Cyber wojna z Rosją dopiero się rozkręca. Anonymous to tylko wierzchołek góry lodowej

Sytuacja w sieci zmienia się niemal tak samo szybko, jak na linii frontu. W szumie informacyjnym trudno odfiltrować prawdę od fałszu, rzeczy ważne od rzeczy nieistotnych. Problemem nie jest dostęp do informacji, a ich ocena.

Tym bardziej, że sytuacja zmienia się niemal z godziny na godzinę.

Anonymous i podobne grupy

Anonymous (który, pamiętajmy, nie jest spójną organizacją) staje się coraz bardziej aktywny, ale do wszelkich doniesień o ich działaniach odnosić się z dużą dozą ostrożności. Pojawiły się na przykład informacje o wykradzeniu danych z moskiewskiego instytutu bezpieczeństwa jądrowego, ale trudno to jednoznacznie potwierdzić.

Wygląda też na to, że nie było też żadnej „listy rosyjskich agentów” rzekomo opublikowanych przez Anonymous (oryginalny wpis został usunięty).

Doniesienia o wycieku danych od białoruskiego producenta broni wydają się bardziej wiarygodne (choćby dlatego, że pojawiły się na stronie znanej z publikacji potwierdzonych wycieków).

Anonymous leak Belarusian arms manufacturer blueprints. Same bombs that are being dropped on Ukrainians as we speak.

Leak is available on the #DDoSecrets website, a website banned by Twitter. pic.twitter.com/5kBCuWOdPI

— Anonymous (@YourAnonNews) February 26, 2022

Godna zaufania wydaje się też informacja, że Ukraińska Pravda zdobyła i opublikowała dane osobowe około 120 tys. rosyjskich żołnierzy, walczących w Ukrainie: sprawdziłem, że pojawiają się w niej nazwiska opublikowane na kanale sieci Telegram, zarządzanym przez Ukrainę i publikującym informacje o pojmanych Rosjanach.

Stacja ładowania elektryków obraża Putina

Śpieszę też donieść, że najwyraźniej faktycznie udało się haktywist(k)om przejąć kontrolę nad stacjami ładowania pojazdów elektrycznych przy autostradzie Moskwa – Sankt Petersburg. Zamiast ładować baterie samochodów, stacje zajęte były wyświetlaniem tekstu, który nazwać wypada wyjątkowo niedyplomatycznym. Nie jest jasne, czy stoi za tym Anonymous, czy jakiś inny kolektyw.

Gas stations in the Moscow area are displaying "Glory to Ukraine! Fuck Putin! Death to the enemy!". Individuals are unable to use the pumps. pic.twitter.com/wy5O9wX5JI

— vx-underground (@vxunderground) February 28, 2022

Haktywist(k)om udało się też zmienić informację o porcie docelowym jachtu Vladimira Putina, wyświetlającą się w systemach śledzenia okrętów, na „FCKPTN”. Prawdopodobnie za pomocą spoofingu protokołu AIS (wyjaśniamy to na dole tekstu).

Być może niedługo, w miarę jak dostęp do Internetu w Rosji staje się coraz bardziej reglamentowany, pojawią się też informacje o działaniach kolektywu Telecomix. Był on bardzo aktywny na przykład podczas Arabskiej Wiosny, i zwykle w czasie podobnych kryzysów skupia się na zapewnianiu dostępu do cenzurowanego Internetu (zamiast na atakowaniu infrastruktury).

Cisza przed burzą?

Sporo słychać o atakach prowadzonych przez tak zwane zaawansowane zagrożenia uporczywe (ang. „advanced persistent threat”, „APT”) w Ukrainie. Szereg grup tego typu jest prawdopodobnie wspieranych przez Rosję, nic więc dziwnego, że Ukraina stała się celem.

Ukraina, rzecz jasna, nie pozostaje dłużna. Choć trudno tu jednoznacznie potwierdzić skuteczność ataków —

Ukraińcy nie chwalą się nimi, żeby utrudnić służbom rosyjskim ustalenie, kim są; Rosjanie nie chwalą się efektami ukraińskich ataków, bo nie ma się czym chwalić.

O dziwo, w zasadzie cisza o skoordynowanych atakach na zachodnią infrastrukturę. Pojawiła się na przykład informacja, że zaatakowane zostały tysiące turbin wiatrowych w Niemczech, ale okazało się, że problem wynikał… z nieudanej aktualizacji oprogramowania.

