Rosyjscy hakerzy dokonali kolejnego ataku na polskie strony internetowe. Tym razem na celowniku okazały się witryny mediów. – To nasza rzeczywistość i takie działania sprawiają, że trzeba do nich się przygotowywać – uważa dr Łukasz Olejnik, niezależny badacz i konsultant cyberbezpieczeństwa, związany z Genewską Akademią Międzynarodowego Prawa Humanitarnego i Praw człowieka, autor książki „Filozofia Cyberbezpieczeństwa“, która we wrześniu ukaże się także w języku angielskim.
Ministerstwo Cyfryzacji poinformowało, że wczoraj zostały zaatakowane strony: polityka.pl, niezalezna.pl, ceneo.pl, wyborcza.pl, rp.pl, se.pl, wpolityce.pl, wprost.pl, a także login.gremimedia.pl i login.wyborcza.pl. Niektóre portale ogłosiły o chwilowych trudnościach z wejściem na strony. Miały do czynienia z atakiem DDoS.
Szef resortu cyfryzacji Janusz Cieszyński zaznaczył, że redakcje zostały wcześniej poinformowane o planowanych atakach. - Cieszy mnie to, że mamy takie informacje przynajmniej z pewnym wyprzedzeniem - zaznaczył.
LRT.lt rozmawia z dr. Łukaszem Olejnikiem, niezależnym badaczem i konsultantem cyberbezpieczeństwa, który uważa, że głównym celem podobnych działań jest sprawić, że zostaną one wyolbrzymione w mediach i staną się częścią debaty publicznej.
Panie doktorze, Ministerstwo Cyfryzacji potwierdziło atak rosyjskich hakerów na polskie serwisy informacyjne. Co w taki sposób chcą osiągnąć?
To był cyberatak polegający na "wypełnieniu łączy, nasyceniu ich ruchem, czyli na wykonywaniu wielu "fałszywych" połączeń ze stronami internetowymi i serwerami. Z tego, co wiemy, hakaktywiści, czy też operatorzy zainteresowani przeprowadzeniem tego rodzaju działań skierowali je w strony rządowe. Najwyraźniej nie odnieśli efektu, więc zwrócili się w stronę innych, także mocno widocznych celów, czyli w media publiczne.
Minister cyfryzacji Janusz Cieszyński mówił, że w taki sposób odbywają się próby destabilizacji Polski. Czy oznacza to, że są doprowadzane do skutku?
Niewątpliwie jednym z celów jest sprawienie, że tematem zainteresuje się opinia publiczna, czyli chodzi tu o wywołanie efektu informacyjnego. Można powiedzieć, że to w pewnym stopniu się udało, choć nie do końca, bo tak naprawdę niewielu ludzi poważnie się przejęło tematem. Warto odnotować, że 2023 r. jest w Polsce rokiem wyborczym. Narzucanie tego typu agendy poprzez działania zewnętrzne może być jednym z celów, które rzeczywiście ktoś ma mieć na uwadze.
Analiza izraelskiej firmy Check Point wskazuje, że hakerzy atakują polskie firmy i instytucje już średnio 2 tys. razy tygodniowo. Jakie są główne przyczyny? Czy w przyszłości częstotliwość ataków będzie taka sama?
Jeżeli się podłączymy do internetu, to zawsze możemy zostać celem cyberataku, niezależnie od tego, co by się działo. Taka jest rzeczywistość. Nie używałbym jednak terminu „atak cybernetyczny“, ponieważ te obecne takimi nie były (na pewno nie były “atakami” w rozumieniu formalnym, prawnym), a w tym wypadku terminologia jest ważna. Mógłbym to określić raczej mianem cyberataku.
Trudno nie zauważyć, że Polska wspiera Ukrainę będącą celem rosyjskiej inwazji. Działania w cyberprzestrzeni mogą być zatem jedną z odpowiedzi aktorów związanych ze strukturami rosyjskimi. Jest to faktycznie jedna platforma, za pomocą której można czynić jakiegoś rodzaju odpowiedzi, może nie jakoś poważnych, aczkolwiek związanych z działaniami osób, które odpowiedź mogą zauważyć i jakoś zinterpretować, np., politycznymi dyskusjami, nagłośnieniami i być może wyolbrzymieniem. Prawdopodobnie właśnie dlatego są podejmowane, ponieważ w związku z nimi nikt przecież nie podejmie się odpowiedzi odpowiedzi zbrojnej. To działania poniżej progu użycia siły - czegoś, co by uzasadniało odpowiedź zbrojną kraju należącego do Sojuszu Północnoatlantyckiego.
Jakie są główne narzędzia i sposoby, jakich dokonują hakerzy w takich przypadkach?
