytucje finansowe. W efekcie ataków utrudniono m.in. składanie przez kandydatów na studia dokumentów na uczelnie.

Czytaj więcej

Zagrożenia ze Wschodu przybierają na sile

Europa szykuje się do cyfrowej walki, a fundamentem ma być dyrektywa NIS2 (regulacje na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa w UE). W lipcu Komisja Przemysłu, Badań Naukowych, Telekomunikacji i Energii Parlamentu Europejskiego przyjęła wersję regulacji uzgodnioną z Radą Europejską. Dyrektywa ma zwiększać odporność i zdolność reagowania na e-incydenty sektora publicznego i prywatnego. Przepisy wymuszą posiadanie przez firmy i instytucje odpowiednich umiejętności reagowania na wypadek cyberataków oraz określą, które podmioty zyskają status operatorów usług kluczowych (mają go mieć te z sektorów energetycznego, transportowego, a także z branży zdrowia i infrastruktury cyfrowej).

Dziś cyberzagrożenia dotykają wszystkich w sieci. Dotychczas królowały wirusy m.in. szyfrujące dane i wymuszające okup (tzw. ransomware), ale w II kwartale br. po raz pierwszy od dawna na prowadzenie wyszło „standardowe” złośliwe oprogramowanie. Z raportu Cisco Talos wynika, że w okresie kwiecień–czerwiec ransomware stanowił 15 proc. wszystkich ataków (dla porównania w I kw. było to aż 25 proc.).

Jak podkreśla Caitlin Huey z Cisco Talos Intelligence Group, ma to związek z zakończeniem działalności części grup wymuszających okupy (m.in. na skutek śledztw prowadzonych przez organy ścigania), ale nie tylko. 20 proc. ataków to te z wykorzystaniem prostego szkodliwego oprogramowania, które można łatwo kupić lub nawet bezpłatnie pobrać, rosnąca popularność takich wirusów to zatem element zmasowanej kampanii. – Cyberprzestępcy, którzy je wykorzystują, stawiają na efekt skali – zaznacza Huey.

Wojciech Głażewski, dyrektor zarządzający Check Point Software Technologies w Polsce

Wprowadzenie i podniesienie alarmów Charlie oraz Bravo przez polski rząd jest wyraźnym sygnałem, iż scenariusz ataków na rodzime systemy, instytucje państwowe oraz militarne jest realny i nadal może przybierać na sile. Z najnowszych analiz Check Point Research wynika, że Ministerstwo Obrony Narodowej i agendy wojskowe stały się celem ataków, a sektor ten jest w Polsce obecnie najbardziej na nie narażony. Najczęściej powodem cyberataków jest chęć podważenia wizerunku danego państwa lub organizacji, jak również zdobycie dostępu do strategicznych danych.