Rosyjscy haktywiści atakowali polskie porty lotnicze.
Polska wśród najczęstszych celów rosyjskiej grupy Killnet.

Celem ataków i rosnącego zainteresowania rosyjskiej grupy haktywistów Killnet są domeny rządowych instytucji, policji i infrastruktura transportowa naszego kraju, w tym porty lotnicze. – Po tym, jak w lipcu zaatakowano kilkanaście portów lotniczych, co najmniej 5 systemów lokalnych lotnisk było zablokowanych, zmuszając operatorów do szybkiego działania i wprowadzania nowych zabezpieczeń – ujawnia Sergey Shykevich, Threat Intelligence Group Manager w firmie Check Point Software. Według przedstawiciela Check Point Software zagrożenie nadal jest realne.

Grupa Killnet, aktywna po wybuchu konfliktu zbrojnego na Ukrainie, skoncentrowała się na wspieraniu rosyjskich interesów geopolitycznych na całym świecie. Grupa twierdziła, że od końca lutego do września przeprowadziła ponad 550 ataków. Tylko 45 z nich było wymierzonych przeciwko Ukrainie (mniej niż 10% ogólnej liczby ataków). Reszta wycelowana została głównie w kraje wspierające Ukrainę. Najwięcej z nich w Estonię (214) oraz Łotwę (103). W czołówce znalazła się również Polska, która doświadczyła ze strony Killnetu co najmniej 41 ataków na różne instytucje.

Rysunek 1. Rozkład ataków Killnet według kraju

Historycznie ataki Killnetu rozkładają się następująco:

1.       Marzec: grupa przeprowadziła atak DDoS na międzynarodowe lotnisko Bradley w Connecticut (USA)

2.       Kwiecień: strony internetowe należące do rządu rumuńskiego, takie jak Ministerstwo Obrony, Straż Graniczna, Państwowa Spółka Transportowa i bank komercyjny, przez kilka godzin były niedostępne.

3.       Maj: masowe ataki DDOS zostały przeprowadzone przeciwko dwóm głównym krajom UE, Niemcom i Włochom

4.       Czerwiec: Wykonano dwie bardzo znaczące fale ataków na Litwę i Norwegię w odpowiedzi na poważne wydarzenia geopolityczne między tymi krajami a Rosją

5.       Lipiec: Killnet skoncentrował swoje wysiłki na Polsce i spowodował, że kilka rządowych stron internetowych było niedostępnych.

6.       Sierpień: Cyberataki zostały przeprowadzone na instytucje Łotwy, Estonii i USA

7.       Wrzesień: grupa po raz pierwszy zaatakowała Azję i skoncentrowała swoje wysiłki na Japonii dzięki wsparciu Japonii dla Ukrainy

Haktywizm w nowym modelu działania

Haktywizm, to jeden z bieżących trendów krajobrazu cyberzagrożeń. Do tej pory opierał się o zdecentralizowane grupy o podobnych poglądach, wykorzystujących – najczęściej w nielegalny sposób – komputery i Internet do szerzenia określonych poglądów politycznych i społecznych. Zjawisku od dłuższego czasu przyglądają się analitycy Check Point Research, którzy wskazali na jego nowy model – lepiej zorganizowany, uporządkowany i wyrafinowany.

 - Haktywizm to już nie tylko grupy społeczne o płynnych programach. Obecnie jest lepiej zorganizowany, uporządkowany i bardziej wyrafinowany. Uważam, że w ciągu ostatniego roku wszystko się zmieniło, zwłaszcza z początkiem wojny ukraińsko-rosyjskiej – wskazuje Sergey Shykevich.

 Specjaliści zauważają, że grupy haktywistów nie składają się już z kilku przypadkowych osób, które przeprowadzają małe ataki DDoS lub dokonują zniszczeń (defacement) na stronach niskiej rangi. Dziś są to skoordynowane organizacje o wyraźnych, wcześniej niespotykanych cechach. Wg Check Point Research są to:

• Spójna ideologia polityczna (manifesty i/lub zbiory zasad)
• Hierarchia przywództwa (mniejsze grupy przekazują rozkazy ataku „dowódcom”)
• Formalny proces rekrutacji (na podstawie minimalnych wymagań)
• Narzędzia, które grupy zapewniają swoim członkom (Zaawansowane narzędzia do rozgłosu)
• Solidne funkcje public relations (obecności na głównych stronach internetowych)

 Zmiany w modelu haktywizmu miały zacząć się mniej więcej dwa lata temu, z pojawieniem się takich grup jak Hackers of Saviour, Black Shadow i Moses Staff, które koncentrowały się wyłącznie na atakowaniu Izraela, jednak to wojna rosyjsko-ukraińska znacząco rozprzestrzeniła nowy model haktywizmu. Przykładowo, IT Army of Ukraine została publicznie zmobilizowana przez rząd ukraiński do ataku na Rosję. W nowym haktywizmie pojawiły się również grupy, które wspierały rosyjską narrację geopolityczną, takie jak Xaknet, From Russia with Love (FRwL), NoName057(16) oraz właśnie Killnet.

 - Istnieje kilka kluczowych cech, które wyróżniają nowy model haktywizmu, w tym spójna ideologia polityczna, jasna hierarchia przywództwa, formalne procesy rekrutacji, wyrafinowany zestaw narzędzi i solidne możliwości PR. Chociaż zmiana rozpoczęła się w określonych regionach geograficznych związanych z konfliktami, teraz rozprzestrzeniła się na zachód, a nawet dalej. Główne korporacje i rządy w Europie i Stanach Zjednoczonych są silnie atakowane przez ten pojawiający się typ haktywizmu. Wszystko to pozwala nowym grupom haktywizmu mobilizować się wedle rządowych narracji i osiągać strategiczne i szeroko zakrojone cele jeszcze skuteczniej – i ze znacznie szerszym wpływem na opinię publiczną – niż kiedykolwiek wcześniej – dodaje ekspert Check Pointa.