Mogą to być hakerzy lub haktywiści, ale jeśli mowa o działaniach struktur państwowych, byliby to raczej cyberoperatorzy, czyli osoby zajmujące się tym zawodowo. Jest bardzo duże spektrum działań, które można podejmować w przestrzeni informacyjnej, na przykład, kierowanie propagandy i dezinformacji, a także działania typu wykonywanie fałszywych połączeń (atak odmowy usługi, DDoS), żeby się nie dało wejść na stronę. W przypadku stron mediów polskich teraz mieliśmy do czynienia właśnie z takim działaniem. Bardziej zaawansowane metody to aktywne przełamywanie zabezpieczeń, uzyskiwanie dostępu do danych systemów rządowych, cywilnych, także przejmowanie kontroli nad stronami, często odwiedzanymi przez publikę, czyli tymi widocznymi. Takie działania były częste również przed rozpoczęciem inwazji na Ukrainę, wymierzone także w Polskę, jak i na Litwę.
Znane są przypadki zhakowania w Polsce i na Litwie stron ośrodków, które zostały wykorzystane do szerzenia fałszywych treści. Przykładowo w 2021 r., kiedy kierowano komunikaty o tym, że rzekomo na Litwie miało powstać źródło wycieku radioaktywnego. Zostało to wzmocnione oznakowaniem Polskiej Agencji Atomistyki. Była to zatem zsynchronizowana cyberoperacja cybernetyczna wymierzona konkretnie w nasz region Europy Środkowo-Wschodniej.
Jak by Pan ocenił polskie sposoby obrony cybernetycznej? Czy systemy zabezpieczeń są mocne?
Aby się obronić przed podobnym atakiem jak ten wymierzony w polskie media (DDoS), trzeba posiadać łącza o dużej pojemności lub sposoby na absorpcję fałszywego ruchu, który ma wyłącznie wypełnić łącze i uniemożliwić serwowanie usług. Właśnie dlatego nie udały się działania wobec stron rządowych, bo ruch, który zaangażowano do zablokowania mediów był zapewne mniejszy niż ten, który były w stanie obsłużyć systemy rządowe. Istnieją też techniczne metody przełączania takiego ruchu sieciowego i kierowania go w zupełnie inną stronę.
W przypadku stron rządowych taka absorpcja była możliwa, bo dysponują one sieciami o dużej pojemności. Być może w przypadku niektórych stron mediów to nie było do końca możliwe, stąd pewien efekt, choć bardzo ograniczony. Nie należałoby przesadzać z wyolbrzymieniem znaczenia, bo atakujący z tego wyłącznie skorzystają.
Resort cyfryzacji twierdzi, że poinformował media o incydencie z wyprzedzeniem. Czy można w jakiś sposób zrozumieć, że taki atak jest przeprowadzany i do niego się przygotować?
Można, mając prywatne serwisy internetowe - korzystając z dostawców komercyjnych oferujących takie usługi “absorpcji” fałszywego ruchu.
W ogólności, ryzyko podobnych działań "cyber" znacznie wzrosło, w szczególności od stycznia ubiegłego roku, czyli jeszcze przed podjęciem działań wojennych przez Rosję. To zostało od razu zauważone przez stronę polską, która podniosła alert gotowości.
W rzeczywistości wykorzystywanie cyberoperacji w celach geostrategicznych jest powszechne od wielu lat. To, że mamy faktycznie sytuację agresji zbrojnej i cyberoperacje towarzyszą celom wojskowym jest nie tylko zauważalne, ale i wcześniej oczekiwane.
Co z kolei robić nam - dziennikarzom i internautom? Jak się chronić?
Cyberoperacje i inne cyberdziałania mogą być wymierzone w konkretnych użytkowników, czyli również w poszczególnych dziennikarzy. Trzeba zatem uważać na to, co się robi w internecie i w co się klika, nie podchodzić tak do końca z zaufaniem do podejrzanych wiadomości. Mogą być wysyłane przez kogoś, kto prowadzi cyberoperację i przesyła fałszywkę na jej początkach. Czasami może to być trudne do wykrycia. Nie każdy musi się jednak znaleźć na celowniku lub stać się obiektem bardzo wyszukanych działań. Należy się kierować zdrowym rozsądkiem. Jeśli mamy wątpliwości, czy z nami faktycznie ktoś się skontaktował, można po prostu odezwać się do niej innym kanałem, na przykład zadzwonić i się upewnić, czy nie jest to fałszywa wiadomość. Pomaga to się chronić m.in. przed phishingiem i pozyskiwaniem dostępu do systemu.
Czytaj również
Pan już wspomniał o tym, że niektóre fałszywki są trudno rozpoznawalne. Jakie są zatem oznaki takich wiadomości?
To jest bardzo dobre pytanie, bo wszystko zależy od tego, ile pracy atakujący włożył w to, żeby coś wyglądało wiarygodnie. Adres e-mail może wyglądać identycznie i być nawet prawdziwy, zwłaszcza gdy ktoś przełamał zabezpieczenia i wtedy wysłał email z prawdziwej skrzynki. Warto wziąć pod uwagę kwestie stylistyczne, na przykład, błędy gramatyczne czy zdania przetłumaczone automatycznie, maszynowo. Oznacza to, że osoba wysyłająca wiadomość może nie posługiwać się językiem polskim. Mimo wszystko, trzeba dwa razy się zastanowić przed podjęciem działań, które niosą za sobą jakieś konsekwencje, na przykład, finansowe. Tutaj poleca się podejście ograniczonego zaufania do tego, co nam się wyświetla na ekranie.
