Historia ataków hakerskich
Dla większości osób, cyberataki kojarzą się z włamaniami na serwery firm i zaszyfrowaniem ich systemów oraz kradzieżą danych klientów. Dziś w centrum uwagi są aktorzy państwowi, wyspecjalizowane jednostki wojskowe, agencje wywiadowcze i grupy przestępcze działające na zlecenie rządów. To oni odpowiadają za najbardziej zaawansowane operacje w cyberprzestrzeni – od kradzieży informacji niejawnych i własności intelektualnej, po sabotaż infrastruktury krytycznej i dezinformację.
Cyberprzestrzeń stała się kolejną domeną działań wojennych obok lądu, morza, powietrza i kosmosu. W 2016 roku NATO oficjalnie uznało ją za obszar operacyjny. Dziś żadne mocarstwo nie może pozwolić sobie na brak zdolności cyberofensywnych, jak i cyberdefensywnych.
Początki – pierwsze operacje cyfrowego wywiadu
Już w latach osiemdziesiątych zaczęto zdawać sobie sprawę, że komputery i sieci mogą stać się narzędziem wywiadu. Jednym z pierwszych głośnych przypadków była operacja znana jako Cuckoo’s Egg. Clifford Stoll, administrator systemowy w Lawrence Berkeley National Laboratory, natrafił w 1986 roku na drobną nieścisłość w rozliczeniach komputerowych. Trop ten doprowadził go do niemieckich (dokładnie z Republiki Federalnej Niemiec) hakerów, którzy na zlecenie radzieckiego KGB włamywali się do amerykańskich systemów wojskowych i naukowych. Był to pierwszy tak dobrze udokumentowany przykład cyberszpiegostwa sponsorowanego przez państwo – i ostrzeżenie, że cyberprzestrzeń staje się nowym polem bitwy.
Pod koniec lat 90. pojawiła się operacja Moonlight Maze, przypisywana Rosji. Przez kilka lat wykradano informacje z Pentagonu, NASA i uniwersytetów amerykańskich. W latach 1996 – 1999 r. sieci były systematycznie infiltrowane, a z serwerów pobierano ogromne ilości danych – plany techniczne, wyniki badań, dokumenty wojskowe.
Według ówczesnych szacunków skradziono setki tysięcy plików i gigabajty informacji, co w latach 90. było gigantyczną skalą. Ślady ataku prowadziły do Rosji, a dokładniej do infrastruktury powiązanej z wojskowym wywiadem GRU.
Choć nigdy oficjalnie nie potwierdzono sprawców (problem udowodnienia winy w cyberatakach istnieje cały czas), USA i eksperci bezpieczeństwa byli przekonani, że to pierwsza zorganizowana kampania rosyjskiego cyberszpiegostwa na Zachodzie.
Cyberwojny XXI w.
Początek XXI wieku przyniósł gwałtowny rozwój państwowych operacji w cyberprzestrzeni. Szczególnie aktywne były Chiny, które rozpoczęły systematyczne włamania do amerykańskich firm zbrojeniowych i agencji rządowych. Operacja znana jako Titan Rain stała się symbolem chińskiej strategii polegającej na kradzieży danych i technologii wojskowych w celu przyspieszonego dogonienia Zachodu pod względem technologicznym. Chińscy hakerzy za cel obrali sobie instytucje strategiczne takie jak Pentagon czy Departament Obrony, ale także koncerny i instytuty zbrojeniowe jak Lockheed Martin.
W podobnym czasie Rosja zaczęła wykorzystywać cyberataki jako narzędzie presji politycznej. W 2007 roku Estonia, kraj, który jako jeden z pierwszych niemal całkowicie zdigitalizował administrację, padła ofiarą skoordynowanej fali ataków DDoS. Strony rządowe, banki i media zostały sparaliżowane, a państwo na kilka tygodni pogrążyło się w cyfrowym chaosie. To był pierwszy przypadek w historii, gdy cyberatak uderzył w całe państwo w ramach sporu politycznego.
Oficjalnie Rosja nigdy nie przyznała się do ataku, a jednoznaczne dowody nie zostały publicznie zaprezentowane. Jednak ataki rozpoczęły się zaraz po eskalacji politycznego konfliktu z Rosją, który dotyczył pomnika radzieckiego żołnierza w Tallinie, stolicy Estonii. Na rosyjskich forach “koordynowano” działania “patriotycznych” hakerów, a eksperci NATO i estońskiego rządu byli zgodni, że bez wsparcia państwa tak skoordynowana i długotrwała kampania nie byłaby możliwa.
