- Rosyjskie cyberataki nękają kraj od zeszłego roku, a domniemani agenci Kremla byli wielokrotnie zatrzymywani przez polskie służby bezpieczeństwa. Czy zbliżające się wybory parlamentarne przynoszą nowe zagrożenie? Na to pytanie starają się odpowiedzieć eksperci CPR.
- Powiązana z Rosją grupa haktywistów – NoName057(16), która działa od marca 2022 r. – atakuje ukraińskie i proukraińskie organizacje, przedsiębiorstwa i rządy, a cele zmieniają się w zależności od rozwoju sytuacji geopolitycznej. W ostatnich miesiącach grupa skupiła się na różnych krajach Unii Europejskiej, które publicznie poparły Ukrainę, w tym między innymi na Polsce
- Polska jest głównym celem grup haktywistycznych powiązanych z Rosją, a NoName057(16) w ciągu ostatniego roku była najbardziej aktywną z nich. Oceniamy jako wysoce prawdopodobne, że wzorce i ataki, które miały miejsce podczas czeskich wyborów prezydenckich na początku 2023 r., powtórzą się również w Polsce – mówi ekspert bezpieczeństwa cybernetycznego.
Wraz z coraz częstszym wykorzystaniem cyfrowych technologii w wyborach na całym świecie, rośnie zagrożenie cyberatakami na infrastrukturę wyborczą. Rosyjskie cyberataki nękają kraj od zeszłego roku, a domniemani agenci Kremla byli wielokrotnie zatrzymywani przez polskie służby bezpieczeństwa. Czy zbliżające się wybory parlamentarne przynoszą nowe zagrożenie?
Organy zarządzające wyborami, partie polityczne i inne zainteresowane strony są często słabo przygotowane na ataki cybernetyczne i reagowania na nie. Brak reakcji na zagrożenia dla cyberbezpieczeństwa może stanowić krytyczne zagrożenie dla uczciwości wyborczej – ostrzega w komentarzu Międzynarodowa Fundacja Systemów Wyborczych (IFES).
– Biorąc pod uwagę doświadczenia ostatnich 2 lat i obserwacje działań grup haktywistycznych powiązanych z Rosją, należy brać poważnie pod uwagę możliwość ataku na Polskę przed lub podczas wyborów parlamentarnych w tym roku – Wojciech Głażewski, dyrektor Check Point Software w Polsce. Szczególnie narażone mogą być instytucje publiczne: internetowe strony rządowe, portale partii politycznych, a także mediów relacjonujących kampanie partii. – Od wielu miesięcy jesteśmy świadkami celowego ingerowania prorosyjskich grup w działania instytucji zaufania publicznego w naszym regionie – alarmuje Głażewski.
Polska jest głównym celem grup haktywistycznych powiązanych z Rosją, a NoName057(16) w ciągu ostatniego roku była najbardziej aktywną z nich. Oceniamy jako wysoce prawdopodobne, że wzorce i ataki, które miały miejsce podczas czeskich wyborów prezydenckich na początku 2023 r., powtórzą się również w Polsce. Grupa ta przeprowadza ataki DDoS na strony internetowe kandydatów (o antyrosyjskiej agendzie). W wyborach prezydenckich w Czechach, NoName starała się również uniemożliwić partiom publiczne przedstawiać raporty finansowe kampanii, zgodnie z wymogami prawo – mówi Sergey Shykevich, ekspert Check Point Software
Cyberataki na instytucje publiczne – w tym te związane z infrastrukturą wyborczą – zdarzają się coraz częściej na całym świecie. Taro Kono, japoński minister cyfryzacji, w wywiadzie dla dziennika Financial Times przestrzegł, że różnego rodzaju „złośliwe” działania z wykorzystaniem inteligentnych algorytmów to wyzwanie dla najbliższych wyborów parlamentarnych, m.in. w Japonii i Wlk. Brytanii, a także prezydenckich – w USA. W marcu 2023 roku Estonia stała się celem ataków cybernetycznych w trakcie wyborów parlamentarnych. Gert Auväärt, który kieruje Narodowym Centrum Bezpieczeństwa Cybernetycznego w Estonii (NCSC-EE), powiedział, że jego zespół był na „podwyższonym poziomie świadomości przez dwa tygodnie” podczas kampanii i że próby wejścia do systemu wyborczego zakończyły się niepowodzeniem.
Kraje CEE na celowniku rosyjskich hakerów
Pod koniec 2022 roku, cyberataki uderzyły w parlamenty w Polsce i na Słowacji, niszcząc system głosowania. „Atak był wielokierunkowy, w tym z wnętrza Federacji Rosyjskiej” – napisano w oświadczeniu Senatu RP. Marszałek polskiego Senatu Tomasz Grodzki powiedział, że może to mieć związek z głosowaniem w Senacie, w którym uznano rosyjski rząd za „reżim terrorystyczny”.
Tymczasem wiceprzewodniczący słowackiego parlamentu Gabor Grendel potwierdził, że „cała sieć komputerowa Parlamentu została sparaliżowana”. Ale zagrożenia płyną nie tylko z Rosji. Check Point Research (CPR) śledziło ostatnio aktywność chińskiego ugrupowania cyberprzestępczego, którego celem były podmioty zajmujące się polityką zagraniczną i wewnętrzną, a także ambasady w Europie.
Eksperci wskazują na zmieniający się trend i wzrost zainteresowania chińskich grup cyberprzestępczych podmiotami w Europie. I tak chińskie grupy celowały ostatnio większość krajów Europy Wschodniej, takie jak Czechy, Słowacja i Węgry, a celem kampanii było zdobycie poufnych informacji na temat polityki zagranicznej tych państw. Niewykluczone, że w najbliższych tygodniach na liście znajdzie się Polska, jako kraj prowadzący aktywne działania polityczne.
