Definicje cyberterroryzmu
- Dorothy Denning: „[…] groźba lub bezprawny atak wymierzony w system informatyczny, lub zgromadzone dane, w celu zastraszenia czy wymuszenia na władzach państwowych lub jej przedstawicielach ustępstw, lub oczekiwanych zachowań, w celu wsparcia określonych celów (np. politycznych). Aby działania takie zostały zakwalifikowane jako terroryzm informacyjny, atak powinien powodować znaczne straty lub takie skutki, które wywołują powszechne poczucie strachu”.
- James Lewis: „[…] wykorzystanie sieci komputerowych jako narzędzia do sparaliżowania lub poważnego ograniczenia możliwości efektywnego wykorzystania struktur narodowych (takich jak energetyka, transport, instytucje rządowe itp.) bądź też do zastraszenia czy wymuszenia na rządzie lub populacji określonych działań”.
- US National Infrastructure Protection Centre: „[…] akt kryminalny popełniony przy użyciu komputera i możliwości telekomunikacyjnych, powodujący użycie siły, zniszczenie lub przerwanie świadczenia usług dla wywołania strachu, poprzez wprowadzanie zamieszania lub niepewności w danej populacji, w celu wpływania na rządy, ludność tak, aby wykorzystać ich reakcje dla osiągnięcia określonych celów politycznych, społecznych, ideologicznych lub głoszonego przez terrorystów programu”.
- US Federal Bureau of Investigation: „[…] jest to obmyślony, politycznie umotywowany akt przemocy wymierzony przeciwko informacjom, programom, systemom komputerowym lub bazom danych, który mając charakter niemilitarny, przeprowadzony jest przez ponadnarodowe lub narodowe grupy terrorystyczne”.
- Micheal G. Pollitt z George Washington University: „[…] jest skrytym, politycznie motywowanym atakiem przeciwko informacjom, systemom lub programom komputerowym, bazom danych, których efektem jest przemoc przeciwko celom niewojskowym realizowanym przez grupy ponadnarodowe”.
Formy ataków cybernetycznych
Pierwszą zaprezentowaną metodą klasyfikacji jest lista siedmiu kategorii działań w cyberprzestrzeni opracowana przez Williama Cheswicka i Stevena M. Bellovina:
- Stealing passwords – uzyskanie haseł dostępu do sieci.
- Sodal engineering – wykorzystanie niekompetencji osób, które mają dostęp do systemu.
- Bugs and backdoors – korzystanie z systemu bez specjalnych zezwoleń lub używanie oprogramowania z nielegalnych źródeł.
- Authentication failures – zniszczenie lub uszkodzenie procedur mechanizmu autoryzacji.
- Protocol failures – wykorzystanie luk w zbiorze reguł sterujących wymianą informacji pomiędzy dwoma lub wieloma niezależnymi urządzeniami, lub procesami.
- Information leakage – uzyskanie informacje dostępnych tylko administratorowi, niezbędnych do poprawnego funkcjonowania sieci.
- Denial of Service – uniemożliwienie korzystania z systemu.
Pierwsza wojna z cyberprzestrzenią w tle
Konflikt kosowski był sporem, który rozpoczął się w 1998 r. pomiędzy jugosłowiańskimi siłami policyjnymi i wojskowymi a albańskimi separatystami w Kosowie. W trakcie 1999 r. NATO rozpoczęło kampanię uderzeń lotniczych przeciwko Jugosławii. Ataki lotnicze trwały 78 dni, po których Jugosławia zgodziła się wycofać siły z Kosowa. Była to pierwsza wojna z dość szeroką aktywnością w cyberprzestrzeni.
Po rozpoczęciu kampanii powietrznej NATO wiele osób w Serbii czuło się w obowiązku, aby pomóc broniącemu się krajowi. Chcieli zakłócić lub zatrzymać operacje NATO – zdecydowano się włamywać na strony internetowe napastników. Hakerzy zaczęli organizować małe grupy, które atakowały strony internetowe NATO lub jakąkolwiek infrastrukturę krajów członkowskich.
Jedną ze słynnych grup wykonującą ataki podczas bombardowania było ugrupowanie Black hand. Nazwę swoją wzięli oni od organizacji istniejącej w Serbii na początku XX wieku. Grupa ta powstała wśród serbskich oficerów, którzy na przełomie wieków uknuli zamach stanu. Mieli również ogromny udział w zjednoczeniu południowych Słowian w Królestwie Serbów, Chorwatów i Słoweńców (przemianowanym później na Królestwo Jugosławii).
