W marcu 2022 roku ‘’The Washington Post’’ *donosił, że celem cyberataków byli – obok ukraińskich urzędników – polscy wojskowi. Za ataki mieli odpowiadać białoruscy hakerzy, w ramach szeroko zakrojonej akcji, mającej na celu kradzież ‘’poufnych danych’’ przy pomocy phishingu. Analizy firmy Check Point Research potwierdzają – wojsko jest najbardziej narażone na działania hakerów. Co tydzień dochodzi do ponad 1.100 ataków na ośrodki militarne w Polsce. Jednocześnie rząd RP podtrzymuje 3 stopień alarmowy Charlie-RCB oraz 2 stopień alarmowy BRAVO.
MON i agendy wojskowe stały się celem ataków. Jak podaje Check Point Research co tydzień w Polsce przeprowadzanych jest 1106 ataków na pojedynczą organizację z sektora rządowo-wojskowego. Sektor ten jest w Polsce najbardziej narażony na ataki. Ale to i tak mniej niż na świecie, gdzie instytucje militarne atakowane są 1675 razy tygodniowo.
I choć większość z nich z powodzeniem blokowana jest przez systemy bezpieczeństwa, to pojedyncze dokonują paraliżu infrastruktury sieciowej oraz generują straty sięgające setek tysięcy złotych. Taka sytuacja miała miejsce zaledwie kilka miesięcy temu, kiedy to – w związku z reakcją polskich władz na sytuację w Ukrainie – doszło do ataków na polskie serwisy rządowe (Portal Podatkowy i Mój GOV.pl). Dopiero po czasie udało się ustalić, że stoją za nimi cyberprzestępcy z Killnet, ugrupowania hakerskiego wspieranego przez Moskwę.
Według amerykańskiego dziennika, analitycy firmy Google (zespół Google ds. zwalczania zagrożeń (TAG – Treat Analysis Group) odkryli, że grupa białoruskich hakerów UNC1151 próbowała uzyskać dane uwierzytelniające ukraińskich urzędników rządowych i członków polskiego wojska. To pierwsza odnotowana próba ataku na konta wojskowych w Polsce. „Jeszcze nigdy polskie wojsko nie było celem cyberprzestępców” – ujawniła rzecznik Google Kaylin Trichon. Co istotne, Google nie był jednak w stanie potwierdzić, czy wyciekły jakieś dane, ponieważ skrzynki nie należały do tego giganta.
Fakt, że polskie instytucje wojskowe stały się celem ataków cyberprzestępców potwierdził (luty 2022) m.in brytyjski tygodnik ‘’The Record’’ twierdząc, że polski rząd bagatelizuje ataki i wyciek danych wojskowych, informując publicznie, że wyciek wojskowej bazy danych nie zawiera żadnych tajnych ani wrażliwych informacji wojskowych i że incydent „nie stanowi zagrożenia dla bezpieczeństwa państwa ani dla funkcjonowania Sił Zbrojnych RP”. https://therecord.media/polish-government-downplays-leak-of-military-logistics-data/
Brytyjski tygodnik opisał historię opublikowaną przez polski portal Onet, w której twierdził, że baza danych może być „niezwykle cenna dla zagranicznych służb wywiadowczych”. Przedmiotem zainteresowania hakerów okazała się kopia inwentarza Wojska Polskiego, zawierająca informacje m.in. o ilości pocisków przeciwpancernych czy liczby myśliwców F-16, będących w posiadaniu MON. Ciekawostką jest – stwierdza brytyjski tygodnik – że kilka godzin po raporcie polskie MON stwierdziło, że żadna z informacji zawartych w wyciekającej bazie danych nie została utajniona, a każdy mógł uzyskać te same informacje z publicznych rejestrów. Urzędnicy MON stwierdzili, że tzw. poufne dane to System Informatyczny Jednolitego Indeksu Materiałowego, publikowany przez NATO w ramach bazy danych Master Catalog of Reference for Logistics (NMCRL).
I rzeczywiście – nie tylko polskie ośrodki wojskowe stały się celem cyberataków. Rosyjscy hakerzy próbowali niedawno (marzec 2022) przeniknąć do sieci NATO i sił zbrojnych niektórych krajów Europy Wschodniej – informowała firma Google. W raporcie nie podano, które siły zbrojne były celem ataków, które Google określił jako „kampanie wyłudzania danych uwierzytelniających” zainicjowane przez rosyjską grupę Coldriver lub Callisto. W oświadczeniu NATO nie odniosło się bezpośrednio do raportu Google, ale stwierdziło: „Codziennie obserwujemy złośliwą aktywność cybernetyczną”.
