Cyberprzestępcy z Rosji. Działają jak korporacje, jedni dla zarobku, inni dla idei. „W mętnej wodzie łatwiej łowić ryby”

Przed wybuchem wojny w 2022 r. rosyjskie i ukraińskie grupy cyberprzestępców działały równolegle, często współpracując przy niektórych operacjach. Najczęściej nie atakowały także siebie nawzajem. Zmieniło się to w lutym 2022 r.

– Pojawił się bardzo wyraźny podział ideologiczny. Niektóre rosyjskie grupy wspierały rosyjską agendę wojenną a inne dosłownie przeszły „na drugą” stronę i zaczęły działać po stronie ukraińskiej – zauważa Fiodor Jarochkin, badacz świata cyberprzestępców.

Jeszcze inni wyczuli okazję do zarabiania pieniędzy tam, gdzie wcześniej nie było to możliwe. Przykładowo, dostęp do kamerek miejskich ukazujących pozycje lub ruchy wojsk. Rosyjskie władze płaciły za takie usługi. Niektóre grupy były blisko powiązane z państwem.

– Jest bardzo wiele odcieni szarości. Trudno udowodnić lub obalić powiązania między grupami przestępczymi a państwem. W dodatku przez wojnę ta szara strefa zrobiła się bardziej mętna, a w mętnej wodzie łatwiej łowić ryby – dodaje Fiodor Jarochkin.

– Zmieniły się granice tego, co jest akceptowalne. Przykładowo, choćby zasada, że Rosjanie nie działali na terytoriach rosyjskojęzycznych. Jedni skupili się na monetyzacji działalności, inni na hacktywizmie – komentuje Vladimir Kropotov, badacz Trend Micro.

Polska i NATO w ogniu rosyjskiej cyberprzestępczości

Wojna doprowadziła także do mocniejszego zacierania śladów cyberprzestępców. Przykład – jeśli ukraińska grupa zaatakowała rosyjską firmę i chciałaby od niej okup, to zgodnie z rosyjskim prawem zapłacenie pieniędzy, byłoby sponsorowaniem wrogiego państwa. Dlatego cybergrupy bardziej maskują kraj pochodzenia, jeśli oznaczałoby to utratę potencjalnych korzyści finansowych.

Z drugiej strony w „podziemiu” pojawia się znacznie więcej ofert ataków na szeroko rozumiane państwa.

– W grupach cyberprzestępców każdy kraj NATO jest legalnym celem. Głównie dla aktywistów, którzy wspierają Rosję. Działają po to, żeby przekazać jakąś wiadomość. Hakerzy, którzy chcą zarobić, pewnie ominą banki z Finlandii czy Szwecji, bo te są bardzo trudne do zaatakowania. Szukają najsłabszego ogniwa – dodaje Vladimir Kropotov.

Co ciekawe, eksperci mówią, że służby państw NATO specjalizujące się w cyberprzestępczosci współpracują, by utrudnić działania rosyjskich hakerów. Mimo zawirowań politycznych. Przykładowo, Donald Trump w marcu czasowo wstrzymał udostępnianie danych wywiadowczych i wsparcia w cybersferze dla Ukrainy. Formalnie, bo realnie nic się nie zmieniło.

Walka z hakerami prawie niemożliwa

Skuteczna walka z takimi atakami jest utrudniona ze względu na ucieczkę wielu rosyjskich cyberprzestępców za granicę. Działają z całego świata, wciąż związani z rosyjskimi organizacjami. Dlatego blokowanie protokołów pochodzących z konkretnego kraju (Rosji) nie wystarczy, by skutecznie bronić się przed atakami. Emigracja doprowadziła także do rozszerzenia katalogu oszustw używanych do ataków na pojedyncze osoby z całego świata. To właśnie rosyjscy cyberprzestępcy zapoczątkowali oszustwa typu podszywanie się pod SMS konkretnych firm czy organizacji, np. firm kurierskich.

Haktywiści działają na bardzo wielu poziomach. Jedni, praktycznie bez doświadczenia, mogą doprowadzić do unieruchomienia podstawowych usług. Inni próbują wyciągać tajemnice czy ważne informacje. Na końcu zaś pojawia się zakłócanie machiny wojskowej, czy szkód strategicznych dla całych państw lub łańcucha dostaw.

– Kiedy zaczęła się wojna, zobaczyliśmy faktyczną demonstrację hybrydowej wojny: kinetycznej i cybernetycznej. Aktywizm stał się przy tym bardzo złożony. Wcześniej to był ruch publiczny. Dziś składa się z warstw, których publicznie nie widać. Część działań powiązana jest z państwami, część nie. Niektóre działania są skoordynowane, inne nie – mówi Vladimir Kropotov.