#KRITIS Sektor #Energie

"Massive Störung der Satellitenverbindung: Enercon meldet fast 6000 betroffene Windanlagen"

Scheint ein Firmware Update gewesen zu sein. Modems gebrickt. Anlagen laufen natürlich weiter!https://t.co/1OB5K7lZ53

— Manuel Atug (@HonkHase) February 28, 2022

Cyberprzestępcza grupa Conti ogłosiła też, że będzie atakami wspierać Rosję, ale… doświadczyła poważnego wycieku danych, za sprawą jej członka z Ukrainy.

Z czego wynika ten brak ataków? Być może Putin nie chce ryzykować, że atak cyfrowy potraktowany zostanie przez NATO tak samo, jak atak fizyczny. Możliwość takiej interpretacji cyberataków potwierdził kilka dni temu Jens Soltenberg, sekretarz generalny NATO.

To może być jednak cisza przed burzą. Są już informacje o wzmożonych atakach phishingowych, w tym atakach na konta zabezpieczone uwierzytelnieniem dwustopniowym (w skrócie „2FA”). A tego typu ataki mogą być wstępem do poważniejszych działań.

Seeing an increasing amount of abuse of MFA prompt "push" notifications. Attackers are simply spamming it until the users approve. Suggest disabling push in favor of pin, or something like @Yubico for simplicity. In the meantime, alert on volume of push attempts per account.

— Steve Elovitz (@SElovitz) February 26, 2022

Przy czym nie oznacza to, że 2FA jest nieskuteczne! Wręcz przeciwnie, próby te pokazują, jak wiele złośliwych prób logowania jest powstrzymanych.

Nasze porady, jak zabezpieczyć swoje konta przed phishingiem (i nie być jak Michał Dworczyk), pozostają aktualne. Warto też rozważyć wprowadzenie dodatkowych zabezpieczeń w firmach czy organizacjach, za które odpowiadamy. Wiele z tych rad wydaje się oczywiste (2FA; aktualizacje; sprawdzone, regularne kopie zapasowe; menedżery haseł), a nadal często są niestosowane!

Rola dużych (i mniejszych) graczy

Zachód nie śpi i przygotowuje się na oczekiwane cyberataki. Duże firmy (jak Microsoft) zaczęły znacznie szybciej i chętniej dzielić się informacjami o wykrytych zagrożeniach z organizacjami i instytucjami, w tym w Ukrainie.

Taka współpraca zapewne wyjaśnia też częściowo, dlaczego nie słyszymy o poważnych, skutecznych atakach na ukraińską infrastrukturę. Wygląda też na to, że Ukraińcy sami całkiem sprawnie bronią się również w Sieci.

Media społecznościowe zaczęły ostrzej traktować konta podejrzane o sianie dezinformacji. Facebook usuwa konta putinowskich mediów, YouTube blokuje w UE kanały powiązane z RT i Sputnikiem. Apple ogranicza dostęp do swoich produktów i usług w Rosji. Duży dostawca usług związanych z domenami, Namecheap, odmawia świadczenia usług osobom z Rosji.

Nawet były dyrektor działu informacji w rosyjskiej firmie Yandex (operator najpopularniejszej wyszukiwarki internetowej w Rosji) nawołuje do tego, by firma umieściła rzetelne informacje z niezależnych mediów na swojej stronie głównej.

Nie wszystkie decyzje Big Tech są przemyślane.

Komunikator Briar, pozwalający na bezpieczną, anonimową komunikację w Sieci i działający również lokalnie (przez WiFi i Bluetooth) w przypadku braku dostępu do Internetu — a więc narzędzie niezmiernie przydatne w obecnej sytuacji! — został tymczasowo usunięty z Google Play

Na szczęście został już przywrócony. W międzyczasie powstał krótki przewodnik jak go używać, napisany po ukraińsku.

Podobnie nie wszystkie działania europejskich rządów są dobrym pomysłem. Rumuński Senat postanowił wykorzystać pretekst zagrożenia atakami do przepchnięcia bardzo niebezpiecznych regulacji dotyczących inwigilacji w Internecie. Tego typu działania rządów to kolejna rzecz, na którą warto zwracać uwagę w chaosie informacyjnym.