W obliczu rosnącego zagrożenia polski rząd jednak podjął stanowcze kroki. W kilka dni po atakach polski Minister Obrony Mariusz Błaszczak powołał generała armii na szefa nowych Sił Cyberobrony, aby oficjalnie rozpocząć działalność jednostki. Gen. Karol Molenda, który stanął na czele jednostki, będzie ściśle współpracować z zainicjowanym w 2019 r. Narodowym Centrum Cyberbezpieczeństwa.
Minister obrony poinformował, że misja sił obejmuje obronę, rozpoznanie i w razie potrzeby, działania ofensywne mające na celu ochronę Sił Zbrojnych RP przed cyberatakami. Doskonale zdajemy sobie sprawę, że w XXI wieku cyberataki stały się jednym z narzędzi agresywnej polityki, wykorzystywanej także przez naszego sąsiada – powiedział Błaszczak, najwyraźniej odnosząc się do Rosji.
Na rosnące zagrożenie atakami na ośrodki sił zbrojnych wskazuje Ehab Khalifa, koordynator działu Technological Developments Unit, Future Center for Advanced Research and Studies w Abu Dhabi (Emiraty Arabskie). W swojej analizie w 2017 roku zwrócił uwagę na fakt, iż ‘’ w ostatnich latach przeprowadzono wiele cyberataków, których celem było osiągnięcie celów politycznych, ideologicznych, wojskowych i gospodarczych… Jedną z największych obaw związanych z bezpieczeństwem narodowym jest to, że cybertechnologia może ujawnić ich informacje wojskowe, takie jak strategie wojskowe, mapy rozmieszczenia żołnierzy, projekty broni i rozmieszczenie rakiet. Większość krajów zwraca uwagę na zabezpieczanie tajnych i publicznych sieci wojskowych, zaniedbując wykonawców wojskowych, którzy realizują projekty dla ministerstw obrony. W rezultacie tajemnice wojskowe mogą stać się podatne na cyberataki ze strony tych kontrahentów.’’
Wojsko staje się zatem coraz częstszym celem ataków grup hakerskich. To trend, który w ostatnim czasie widoczny jest w Polsce, a od wielu lat obecny na świecie. W kwietniu br w Wielkiej Brytanii media informowały o ataku na brytyjski MON i ‘’wycieku’’ danych dotyczących 124 nowych rekrutów, w tym imiona i nazwiska, daty urodzenia, adresy, kwalifikacje, szczegóły dotyczące poprzedniego zatrudnienia i informacje o rodzinie…. W konsekwencji portal rekrutacyjny do wojska, System Rekrutacji Obronnej (DRS), był niedostępny przez długi czas, w związku z toczącymi się dochodzeniami. https://techmonitor.ai/technology/cybersecurity/ministry-of-defence-cyber-attack-supply-chain-army
Tymczasem, jak się okazało, DRS zarządzany był przez firmę outsourcingową Capita, od której problem się zaczął, co oznacza, że Ministerstwo Obrony padło ofiarą ataku w łańcuchu dostaw, wyjaśnia globalny szef analizy zagrożeń w firmie ds. bezpieczeństwa Darktrace, Toby Lewis. To potwierdza obawy Ehaba Khalifa o odporność systemów poddostawców usług dla armii. „Ataki na łańcuchy dostaw rosną od dłuższego czasu, ponieważ stały się jednym z najprostszych i najskuteczniejszych sposobów infiltracji pożądanego celu przez atakujących, w tym wojska” – wyjaśnia Toby Lewis.
O aktywności grup hakerskich i ich działań skierowanych na cele militarne informowała firma Check Point Software w czerwcu 2022 roku przy okazji wykrycia działań Irańskich hakerów, którzy przejęli kontrolę nad kontami e-mail wysoko postawionych członków izraelskich służb wojskowych i podszywali się pod nich. Check Point przypisał ataki grupie irańskich hakerów znanej jako grupa Phosphorus APT, która jest również znana pod wieloma innymi nazwami, w tym ATP35, Charming Kitten i Ajax Security Team.