Najpierw zaczęli od kosowsko-albańskich stron internetowych, które szerzyły propagandę. Zdjęli więc strony takie jak kosova.com i albańskie portale informacyjne mające siedzibę w Szwajcarii. Na początku agresji NATO na Jugosławię, jugosłowiańscy hakerzy byli wspomagani przez rosyjskich. Cyberprzestępcy z Rosji przeprowadzali ataki na amerykańskie strony wojskowe i infrastrukturę internetową.
Po zbombardowaniu ambasady Chin w Belgradzie przez NATO, chińscy hakerzy dołączyli do połączonych sił jugosłowiańskich i rosyjskich hakerów. Cyberataki nabrały poważniejszego charakteru. Serwer NATO został zlikwidowany z powodu ataków typu denial of service. Konta pocztowe NATO były niefunkcjonalne, ponieważ codziennie otrzymywały ponad 20 000 e-maili ze złośliwym oprogramowaniem w załączniku.
Po tych atakach grupa Hongkong Danger Duo całkowicie usunęła stronę whitehouse.gov, pozostawiając wiadomość: „Protestuj przeciwko nazistowskim działaniom USA! Protestuj przeciwko brutalnej akcji NATO!”. Podobne wiadomości można było zobaczyć na ponad stu stronach internetowych w USA i innych krajach członkowskich.
Cyberkonflikt zapoczątkowany przez nastolatków
We wrześniu 2000 r. izraelscy nastoletni hakerzy stworzyli stronę internetową, której celem było zagłuszenie stron internetowych Hezbollahu i Hamasu w Libanie. Nastolatkowie przeprowadzili atak typu denial of service, który skutecznie zablokował sześć stron internetowych organizacji w Libanie oraz Autonomii Palestyńskiej. Ten pozornie niewielki zamach na stronę internetową wywołał cyberwojnę, która szybko przerodziła się w międzynarodowy incydent. Palestyńskie organizacje wezwały do cybernetycznej świętej wojny, zwanej również cyberdżihadem lub e-dżihadem.
Wkrótce potem hakerzy uderzyli w trzy izraelskie strony internetowe, należące do izraelskiego parlamentu (Knesetu), Ministerstwa Spraw Zagranicznych oraz strony informacyjnej Sił Obronnych Izraela. Następnym celem stała się strona Kancelarii Premiera Izraela, Bank Izraela oraz Giełda Papierów Wartościowych w Tel Awiwie.
Chociaż długoterminowe skutki palestyńsko-izraelskiej cyberwojny są stosunkowo niewielkie i nigdy nie stanowiły poważnego zagrożenia fizycznego dla żadnej z zaangażowanych stron, elementy tego konfliktu są istotne, ponieważ służą jako model dla przyszłych cyberkonfliktów.
Operation Cleaver
Operacja Cleaver była cyberatakiem na infrastrukturę w 16 krajach na całym świecie. Wydarzenie powiązano z irańskimi hakerami. Firma Cylance zajmująca się cyberbezpieczeństwem udokumentowała Operację Cleaver w ramach dwuletniego dochodzenia. Nazwa cyberprzedsięwzięcia pochodzi od angielskiego słowa „tasak”, które zostało kilkakrotnie wykorzystane w ataku. Operation Cleaver dotyczyła 50 celów, należących do różnych krytycznych branż, w tym: linii lotniczych i lotnisk, firm energetycznych, naftowych i gazowych, telekomunikacyjnych, agencji rządowych i uniwersytetów. Ustalono, że zespół hakerski występował jako firma inżynierii budowlanej z siedzibą w Teheranie. Dane, które pozyskano, obejmowały poufne informacje: o pracownikach i szczegóły harmonogramu, zdjęcia identyfikacyjne, informacje o bezpieczeństwie lotnisk i linii lotniczych. W plikach znajdowały się również schematy sieci, mieszkań, telekomunikacji i energii elektrycznej.
COVID-19 a bezpieczeństwo cybernetyczne
Wzrost czasu spędzanego w sieci przez internautów, spowodowany pandemią, dał cyberprzestępcom więcej bodźców do wykorzystania sytuacji i tym samym spowodowania zakłóceń.
Google zaobserwowało ogromny wzrost liczby stron phishingowych, które pojawiły się w sieci od czasu pandemii COVID-19. Według raportu Atlas VPN z 2020 r., liczba stron phishingowych wzrosła o 350 procent. Google zarejestrowało 149 195 aktywnych stron phishingowych w styczniu, ta liczba prawie podwoiła się do 293 235 w lutym. W marcu zainfekowanych stron było już 522 495. Dyrektor operacyjny Atlas VPN, Rachel Welsh, tak wyrażał zaobserwowany trend wzrostowy – „Myślę, że cyberatakujący wskazali koronawirusa jako coś, o czym ludzie z niepokojem poszukują informacji. Nerwowość przyczynia się do natrętnych myśli, społeczeństwo zdaje się zapominać o podstawach cyberbezpieczeństwa. Ludzie uzyskują dostęp do podejrzanych plików lub próbują kupować produkty na żądanie z niezabezpieczonych stron internetowych”.
