Kategorie
#Technologie: Aktualności

Wojna w Ukrainie a sytuacja w cyberprzestrzeni: wdrażanie sankcji i wybrane cyberataki

Zacznijmy od, zdawałoby się stosunkowo prostej sprawy, czyli zablokowania możliwości transmisji sygnałów reżimowych rosyjskich kanałów telewizyjnych takich jak Sputink czy Russia Today (RT), które to blokady zostały wprowadzone przez Radę Unii Europejskiej.

Na rynku polskim część kanałów rosyjskich była dystrybuowana tylko za pomocą platform internetowych, a część również w sieciach kablowych. Krajowa Rada Radiofonii i Telewizji podjęła decyzję[1],[2] o wykreśleniu szeregu kanałów rosyjskich i białoruskich z krajowych rejestrów. Operatorzy rozprowadzający sygnały telewizyjne usunęli te kanały. Implementacja restrykcji narzuconych przez UE w przypadku nadajników naziemnych czy satelitarnych (nie będących pod kontrolą Federacji Rosyjskiej) i sieci telewizji kablowych był prosta, ale w  rozporządzeniu [3] napisano, że zakaz dotyczy także: „dystrybucji za pomocą dowolnych środków, takich jak (…) dostawców usług internetowych, internetowe platformy lub aplikacje służące do udostępniania plików wideo, niezależnie od tego, czy są one nowe czy preinstalowane.” W praktyce oznacza to, że operatorzy sieci powinni uniemożliwić dystrybucję  strumieni wideo zakazanych stacji w swojej infrastrukturze lub zablokować dostęp do tych treści swoim użytkownikom.  Regulacje są bardzo niejasne z perspektywy technicznej. W praktyce  możliwości ich implementacji po stronie dostawców  Internetu (ISP) sprowadza się do blokowania rozwiązywania nazw domenowych wykorzystywanych przez zablokowane stacje. Trudno sobie na ten moment wyobrazić wdrożenie alternatywnego rozwiązania opartego na analizie zawartości przesyłanych strumieni multimedialnych. Blokowanie nazw domenowych jest proste i skuteczne, o ile klient korzysta z serwerów nazw (DNS-ów) operatora – nie łączy się szyfrowanym kanałem (np. DNS over HTTPs[4]) z zewnętrznymi resolwerami, ale skąd operator ma wiedzieć, że dana domena jest wykorzystywana do dystrybucji RT czy Sputnika? W rozporządzeniach i aktach towarzyszących wskazano tylko nazwy stacji.  BERC (organizacja zrzeszająca europejskich regulatorów telekomunikacyjnych) wymienia część tych domen w swoim komunikacie[5], ale lista nie jest w żaden sposób autoryzowana, ani wyczerpująca. Co ciekawe same stacje telewizyjne zwykle nie występują wprost w rejestrach domen, bo należą do innych spółek[6] (np. RT należy do ANO TV-Novosti, nomen omen skrót ANO oznacza Autonomiczną Organizację Non-profit, choć autonomiczna to ona raczej nie jest). Blokada treści na tak szeroką skalę jest pewnym novum na rynku europejskim, swoistym odstępstwem od idei otwartego Internetu[7] – do tej pory cenzura Internetu ograniczała się głównie  do blokowania stron związanych z grami hazardowymi. W wielu krajach UE istnieją ustawy ograniczające swobodne z nich korzystanie, ale nie  ma w tej materii wspólnych przepisów UE. W Polsce istnieje rejestr domen, które operatorzy są zobligowani blokować[8] w myśl ustawy o grach hazardowych (vide Art. 15f.).[9] Ze stricte technicznego (nie prawnego) punktu widzenia, ten rejestr można by wykorzystać do doraźnego zablokowania również innych treści, w tym „zakazanych” mediów. Oczywiście ograniczenia te nie są w 100% skuteczne i stosunkowo łatwe do obejścia. Restrykcje nie wyeliminują dostępu do blokowanych treści, ale utrudnią do nich dostęp.

Drugie zagadnienie, na które warto zwrócić uwagę to zagadnienia związane typowo z działalnością ofensywną i dywersyjną, czyli cyberataki na infrastrukturę krytyczną. Wygląda, na to, że Ukraina odrobiła lekcję po atakach z 2015 roku[10] i 2017 roku[11], kiedy równolegle do trwającej interwencji w Donbasie zakłócono pracę systemów dystrybucji energii elektrycznej doprowadzając do przerw w dostawie prądu (ang. black-out) dla kilkuset tysięcy odbiorców. Ataki na sieć z 2015 roku były pierwszymi, o których publicznie poinformowano. Przerwy w dostawie objęły około 230 tys. odbiorców i trwały kilka godzin. W trakcie trwania tegorocznej wojny do dnia 14.04 nie odnotowano skutecznych ataków cybernetycznych na sieć energetyczną Ukrainy – pojawiły się za to informacje o skutecznej obronie[12]. Wygląda na to, że głównym zagrożeniem dla dostaw prądu są aktualnie ataki fizyczne.