Romanian Senate adopted today to expand interception to "#encrypted content", browsing history +access to servers, for all hosting, ISPs +telecom (who must create "interception infrastructure" on their money). Some MPs said it is for #RussianWar (but is a 6 mo old topic) https://t.co/72vO82yPfD

— ApTI Romania (@ApTI_ro) March 2, 2022

Ciekawa, otwarta dyskusja o blokowaniu propagandowych treści wywiązała się pomiędzy administratorami różnych instancji Fediverse (o takich zdecentralizowanych sieciach społecznościowych już pisaliśmy w OKO.press). To dość wyjątkowe: zamknięte społecznościówki (Twitter, Facebook itp.) prawie nigdy nie dzielą się z nami powodami swoich decyzji.

Rosja rzecz jasna nie pozostaje też dłużna i blokuje lub spowalnia Twittera. Coraz intensywniej cenzurowane są też rosyjskie media wyrażające sprzeciw wobec wojny: radio Echo Moskwy zostało zdjęte z anteny.

Jako odpowiedź na cenzurę obecny w regionie dostawca VPN oferuje Ukraińcom, Białorusinom i Rosjanom darmowe konta.

Czy odcinać Rosję od Internetu?

Ukraina wystąpiła do ICANN (organizacji zajmującej się zarządzaniem systemem DNS) o usuniecie strefy .RU. To by oznaczało, że wszystkie domeny .RU przestałyby działać.

Wydawać by się to mogło dobrym pomysłem, kolejną sankcją. Być może nawet utrudniłoby niektóre ataki grupom związanym z Kremlem? Może warto pójść nawet dalej, i kompletnie odciąć Rosję od Internetu?

Problem w tym, że Rosja przygotowywała się na takie odcięcie od lat. W zeszłym roku przeprowadziła nawet szeroko zakrojony test. Mało tego, wygląda na to, że do odłączenia sama się szykuje.

Les opérateurs Internet russes sont en train de se déconnecter de l'Internet mondial
Sous prétexte de risques de manipulation des informations sur les registres (qui compilent les données de tous les opérateurs), les autorités engagent à s'inscrire sur une plateforme parallèle… pic.twitter.com/fXiHfWUCzT

— Louis Pétiniaud (@LPetiniaud) February 28, 2022

Byłoby to więc po myśli Kremla. Celem Putina od lat była przecież pełna kontrola przepływu informacji, odizolowanie społeczeństwa rosyjskiego od przekazów, które nie są bezpośrednio kontrolowane i cenzurowane. Nie wydaje się to więc dobrym pomysłem.

Źródła informacji – krótki poradnik

Przy ocenie informacji koniecznie zwracajmy uwagę na jej źródło. Nie ma źródeł idealnych, które nigdy nie popełniają błędów, ale jest ogromna przepaść między źródłami, które przynajmniej starają się weryfikować publikowane informacje, a źródłami, które celowo publikują informacje zmanipulowane.

To jest zwłaszcza ogromny problem w mediach społecznościowych, gdzie (dez)informacja szerzy się błyskawicznie: w ciągu jednej doby liczba wpisów straszących sytuacją na Ukraińskiej granicy wzrosła 110-krotnie!. Spokojnie można założyć, że nie jest to wzrost organiczny.

W praktyce w socmediach po prostu nie ma czasu na weryfikację informacji. Bądźmy ostrożni! Łatwo podać dalej i podbić przekaz propagandowy lub dać się nabrać na żart, a to nikomu nie służy.

Zwróćmy też uwagę, jak informacje wpisują się w konkretne narracje. Instytut Kościuszki opublikował świetną listę dezinformacyjnych narracji, którą warto sobie dobrze przyswoić, i używać jako filtra przy przyswajaniu informacji i podawaniu ich dalej.

Warto też zwracać uwagę na źródła tworzone kolektywnie, ale nie nastawione na generowanie szybko rozpowszechnianych newsów. Świetnym źródłem informacji jest Wikipedia, zwłaszcza:

• artykuł o rosyjskiej inwazji w polskiej Wikipedii
• podobny artykuł w wersji Angielskiej
• mapa sytuacji na froncie, aktualizowana niemal na bieżąco, i to z podaniem źródeł.

Termin „wojna informacyjna” nie jest pustym frazesem. Putinowska inwazja na Ukrainę opiera się również na mniej i bardziej zaawansowanych technikach propagandowych; mają od tego specjalistów, tworzą też fałszywe konta (inwestując w to czasem dużo energii).