Rok później podobny scenariusz powtórzył się w Gruzji, gdzie ataki na infrastrukturę IT towarzyszyły rosyjskiej inwazji militarnej. Z kolei kilka lat później celem podobnych kampanii padła Ukraina. Odnotować należy też ataki na polską infrastrukturę związaną z wodą i kanalizacją, o których pisaliśmy kilka miesięcy temu.
Stuxnet
Prawdziwy przełom nadszedł w 2010 roku wraz z odkryciem wirusa Stuxnet, który już przeszedł do historii. To narzędzie było pierwszą znaną cyberbronią zaprojektowaną tak, by powodować fizyczne zniszczenia. Po raz pierwszy udowodniono, że złośliwe oprogramowanie może być równie destrukcyjne jak pociski rakietowe. Od tego momentu cyberprzestrzeń nie była już tylko obszarem szpiegostwa – stała się areną sabotażu i ataków ofensywnych.
Celem Stuxneta była irańska elektrownia atomowa w Natanz, gdzie instalowano wirówki do wzbogacania uranu, co znacząco spowolniło program nuklearny Teheranu. Malware, rozprzestrzeniany przez zainfekowane pendrive’y USB, uderzał w systemy przemysłowe tak żeby je fizycznie zniszczyć. Choć nigdy nie zostało to oficjalnie udowodnione, ani nikt się nie przyznał to podejrzenia padają na wspólną operację USA i Izraela.
Państwowe jednostki APT
W kolejnych latach cyberoperacje państwowe stawały się coraz bardziej wyspecjalizowane. Zaczęto używać pojęcia APT (ang. Advanced Persistent Threat) opisującego grupy hakerskie działające w sposób ciągły i na wysokim poziomie zaawansowania. Raport firmy Mandiant z 2013 roku ujawnił działalność chińskiej Jednostki 61398, znanej jako APT1. Przez lata prowadziła ona szeroko zakrojoną kampanię cyberszpiegowską, kradnąc plany i informacje strategiczne z firm amerykańskich i europejskich.
Równolegle Rosja rozwinęła własne grupy, takie jak APT28, Fancy Bear czy Sandworm, które specjalizowały się w sabotażu i destabilizacji. To właśnie one stały za atakami na ukraińską sieć energetyczną w latach 2015–2016, co doprowadziło do pierwszych w historii wyłączeń prądu spowodowanych cyberatakiem. Kulminacją rosyjskich działań była kampania NotPetya w 2017 roku, wymierzona w Ukrainę, ale która wymknęła się spod kontroli i sparaliżowała firmy na całym świecie. Straty oszacowano na ponad 10 miliardów dolarów, czyniąc ją najkosztowniejszym cyberatakiem w historii.
NotPetya pojawił się w czerwcu 2017 roku. Z pozoru wyglądał jak ransomware, ale w rzeczywistości był wiperem, którego celem nie był okup, tylko trwałe niszczenie danych.
Wiper to rodzaj złośliwego oprogramowania, którego głównym celem jest trwałe usunięcie danych z systemu. Nie chodzi o kradzież informacji czy okup (jak w ransomware), ale o zniszczenie i uniemożliwienie odzyskania plików.
Ofiary widziały komunikat o okupie w kryptowalucie, ale nawet po wpłacie odszyfrowanie było niemożliwe. Głównym celem była Ukraina, a atak rozpoczął się przez zainfekowaną aktualizację popularnego w tym kraju programu księgowego. Wirus szybko rozlał się po świecie i jego ofiarą padły takie firmy jak Maersk, FedEx czy rosyjski koncern paliwowy Rosnieft.
Cyberwojna w pełnej skali
Ostatnie lata pokazują, że cyberataki stały się integralnym elementem konfliktów międzynarodowych. W 2020 roku wykryto operację SolarWinds – rosyjską kampanię, która pozwoliła hakerom przez wiele miesięcy podsłuchiwać komunikację amerykańskich instytucji rządowych. Rok później grupa DarkSide powiązana z Rosją przeprowadziła atak na Colonial Pipeline, doprowadzając do kryzysu paliwowego w USA, który dotknął miliony obywateli.