Czego szukają rosyjscy cyberprzestępcy

Na co polują wojenni hakerzy? Oprócz dostępu do kamer miejskich – także kamer bezpieczeństwa w budynkach. Poszukiwane są dane osobowe pracowników organizacji rządowych oraz służb mundurowych. W momencie wybuchu wojny takie dane są arcyważne i służą np. do koordynowania ataków dronów czy artylerii. Hackerzy zdobywają dostęp np. do routerów albo wysyłają wiadomości masowe do rodzin wojskowych z antywojennymi hasłami.

– Dawniej atakowało się firmę z zachodu i zbierało pieniądze. Teraz ataki typu ransomware są elementem wojny hybrydowej między krajami. Przy czym często grupy zacierają ślady i udają pochodzenie z innego regionu po to, żeby też zarobić – komentuje Vladimir Kropotov.

Tyle że ataki typu ransomware budzą wewnętrzne kontrowersje w środowisku rosyjskich cyberprzestępców.

– Kiedy okup wynosi 100 tys. dolarów, nikogo ważnego to nie obchodzi. Jeśli atakuje się infrastrukturę krytyczną albo ta kwota wynosi miliony, organy ścigania zaczynają działać. Jest pewna granica między działaniami uznawanymi za zwykłą przestępczość a wojną hybrydową. Pojawiły się wręcz zakazy tego typu działań, bo przyciągały za dużą uwagę organów ścigania – Vladimir Kropotov.

Cyberprzestępcy jak korporacje

Zmiana dotyczy nie tylko cyberprzestępców z Rosji. Widać to szeroko w całym globalnym podziemiu.

– Próg wejścia do świata cyberprzestępczości stał się bardzo niski. Dawniej były to bardzo wykształcone osoby. Teraz normą staje się wejście młodych, mało doświadczonych, ale sprawnie korzystających z narzędzi AI osób. Dodatkowo grupy, które działają w branży od lat, dziś w zasadzie są prawdziwymi przedsiębiorcami. Mają własną wewnętrzną hierarchię, własne procesy biznesowe, dzielą się rolami i zadaniami. Potrafią skutecznie spieniężać swoje umiejętności, a rozwój AI tylko w tym pomaga – komentuje Vladimir Kropotov.

Rośnie także poziom wyrafinowania grup. Ponad dekadę temu znaczna część ataków była albo zaawansowana – i najczęściej powiązana z konkretnymi państwami, a część prosta – i wykonywana przez pojedynczych cyberprzestępców.

– Obecnie poziom zaawansowania ataków zorganizowanych grup przewyższa te, które są realizowane przez państwo. Grupy mają ogromną infrastrukturę, dzięki której są w stanie atakować całe korporacje albo naruszać bezpieczeństwo innych państw – zauważa Vladimir Kropotov.

Dziś grupy prowadzą np. legalne rekrutacje osób, które nie wiedzą, że wykonują usługi na rzecz cyberprzestępców. W ten sposób niewinne osoby, np. projektanci aplikacji internetowych czy programiści, wspierają działania przestępcze.

Pandemia zrodziła trendy, głównie przez mocne rozprzestrzenienie się pracy zdalnej i dynamiczny rozwój narzędzi wykorzystywanych do komunikacji. Jeszcze do niedawna barierą była znajomość języka czy kultury. Organizacja przestępcza, która chciała skutecznie atakować cele w Japonii, musiała posiadać kogoś, kto zna doskonale język japoński. A to trudne w bardzo hermetycznym środowisku. Dziś AI pozwala na bardzo dobre tłumaczenie między różnymi językami. Ataki są prostsze, a przez to, bardziej skuteczne.

Dlaczego Rosja to „stolica” cyberprzestępców

Skuteczność cyberprzestępczości w Rosji wynika z kilku przyczyn. W latach 90. i później młodzi bardzo dobrze wykształceni Rosjanie, borykali się z trudnością ze znalezieniem pracy. Przestępczość była jednym z kierunków do wzbogacenia. Druga kwestia to konsekwencja ideologii „biedni robotnicy z ZSRR kontra bogaci z zachodu”.

– Jeśli weźmiesz kawałek bogactwa wrogom z zachodu, nic się nie stanie. Dlatego Rosjanie atakowali inne kraje. Byli w tym dobrzy, bo sami musieli tworzyć np. infrastrukturę do mikrotransakcji. Jako jedni z pierwszych zaczęli korzystać z Bitcoina i to był moment, kiedy rosyjska cyberprzestępczość weszła na wyższy poziom – tłumaczy badacz świata cyberprzestępców.

W tych czasach ukuło się również powiedzenie – „nie atakujemy Rosjan”. Rosyjskie organy ścigania walczyły z cyberprzestępcami, którzy atakowali na terenie Rosji. Odpuszczali jednak tym, którzy działali poza granicami kraju. W sposób naturalny doprowadziło to do „eksportu” cyberataków.