W tym momencie, warto wspomnieć, że 24 lutego przeprowadzono cyberatak na system komunikacji satelitarnej KA-SAT, a ściślej na modemy w tym systemie wykorzystywane. Atak spowodował niedostępność Internetu satelitarnego dla ponad 10 tys. użytkowników zlokalizowanych nie tylko w Ukrainie. Jednym z jego skutków było zakłócenie pracy farm wiatrowych w Niemczech – ponad 5tys. turbin przestało raportować swój stan i stracono możliwość zdalnego sterowania nimi[13][14]. Oprogramowanie modemów Tooway zostało praktycznie wymazane i klientom musiano rozesłać nowe modemy[15]. Wg. SentinelLabs w ataku wykorzystano nowe złośliwe oprogramowanie, któremu badacze nadali nazwę AcidRain (kwaśny deszcz). Sam atak miał dwie fazy – w pierwszej fazie przełamano zabezpieczenia bramki VPN i uzyskano dostęp do zaufanej sieci zarządzania, w drugiej prawdopodobnie rozesłano złośliwą aktualizację, która skasowała oprogramowanie.[16] Co ciekawe informacje o ataku nie były szeroko komentowane w mediach mainstreamowych.

W doniesieniach agencji prasowych, ani prasie branżowej, nie pojawiły się informacje o cyberatakach na inne infrastruktury krytyczne, w szczególności brak informacji o cyberatakach na Ukraińskie gazociągi.  Przyglądając się kwestii gazu możemy zauważyć, że ataki cybernetyczne wykraczają daleko poza Ukrainę i dotknęły one producentów LNG w USA już w pierwszej połowie lutego.[17] Na ten moment nie jest jasne czy ataki miały bezpośredni związek z planowaną inwazją.
W świetle odchodzenia od dostaw gazu z Rosji ochrona polskich terminali LNG, również przed atakami cybernetycznymi jest priorytetowa.

Praktycznie każdego tygodnia pojawiają się nowe zagrożenia, dla przykładu, służby federalne USA przed Wielkanocą poinformowały o wykryciu nowego zestawu zaawansowanych narzędzi wspomagających ataki na przemysłowe systemy sterowania (ICS). Zestaw narzędzi zwanego PIPERDREAM[18]. Obszerny raport dotyczący tego zagrożenia opublikowała firma Dragos[19] specjalizująca się w ochronie sieci przemysłowych. Tego typu komunikaty stanowią jasny sygnał, że adwersarze, w tym sponsorowani przez służby wywiadowcze różnych krajów, cały czas się dozbrajają i modyfikują stosowany przez siebie arsenał narzędzi.

Nie ułatwiajmy działania atakującym i dbajmy o zabezpieczenia naszych systemów, oraz ich aktualizację – w kwietniu Microsoft wydał kilka krytycznych łatek do systemów Windows (w tym edycji serwerowych), warto również sprawdzić aktualność przeglądarki Chrome.


[1] https://www.gov.pl/attachment/b24893e9-662f-4fb3-a6e3-eb1f6f8f906d

[2] https://www.gov.pl/web/krrit/kolejne-rosyjskie-i-bialoruskie-kanaly-krrit-wykresla-z-rejestru-programow-telewizyjnych

[3] https://eur-lex.europa.eu/legal-content/PL/TXT/HTML/?uri=OJ:L:2022:065:FULL&from=EN#ntr1-L_2022065PL.01000501-E0001

[4] https://labs.ripe.net/author/bert_hubert/the-big-dns-privacy-debate/

[5] https://berec.europa.eu/eng/news_and_publications/whats_new/9340-berec-supports-isps-in-implementing-the-eu-sanctions-to-block-rt-and-sputnik

[6] https://www.whois.com/whois/rt.com

[7] https://europa.eu/youreurope/citizens/consumers/internet-telecoms/internet-access/index_pl.htm

[8] https://hazard.mf.gov.pl/

[9] https://isap.sejm.gov.pl/isap.nsf/download.xsp/WDU20092011540/U/D20091540Lj.pdf

[10] https://pulaski.pl/komentarz-blackout-w-zachodniej-ukrainie-cyber-atak-o-wymiarze-miedzynarodowym/

[11] https://cyberdefence24.pl/to-rosjanie-zaatakowali-siec-elektroenergetyczna-na-ukrainie

[12] https://www.reuters.com/world/europe/russian-hackers-tried-sabotage-ukrainian-power-grid-officials-researchers-2022-04-12/

[13] https://spidersweb.pl/2022/03/internet-satelitarny-przestal-dzialac.html

[14] https://zaufanatrzeciastrona.pl/post/tysiace-terminali-internetu-satelitarnego-powaznie-uszkodzonych-w-dniu-ataku-na-ukraine/

[15] https://www.viasat.com/about/newsroom/blog/ka-sat-network-cyber-attack-overview/

[16] https://www.sentinelone.com/labs/acidrain-a-modem-wiper-rains-down-on-europe/

[17] https://www.bloomberg.com/news/articles/2022-03-07/hackers-targeted-u-s-lng-producers-in-run-up-to-war-in-ukraine

[18] https://www.cisa.gov/uscert/ncas/alerts/aa22-103a

[19] https://www.dragos.com/blog/industry-news/chernovite-pipedream-malware-targeting-industrial-control-systems/

Maciej Miłostan