Kremlowska machina propagandowa czasem też zacina się w sposób wręcz komiczny: kilka dni temu reżimowe portale opublikowały, i szybko usunęły, artykuły obwieszczające zdobycie Kijowa, najwyraźniej napisane wiele dni wcześniej.

Mimo to, miejmy się na baczności.

UWAGA: wojna informacyjna weszła w fazę destabilizacji Polski. Przekaz o "zagrożeniu" ze strony uchodźców, kilka niejasnych klipów, straszenie "czarnymi". W tym czasie nacjonaliści/kibole atakują ludzi w Przemyślu i eskalują chaos. Zachowajmy czujność bo sabotażyści już działają!

— Jan J. Zygmuntowski (@ZygmuntowskiJ) March 1, 2022

Atak atakowi nierówny

Koniecznie trzeba tu rozpakować słowo „atak” w kontekście działań w Sieci. Pojawia się niezmiernie często, a atak atakowi nierówny. Uwaga: używam tu pewnych niezbędnych uproszczeń, choć staram się je ograniczać do minimum.

Ja pisałem poprzednio w OKO.press, akcję DDoS (ang. „distributed denial of service”, „rozproszona blokada usługi”) trudno nazwać atakiem. Polega ona na wygenerowaniu tak dużego ruchu skierowanego na daną usługę, żeby nie dało się go obsłużyć. Umożliwia to wyłączenie z ruchu danej usługi czy strony internetowej, ale tylko na tak długo, jak długo trwa dana akcja, i (poza wyjątkowymi przypadkami) nie powoduje żadnych uszkodzeń, nie prowadzi do wycieku danych.

Akcje DDoS są zwykle niespecjalnie wyrafinowane technicznie. Niegdyś wystarczyło przekonać kilkaset czy kilka tysięcy osób do jednoczesnego odwiedzenia danej strony, by wygenerowany ruch był wystarczający. Dziś są do tego narzędzia, lub wręcz powstają strony ułatwiające generowanie takiego ruchu.

Nadal jednak przeprowadzenie udanego DDoSa wymaga zwykle przekonania do włączenia się dużej liczby osób (nawet, jeśli polega to tylko na otwarciu automatyzującej atak strony).

Równie prostym do przeprowadzenia działaniem (choć czasem wymagającym trochę technicznej wiedzy) jest spoofing. W Polsce słowo to zrobiło ostatnio oszałamiającą karierę w kontekście spoofingu telefonicznego, o którym pisaliśmy tu. Opiera się na wykorzystaniu luk w danym protokole, pozwalających na podszycie się pod kogoś innego.

Znów, trudno twierdzić, że spoofing jako taki jest „atakiem”, ale oczywiście może być częścią większej operacji, którą już „atakiem” można nazwać.

Bardziej zaawansowane są zwykle ataki blokujące usługi (DoS, ang. „denial of service”, „blokada usługi”) bardziej bezpośrednio — na przykład powodując fizyczne uszkodzenie urządzeń sieciowych (bardzo rzadkie) lub znajdując odpowiednio poważne błędy w oprogramowaniu (np. serwerach www) albo konfiguracji urządzeń sieciowych.

Wymaga to konkretnej wiedzy technicznej (a zwykle i odrobiny szczęścia), i zdecydowanie można to nazwać „atakiem”.

Kolejną kategorią są wszelkiego rodzaju wycieki danych. Te mogą wynikać po prostu z niedbałości administratorów danego serwera czy usługi (i być dość łatwe do przeprowadzenia przez osoby wiedzące, czego szukać), albo mogą opierać się na ogromnej wiedzy i żmudnej pracy dobrze przygotowanych ekspertów.

Upraszczając można powiedzieć, że im bardziej zaawansowana wiedza i żmudna praca niezbędne do pozyskania danych, tym bardziej można taką próbę nazwać „atakiem” czy „włamaniem”. Analogią może być kradzież nieprzypiętego roweru na ulicy (trudno to nazwać „atakiem” czy „włamaniem”) z jednej strony, oraz kradzież zawartości skarbca w banku (zdecydowanie „włamanie”, a pewnie i „atak”).