Cyberataki częścią rosyjskich działań militarnych na Ukrainie w roku 2022
Rosja rozpoczęła wojnę z Ukrainą 24 lutego 2022 r., ale rosyjskie cyberataki na Ukrainę trwały od czasu nielegalnej aneksji Krymu w 2014 r., nasilając się tuż przed inwazją w 2022 r. W tym okresie najbardziej ucierpiały ukraińskie sektory publiczne, energetyczne, medialne, finansowe, biznesowe oraz non-profit. Od 24 lutego ograniczone rosyjskie ataki cybernetyczne osłabiły dystrybucję leków, żywności i dostaw pomocy. Ich wpływ obejmował uniemożliwienie dostępu do podstawowych usług, kradzież danych i dezinformację, w tym poprzez technologię deep fake. Inne złośliwe działania cybernetyczne obejmują wysyłanie e-maili phishingowych, rozproszone ataki typu denial of service oraz wykorzystywanie złośliwego oprogramowania do usuwania danych, oprogramowania do inwigilacji i kradzieży informacji.
8 kwietnia 2022 r., kiedy ukraiński prezydent Zelensky wygłosił przemówienie w fińskim parlamencie, fińskie Ministerstwo Spraw Zagranicznych i Obrony zostało zaatakowane przez rozproszony atak typu denial of service. Fińskie systemy rządowe zostały przywrócone do działania w ciągu godziny, ale biorąc pod uwagę okoliczności, wydaje się, że ten cyberatak miał na celu zasygnalizowanie niezadowolenia Rosji z planów przystąpienia Finlandii do NATO i jej wsparcia dla Ukrainy.
Anonymous prowadzi wojnę cybernetyczną przeciwko Rosji od momentu inwazji na Ukrainę, twierdząc, że skutecznie włamał się na strony rządu oraz kont bankowych oligarchów. Anonymous publicznie powiedziało, że hakerzy zhakowali dane osobowe 120 000 rosyjskich żołnierzy – daty urodzenia, adresy, numery paszportów i przynależność jednostek.
Polscy przedsiębiorcy kontra cyberataki
KPMG, na przełomie stycznia i lutego 2022 r., przeprowadziło badanie na przykładowej grupie ekspertów ds. bezpieczeństwa IT ze 100 firm o rocznej sprzedaży powyżej 50 mln zł (10,7 mln euro). Korporacja zauważyła, że inwazja Rosji na Ukrainę i towarzysząca jej cyberwojna sprawiły, że polscy przedsiębiorcy są coraz bardziej świadomi konieczności zwiększenia cyberbezpieczeństwa w swoich firmach. „Tylko 4 proc. badanych firm zadeklarowało posiadanie wystarczających rozwiązań. 69% polskich przedsiębiorstw doświadczyło w 2021 roku co najmniej jednego cyberataku. 21% stwierdziło, że częstotliwość cyberataków w 2021 roku była wyższa niż w roku poprzednim, tylko 4% odnotowało spadek” – podało KPMG w badaniu.
Źródła:
1. https://www.wsj.com/articles/who-rushed-in-new-security-steps-after-2020-cyberattack-11658223001
2. https://www2.deloitte.com/ch/en/pages/risk/articles/impact-covid-cybersecurity.html
3. https://www.arnnet.com.au/slideshow/341113/top-10-most-notorious-cyber-attacks-history/
4.
5. https://www.aaup.edu/sites/default/files/Palestinian%20-%20Israeli%20Cyber%20Conflict.pdf
6. https://www.abc.net.au/news/2019-11-13/uk-labour-party-hit-by-cyber-attack-ahead-of-election/11699230
7. https://journals.sagepub.com/doi/full/10.1177/17816858211059250
8. https://threatmap.checkpoint.com
9.
Russia’s Use of Cyberattacks: Lessons from the Second Ukraine War
O autorze
Studentka administracji na Uniwersytecie Warszawskim. Stara się wydłużyć dobę do 48 godzin. Entuzjastka picia kawy. Interesuje się prawem rynków kapitałowych oraz nowymi technologiami. W wolnym czasie robi zdjęcia oraz organizuje city breaks.