Najlepszym przykładem integracji działań militarnych i cybernetycznych jest jednak wojna na Ukrainie. Od pierwszych dni rosyjskiej inwazji w 2022 roku towarzyszą jej cyberataki, takie jak niszczenie danych, sabotaż systemów infrastruktury krytycznej i publicznej, a także masowe kampanie phishingowe wymierzone w obywateli i instytucje. Równolegle Chiny, konsekwentnie prowadzące własną politykę cyfrową intensyfikują działania przeciwko Stanom Zjednoczonym, koncentrując się na infrastrukturze krytycznej. Ostatnie operacje, takie jak Volt Typhoon, pokazują, że Pekin przygotowuje się na długofalową rywalizację z Waszyngtonem również w cyberprzestrzeni.
Volt Typhoon to chińska kampania cyberszpiegowska wykryta w 2023 roku. Jej celem są systemy infrastruktury krytycznej w Stanach Zjednoczonych. Hakerzy stosują technikę living off the land czyli wykorzystywanie istniejących narzędzi systemowych Windows, np. PowerShell, PsExec, Task Scheduler, żeby nie zostawiać śladów. Stosowanie tej techniki pozwala pozostać w ukryciu przez dłuższy czas. Jeśli w systemach nie pojawiają się podejrzane pliki to antywirusy nic nie wykryją, a przypisanie ataku konkretnej grupie też jest trudne.
Aktorzy i ich strategie
Mimo, że powyżej pojawiło się tylko kilka przykładów państw, to także kraje takie jak Iran czy Korea Północna również mają swój udział w tej wojnie. Analizując działalność państwowych grup hakerskich, wyróżnić można różne strategie:
Chiny stawiają na systematyczne gromadzenie danych i kradzież technologii – chcą dzięki temu przyspieszyć swój rozwój i przygotować się na przyszły konflikt z Zachodem.
Rosja wykorzystuje cyberataki jako narzędzie destabilizacji, od ingerencji w wybory, po paraliż infrastruktury krytycznej.
Iran traktuje cyberprzestrzeń jako pole odpowiedzi na przewagę militarną USA i Izraela.
Korea Północna używa hakerów głównie w celach finansowych, kradnąc miliardy dolarów z banków i giełd kryptowalut, aby utrzymać swój reżim. Nieraz pisaliśmy już o głośnych atakach grupy Lazarus, powiązanej z Kim Dzong Unem.
Stany Zjednoczone, rozwijają najbardziej zaawansowane zdolności ofensywne, ale używają ich selektywnie jako narzędzia wywiadu i neutralizacji zagrożeń.
Cyberwojna a wojna tradycyjna
Na pierwszy rzut oka działania w cyberprzestrzeni wydają się mniej groźne, niż klasyczne konflikty zbrojne – nie ma ofiar wśród żołnierzy czy cywilów. Skutki jednak mogą być równie dotkliwe. Paraliż infrastruktury energetycznej czy transportowej może prowadzić do chaosu, strat finansowych, a nawet zagrożenia życia ludzi. Różnicą jest przede wszystkim widoczność – cyberatak nie zostawia zniszczonych miast, ale jego konsekwencje mogą być odczuwalne przez całe społeczeństwa. Dodatkowym elementem jest problem atrybucji – w przypadku pocisku wiadomo, kto go wystrzelił. W cyberprzestrzeni identyfikacja może być znacznie trudniejsza, co daje państwom większą swobodę i utrudnia odpowiedź. Przykładem takiego działania może być rosyjska operacja Red October. W malware celowo użyto kodu wykorzystywanego wcześniej przez chińskich hakerów żeby podejrzenia przenieść na Chiny.
Podsumowanie
Historia działań aktorów państwowych w cyberprzestrzeni pokazuje, jak szybko ewoluowała ta dziedzina i że cały czas się rozwija. Od pierwszych szpiegowskich włamań w latach osiemdziesiątych, przez sabotaż infrastruktury krytycznej, aż po pełnoskalowe kampanie towarzyszące wojnom – cyberprzestrzeń stała się pełnoprawnym polem rywalizacji mocarstw. Dziś żadna strategia bezpieczeństwa narodowego nie może pomijać cyberwojny.