Pojawiają się informacje o działaniach typu deface (od angielskiego słowa „face”, czyli „twarz”; dosłownie „usunięcie twarzy”), czyli podmianie zawartości strony internetowej, jak w przypadku strony premier.gov.pl dekadę temu. Zwykle opierają się na bardzo słabych zabezpieczeniach danej strony. W przypadku premier.gov.plbyły to dane logowania: użytkownik „admin”, hasło „admin1″…

Akcje tego typu mogą bez wątpienia powodować poważne straty wizerunkowe, ale o ile strona nie zawiera tajnych czy wrażliwych danych, nie nazywałbym każdej takiej akcji z osobna „atakiem”.

Bez dwóch zdań „atakiem” są natomiast działania, które pozwalają przejąć kontrolę nad urządzeniami przemysłowymi (które, o zgrozo, coraz częściej podłączone są do Internetu, często bez żadnych zabezpieczeń), lub włamać się na cudze serwery czy urządzenia w zakresie pozwalającym na ich kontrolowanie.

W tej kategorii mieści się na przykład Pegasus, ale też znacznie bardziej zaawansowane, wąsko wycelowane ataki na konkretne usługi czy instytucje. W takie ataki często zaangażowane są ogromne zasoby ludzi, czasu, i środków.

Mały sabotaż

No dobrze, a jak sami możemy pomóc, jeśli mamy ochotę się zaangażować, a nie mamy niezbędnej wiedzy technicznej?

Przede wszystkim: absolutnie nie instalować programów mających rzekomo „atakować” rosyjskie usługi, nie wysyłać też pieniędzy nikomu, kto twierdzi, że „jest z Anonymous”. Lepiej takie środki przekazać jako pomoc Ukrainie.

Jeśli jednak chcemy włączyć się technicznie, najprościej zacząć od instalacji rozszerzenia Snowflake. To rozszerzenie pomaga rozbudowywać sieć Tor, pozwalającą obchodzić blokady Internetu. To ważne przede wszystkim dla Rosjan niechętnych Putinowi, którzy chcieliby zachować dostęp do informacji spoza Kremlowskiej bańki informacyjnej, na przykład na zablokowanym w Rosji Twitterze.

Rozszerzenie to spowoduje dodatkowy ruch internetowy na naszym urządzeniu, więc ostrożnie, jeśli płacimy za każdy megabajt!

Można też wystawiać recenzje z komentarzami rosyjskim firmom na popularnych portalach z recenzjami (Google Maps, Yandex, Yelp, itp). Dostępne są oczywiście gotowe przykłady tekstów po rosyjsku. Swoją drogą ciekawe, czy Google zacznie takie komentarze kasować jako spam?

да была отличной! К сожалению, Путин испортил наши аппетиты, вторгшись в Украину. Противостаньте своему диктатору, прекратите убивать невинных людей! Ваше правительство лжет вам. Вставай!

— Impractical Cartographer (@ImpracticalCar1) March 1, 2022

Powstały też strony umożliwiające włączenie się do akcji DDoS przeciwko pro-kremlowskim stronom internetowym. Wystarczy na nie wejść, a nasza przeglądarka zacznie wykonywać setki połączeń, utrudniając lub uniemożliwiając tym stronom działanie. Nie linkujemy do tych narzędzi bezpośrednio, z powodów podanych poniżej; tu można uzyskać informacje o jednej z nich.

Ale uwaga! Jeśli dołączymy do DDoSa, nasz adres IP pojawi się w logach serwerów tych stron. Technicznie rzecz biorąc może to prowadzić do nieprzyjemności prawnych, jeśli by kiedyś operatorzy tych stron mogli dochodzić swych praw przed sądem w Polsce (wątpliwe, ale kto wie).

Poważniejszym zagrożeniem jest jednak pewnie to, że operatorzy takich DDoSujących stron zmienią nagle cele, na które kierują nasz ruch.

I na koniec: bądźmy czujni również wtedy, gdy sami coś publikujemy, nawet jeśli jest to w pełni zweryfikowane. Łatwo niechcący przekazać więcej informacji, niż byśmy chcieli — jak w przypadku Łukaszenki pokazującego mapę inwazji lub amerykańskiej dziennikarki wyjawiającej, jak prezydent Zełenski komunikuje się z Zachodem.

The US remains in regular contact with Pres Zelensky through a secure satellite phone that the US gave the Ukrainian govt last month before the invasion occurred, per a US official familiar with the matter. The phone allows Zelensky to remain in contact w/ US while he’s mobile.

— Kylie Atwood (@kylieatwood) March 1, 2022

---