Kulisy rosyjskiej cyberprzestępczości

Dziś rosyjscy cyberprzestępcy komunikują się ze światem w dark necie i na specjalnych forach. To tylko wierzchołek góry lodowej, bo te kanały służą głównie do pozyskiwania talentów oraz komunikacji z potencjalnymi klientami. Grupy są hermetyczne, ale nie całkowicie zamknięte. W innym wypadku nie mogłyby pozyskiwać nowych członków ani budować infrastruktury. Dlatego cybergrupy mają charakter wielopoziomowy. Niektóre mają dość luźną strukturę i koncentrują się na zarabianiu pieniędzy (np. w zamian za opłatę dostaje się dostęp do miejsca, w którym składane są zlecenia do cyberataków). Inne mają wymiar wyspecjalizowanych grup atakujących trudne cele. Zamiast oszukiwać milion osób na jednego dolara, atakują jedną – licząc na zdobycie miliona dolarów.

– Procedury są anonimowe, ale część tego świata jest dość jawna. Na przykład fora, na których publikowane są oferty pracy. Dlatego łatwo jest pozyskać podstawowe informacje na temat ich działań, ale dostanie się do „środka” wymaga mnóstwa czasu i wysiłku, żeby przekonać do siebie rekruterów – dodaje Fiodor Jarochkin.

Infiltracja takich grup jest arcytrudna. Posługują się slangiem, wynikającym z rosyjskiej specyfiki kulturowej i niuansów „technologicznego” języka rosyjskiego. Dostęp do (i tak dość otwartych) forów wymaga odpowiedzi na zapytania (tzw. captcha), które wymagają znajomości rosyjskiej specyfiki. Czasem dużo prościej jest przyznać, że jest się obcokrajowcem – nigdy nie dostaniemy się „do środka” organizacji, ale możliwa będzie podstawowa interakcja.

– Język rosyjski jest moim pierwszym językiem, ale nawet dla mnie zrozumienie niektórych terminów jest trudne. Jeśli nie działa się w tym „biznesie”, nie pracuje się z takimi osobami, jest to praktycznie niemożliwe. Dlatego te grupy nie boją się, że ChatGPT pozwoli na ich infiltracje – dodaje Fiodor Jarochkin.

Główne wnioski

1. Wojna w Ukrainie zmieniła krajobraz cyberprzestępczości, nadając jej wyraźnie polityczny i ideologiczny wymiar. Wcześniej rosyjskie i ukraińskie grupy działały niemal równolegle, często bez wzajemnej wrogości, lecz po 2022 r. nastąpił gwałtowny rozłam. Jedni cyberprzestępcy opowiedzieli się po stronie państwa rosyjskiego, inni wspierają Ukrainę, a jeszcze inni po prostu dostrzegli okazję do szybkiego zarobku. Przestępczość cyfrowa stała się elementem wojny hybrydowej, w której granice między państwem, aktywizmem a czystym biznesem zaczęły się zacierać. Ataki na infrastrukturę czy kradzieże danych osobowych stały się bronią tak samo istotną jak drony czy artyleria.
2. Współczesne grupy cyberprzestępcze coraz bardziej przypominają dobrze zorganizowane korporacje z globalnym zasięgiem. Struktura wewnętrzna wielu z nich oparta jest na podziale ról, hierarchii i „procesach biznesowych”, a rekrutacje są prowadzone jak w legalnych firmach. Część członków nie ma nawet świadomości, że pracuje dla przestępców, wykonując np. zlecenia technologiczne. Wykorzystanie AI zrewolucjonizowało branżę, czyniąc ataki łatwiejszymi, szybszymi i skuteczniejszymi. Dzięki narzędziom tłumaczącym zniknęły dawne bariery językowe, co otworzyło nowe rynki ataków, np. w krajach azjatyckich.
3. Rosja stała się światowym centrum cyberprzestępczości dzięki wyjątkowemu splotowi historii, ideologii i warunków społecznych. Wychowani w postsowieckiej biedzie dobrze wykształceni młodzi Rosjanie często wybierali drogę cyfrowej przestępczości jako sposób na poprawę swojego losu. Ideologia „walki z bogatym Zachodem” nadawała tym działaniom nieformalny status patriotyczny. Przez dekady obowiązywała niepisana zasada: „nie atakujemy Rosjan” – co oznaczało pełną swobodę atakowania reszty świata. Rosyjskie organy ścigania często przymykały oko na działalność grup, które działały poza granicami kraju, przez co kraj ten stał się swego rodzaju „inkubatorem” hakerów. Dziś grupy te funkcjonują w strukturach hermetycznych, opartych na rosyjskim języku, slangu i kulturowych odniesieniach, co skutecznie utrudnia ich infiltrację.