Eksperci Check Point Research wyrażają obawy o zainteresowanie Polską w przeddzień wyborów parlamentarnych – Powiązana z Rosją grupa haktywistów – NoName057(16), która działa od marca 2022 r. – atakuje ukraińskie i proukraińskie organizacje, przedsiębiorstwa i rządy, a cele zmieniają się w zależności od rozwoju sytuacji geopolitycznej. W ostatnich miesiącach grupa skupiła się na różnych krajach Unii Europejskiej, które publicznie poparły Ukrainę, w tym między innymi na Polsce, Litwie, Łotwie, Słowacji, Norwegii, Finlandii, Niemczech, Hiszpanii i Danii – podkreślają w swoim raporcie.
W styczniu br. grupa rozpoczęła przeprowadzanie ataków DDoS na strony internetowe związane z wyborami prezydenckimi w Czechach, dwa dni przed planowanym pójściem wyborców do urn. Teraz może zaatakować polskie instytucje publiczne – ostrzegają eksperci. W Polsce aktywne są – oprócz Killent, NoName, również APT 28/29.
Check Point Research zwraca uwagę na wyraźną zmianę w strategii grup haktywistycznych. Początkowo ich ataki były mniejsze – w październiku 2022 r., grupa Killnet (powiązana z Rosją) próbowała zaatakować amerykańskie cele przed wyborami, w listopadzie grupa The People’s Cyber Army zaatakowała witrynę internetową Amerykańskiej Partii Demokratycznej. Większość z tych ataków nie spowodowała żadnych zakłóceń w dostępności witryn instytucji rządowych lub wyborczych. Tymczasem w styczniu 2023 roku doszło do paraliżu wyborów w Czechach.
Od strony operacyjnej, NoName057(16) działa głównie za pośrednictwem kanałów telegramowych. Ma rosyjskojęzyczny kanał z prawie 20 000 członków, kanał w języku angielskim oraz grupę wolontariuszy zwanych Projektami DDoSia, którzy działają w ich imieniu. Projekt DDoSia obejmuje tylko 1427 członków, ale jest bardzo aktywny i przeprowadza dużą liczbę ataków miesięcznie. Ma cztery podkanały, z których jeden jest przeznaczony do wybierania celów ataków DDoS*. Działania są motywowane, ponieważ NoName057(16) oferuje nagrody pieniężne dla podgrup, które zgłaszają się na ochotnika, począwszy od 20 000 rubli (290 USD) do 80 000 rubli (około 1150 USD).
I choć wielu specjalistów wskazuje na źródła ataków, związane z Rosja, urzędnicy rządowi tego kraju wielokrotnie zaprzeczali udziałowi w jakimkolwiek działaniach związanych z włamaniami cybernetycznymi lub przeciekami, mającymi na celu dezinformacje społeczeństwa danego kraju.
Jak ujawniło w raporcie Stanford’s Internet Observatory: „Rosjanie udoskonalają obecnie techniki dezinformacji na całym świecie – głównie po to, by kształtować dyskurs publiczny na tematy o znaczeniu geostrategicznym dla Rosji, takie jak trwająca wojna domowa w Syrii”. GRU stworzyło wiele fałszywych podmiotów, takich jak Inside Syria Media Center, nieistniejący think tank, który z powodzeniem forsował narracje popierające Asada i antyzachodnie, a ludzie powiązani z Internet Research Agency najwyraźniej stali za stroną internetową o nazwie Peace Data, która wykorzystywała prawdziwych amerykańskich dziennikarzy i pisarzy, aby atakować lewicowych Amerykanów.
Uwaga na fake news i podrobione domeny
Jak podkreślają eksperci, bardzo popularnym sposobem ataku jest budowanie licznych, nieprawdziwych domen, imitujących strony partii politycznych lub organizacji politycznych, które zawierają nieprawdziwe informacje (fake-news). Oded Vanunu, szef działu badań nad podatnościami produktów w firmie Check Point Software już w 2020 roku podczas wyborów w USA apelował, aby wyborcy dokładnie sprawdzali zasoby i strony związane z wyborami, które odwiedzają online, aby upewnić się, że są one autentyczne i godne zaufania oraz aby uniknąć ryzyka wyłudzenia danych osobowych.
Obawy potwierdza FBI i ostrzega: Sfałszowane domeny i konta e-mail są wykorzystywane przez zagraniczne podmioty i cyberprzestępców i można je łatwo pomylić z legalnymi witrynami internetowymi lub wiadomościami e-mail. Przeciwnicy mogą wykorzystywać fałszywe domeny i konta e-mail do rozpowszechniania fałszywych informacji; gromadzić ważne nazwy użytkownika, hasła i adresy e-mail; zbierać dane osobowe; i rozprzestrzeniania złośliwego oprogramowania, co prowadzi do dalszych kompromisów i potencjalnych strat finansowych.
Grupy przestępcze, zarówno zagraniczne, jak i krajowe, wykorzystują technologię, aby zwiększyć zasięg ataków. Mimo, że ataki cybernetyczne stają się coraz częstsze, procesy wyborcze w coraz większym stopniu zależą od rodzajów technologii wykorzystywanych w tych atakach. Wybory w coraz większym stopniu zależą od technologii, takich jak cyfrowe listy wyborców i wyniki wyborów, biometryczna rejestracja wyborców i elektroniczne maszyny do głosowania. Społeczeństwo jest ogólnie świadome, że ataki te są prawdopodobne, a wielu wątpi – często nie bez powodu – czy ich kraje są przygotowane do skutecznie im przeciwdziałać.