W lipcu 2022 roku brytyjska armia – po raz kolejny – przekonała się o skuteczności działania hakerów. Grupa cyberprzestępców dokonała włamania na konta na Twitter i YouTube armii brytyjskiej, zmieniając nazwę konta na Twitterze na „psssd”, a zdjęcia w profilu i banerze zostały zmienione tak, aby przypominały niepodrabialny token (NFT) z kolekcji nazwanej „Possessed”.
Przedstawiciele służb mundurowych mają świadomość rosnącego problemu i podejmują działania. Mogą to być inicjatywy znane z Polski tj. powołanie Sił Cyberobrony – jednostki, która ściśle współpracuje z Narodowym Centrum Cyberbezpieczeństwa. W USA Dowództwo Rozwoju Zdolności Bojowych Armii Stanów Zjednoczonych – we współpracy z międzynarodowym zespołem ekspertów z Virginia Tech, University of Queensland i Gwangju Institute of Science and Technology – powołało zespół naukowców znany jako DEVCOM. Jego zadaniem jest opracowanie techniki o nazwie DESOLATOR, która pomaga zoptymalizować strategię cyberbezpieczeństwa znaną jako obrona ruchomego celu.
„Pomysł polega na tym, że trudno jest trafić w ruchomy cel” – wyjaśnia dr Terrence Moore, matematyk wojskowy. „Jeśli wszystko jest statyczne, przeciwnik może poświęcić swój czas na przyjrzenie się wszystkiemu i wybranie celu. Ale jeśli odpowiednio szybko zamienia się adresy IP, informacje przypisane do adresu IP szybko zostaną utracone, a przeciwnik będzie musiał ich ponownie poszukać”.
DESOLATOR oznacza alokację zasobów opartą na głębokim uczeniu się i strukturę wdrażania obrony ruchomego celu, pomaga sieci zidentyfikować optymalną częstotliwość tasowania IP i alokację przepustowości, aby zapewnić skuteczną, długoterminową obronę celu ruchomego.
Według informatyka wojskowego i kierownika programu, dr Frederici Free-Nelson, osiągnięcie tego pierwszego utrzymuje niepewność na tyle wysoką, aby udaremnić potencjalne ataki bez dużych kosztów, podczas gdy osiągnięcie tego drugiego zapobiega spowolnieniom w krytycznych obszarach sieci o wysokim priorytecie.
https://www.army.mil/article/248815/new_cybersecurity_technique_keeps_hackers_guessing
Organizacja NATO bardzo poważnie potraktowała ten problem organizując ćwiczenia Locked Sheilds 2022. Locked Shields są największymi międzynarodowymi ćwiczeniami dotyczącymi cyberobrony, podczas których rywalizują ze sobą zespoły z NATO i państw partnerskich. W ramach ćwiczeń wirtualna przestrzeń natowskiego kraju stała się celem cyberprzestępców. Zagrożone były sieci teleinformatyczne, systemy wojskowe, przemysłowe i bank centralny. W ciągu trzech dni hakerzy przypuścili ponad 8 tys. ataków. Do akcji wkroczyło cyberwojsko.
Coroczne ćwiczenia od 2010 roku organizuje Centrum Doskonalenia Obrony Cybernetycznej NATO (NATO Cooperative Cyber Defence Centre of Excellence CCDCOE). Locked Shields to wyjątkowa okazja do przećwiczenia ochrony krajowych, cywilnych i wojskowych systemów informatycznych oraz infrastruktury krytycznej. Uczestnicy są poddawani silnej presji, a cyberataki są bardzo intensywnie prowadzone – powiedział otwierając tegoroczną edycję ćwiczeń Ian West, szef NATO Cyber Security Center.
Stopień alarmowy CHARLIE-CRP w Polsce
Pod koniec maja br. premier RP – Mateusz Morawiecki przedłużył obowiązywanie w kraju stopni alarmowych BRAVO i CHARLIE–CRP. Stopień alarmowy CHARLIE-CRP został wprowadzony, aby przeciwdziałać zagrożeniom w cyberprzestrzeni. Tak wysoki stopień – trzeci z czterech – obowiązuje w kraju po raz pierwszy. Premier wprowadził go 21 lutego. Wcześniej, od połowy lutego, obowiązywał pierwszy stopień ALFA-CRP.
Wojciech Głażewski, dyrektor zarządzający firmy Check Point Software Technologies w Polsce, podkreśla, że wprowadzenie i podniesienie alarmu Charlie jest wyraźnym sygnałem, iż scenariusz ataków na polskie systemy, instytucje państwowe i wojskowe jest realny i nadal może rosnąć.
Zródła:
