Przejdź do menu Przejdź do treści

Cybergrupy

grupy wyspecjalizowanych informatyków, hakerów itp. przygotowujące i przeprowadzające cyberataki, najczęściej typu Advanced Persistent Threat(APT). Obecnie działanie w pojedynkę jest raczej nieskuteczne – standardy zabezpieczeń sieci i jednostek komputerowych w instytucjach sektora prywatnego i publicznego przeważnie stoją na zaawansowanym poziomie. Cele operacji przeprowadzanych przez cybergrupy są kompleksowe – sprowadzają się do kombinacji cyberszpiegostwa, sabotażu, rozpoznania, osiągnięcia korzyści finansowych.

Istotnym zagadnieniem definiującym podmiotowość cybergrup jest aspekt wiążący je z aktorami państwowymi. Z perspektywy prawa międzynarodowego odpowiedzialność za cyberatak można przypisać danemu państwu, jeśli operacje cybernetyczne są prowadzone przez organy państwa, osoby lub podmioty uprawnione na mocy prawa wewnętrznego do wykonywania władzy państwowej. Państwo ponosi odpowiedzialność także za inne podmioty – określane zbiorczo jako aktorzy niepaństwowi – gdy pomiędzy nimi a państwem występuje konkretny związek wynikający z zaangażowania ich przez dane państwo lub działania zgodnie z instrukcjami pochodzącymi od władz państwowych albo będącymi pod jego kontrolą.

Tego typu podział ma ścisły związek z prawną kwalifikacją działań podejmowanych w cyberprzestrzeni przez podmioty niebędące państwami z perspektywy dziedziny prawa międzynarodowego, ponieważ nie stosuje się do nich umów międzynarodowych. W razie cyberataku przeprowadzonego przez podmiot niepaństwowy – bez względu na skalę i skutki tego ataku – kluczowe znaczenie ma naruszenie suwerenności zaatakowanego państwa. Jeśli do niego nie doszło, państwo zaatakowane nie ma prawa do interwencji oraz do użycia siły, nie można stosować bowiem działań odwetowych wobec aktorów niepaństwowych. Państwo zaatakowane może natomiast skorzystać z prawa do samoobrony oraz ma możliwość pociągnięcia do odpowiedzialności prawnej kraju, z którego terytorium przeprowadzono cyberatak, za niezachowanie staranności w nadzorze nad jego infrastrukturą cybernetyczną.

Do niedawna istniała rozbieżność zdań co do statusu osób bezpośrednio biorących udział w cyberatakach lub pracujących nad systemami cyberbezpieczeństwa państwa. Początkowo powoływano instytucje pełniące szerokie spektrum zadań w strukturach organów państw lub osobne piony w agencjach wywiadowczych (np. amerykańska cybergrupa Tailored Access Operations [TAO] wchodziła początkowo w skład NSA), zatem wątpliwe było, czy wobec osób w nich pracujących można stosować regulacje międzynarodowego prawa humanitarnego. Odpowiedź przyniósł szczyt NATO w Warszawie w 2016 r., podczas którego rozszerzono zadania kolektywnej obrony o sferę cyberprzestrzeni, a także uznano samą cyberprzestrzeń za obszar działań militarnych. Przykładem tego typu instytucji oraz sił zbrojnych w NATO są Cyber- und Informationsraum w Republice Federalnej Niemiec i United States Cyber Command w USA. W polskich siłach zbrojnych powołano program „Cyber.mil.pl”, którego uczestnikami są Narodowe Centrum Bezpieczeństwa, Centrum Operacji Cybernetycznych, Inspektorat Informatyki, Służba Kontrwywiadu Wojskowego, Wojska Obrony Terytorialnej, Wojskowy Instytut Łączności, Akademia Marynarki Wojennej oraz Wojskowa Akademia Techniczna.

Niewątpliwie dominującą pozycję w cyberprzestrzeni zajmuje armia Stanów Zjednoczonych, która w ramach swoich struktur tylko w 2018 r. powołała 133 cybergrupy podzielone na pięć kategorii. Trzynaście tych cybergrup miało bezpośrednio bronić Stanów Zjednoczonych i ich interesów przez cyberatakami o znaczących konsekwencjach, 68 –  chronić krytyczne sieci i systemy należące do Departamentu Obrony, 27 było odpowiedzialnych za zintegrowanie cyberataków wspierających plany operacyjne i operacje awaryjne oraz 25 – za za pewnienie wsparcia procesu planowania i analizy. W samym United States Cyber Command pracuje ok. 16,5 tysiąca żołnierzy, nie licząc pracowników cywilnych. Najsłynniejszą jednostką, której istnienie zostało ujawnione podczas tzw. afery Snowdena, jest TAO w Fort Mead w stanie Maryland, zatrudniająca ok. 600 specjalistów. Specjalizuje się ona w działaniach ofensywnych i defensywnych w cyberprzestrzeni, m.in. aktywnie brała udział w inwazji USA na Irak w 2003 r., neutralizując cywilne i militarne systemy informatyczne. Ściśle współpracuje ona z CIA oraz dysponuje najwyższej jakości technologią, jednakże jej największą przewagę stanowi możliwość przeprowadzenia bardzo skutecznych cyberataków typu „quantum”.

Na półkuli wschodniej najbardziej znane grupy hakerskie, działające prawdopodobnie pod egidą Chińskiej Republiki Ludowej, to m.in. Elderwood Group, Putter Panda, Unit 61398, Comment Crew, Hidden Lynx oraz Axiom. Ich działanie w głównej mierze sprowadza się do cyberszpiegostwa. Wyróżniają się one wysokim poziomem specjalizacji w precyzyjnych atakach na konkretne branże, np. Hidden Lynx atakuje tylko obiekty przemysłu obronnego. Wszystkie istniejące grupy zjednoczyły się w 2010 r. pod nazwą „Elderwood Group” i przeprowadziły skoordynowany cyberatak nazwany operacją „Aurora”, atakując ośrodki przemysłowe, instytucje praw człowieka oraz infrastrukturę logistyczną.

Wśród najgroźniejszych grup można także wymienić te mające prawdopodobnie wsparcie Federacji Rosyjskiej: APT28 oraz Dragonfly 2.0. APT28 jest odpowiedzialna za cyberataki na oficjalne witryny NATO, OBWE, rządu polskiego i gruzińskiego. Celami Dragonfly 2.0 są natomiast obiekty przemysłowe oraz energetyczne na całym świecie. Grupa ta najczęściej stosuje zaawansowane techniki ataków typu „watering hole”, „spear-phishing” czy też infekowanie wirusami o wielopoziomowej strukturze. (np. trojany Heriplor, Karagany, Listrix). Dragonfly 2.0 jest także odpowiedzialna za dwa poważne blackouty energetyczne w Ukrainie w latach 2015 i 2016. Istnieje duże prawdopodobieństwo, że hakerzy z tych grup stali za cyberatakami przy użyciu wirusów Quasar RAT i Vermin oraz wirusów typu ransomware – Petya, WannaCry, NotPetya – czy typu TeleBots.

Skomplikowana sytuacja geopolityczna na Bliskim Wschodzie spowodowała powstanie cybergrup bezpośrednio odwołujących się do państw. Na przykład działania Iranian Cyber Army (ICA) czy The Syrian Electronic Army (SEA) można sklasyfikować jako przejaw walki informacyjnej, rozpowszechnianie propagandy poprzez prezentowanie określonych treści na zhakowanych stronach internetowych, walkę z niezależnymi mediami czy jednostkowe, niewyszukane cyberataki na osoby powiązane ze środowiskiem opozycji. P.J. Springer określa SEA jako czołową arabską grupę hakerską, wskazując, że przeprowadzała ona cyberataki także na cele izraelskie. Zdaniem tego autora istnieją przesłanki tego, że grupa jest finansowana przez syryjski rząd.

Cybergrupy, które nie są powiązane z żadnymi strukturami państwowymi, przeważnie wywodzą swoje motywacje z idei wolnego dostępu do informacji oraz ochrony praw człowieka. Pierwszą tego typu cybergrupą była Cult of the Dead Cow,która zarówno poprzez przeprowadzanie cyberataków, jak i haktywizm koncentrowała swoje wysiłki na wyrażaniu sprzeciwu wobec proliferacji broni masowego rażenia w latach 80. Na początku drugiego tysiąclecia na forum 4chan.org powstał odwołujący się do podobnych idei ruch Anonimus, znany z ataków na strony i bazy danych rządów, korporacji i podmioty sektora prywatnego, które naraziły się moralnie opinii publicznej. Grupie przypisywane są akcje przeciwko Kościołowi Scjentologicznemu, wspieranie operacyjne wycieków WikiLeaks, przeprowadzanie cyberataków oraz kontrkampanii informacyjnych przeciwko ISIS, a także działania o wyraźnie politycznym zabarwieniu, takie jak pośrednie wspieranie opozycji w Rosji (kampania OpRussia) i Iranie w 2009 r., udzielanie instrukcji protestującym przeciwko reżimom rządowym podczas Arabskiej Wiosny czy ataki na strony rządu chińskiego. Z ruchu Anonimus w okolicach 2011 r. odłączyła się grupa hakerów typu black hat, która nadała sobie nazwę „Lulzsec”. Zdobyła popularność, zwalczając Anonimus oraz dokonując szeregu włamań do bardzo dobrze zabezpieczonych systemy i witryn. Ich ofiarą padły m.in. CIA oraz Sony Pictures.

Wojciech Cendrowski

J. Carr, Inside Cyber Warfare: Mapping the Cyber Underworld, O’Reilly, Beijing–Cambridge–Farnham–Köln–Sebastopol–Taipei–Tokyo 2010; W. Gogołek, Komunikacja sieciowa. Uwarunkowania, kategorie i paradoksy. Oficyna Wydawnicza ASPRA-JR, Warszawa 2010; Law of International Responsibility, [w:] Tallin Manual 2.0 on the International Law Applicable to Cyber Operations, M.N. Schmitt (ed.), Cambridge University Press, Cambridge 2017; P. Shakarian, J. Shakarian, A. Ruef, Introduction to Cyber-Warfare: A Multidisciplinary Approach, Elsevier, Amsterdam–Boston–Heidelberg–London–New York–Oxford–Paris–San Diego–San Francisco–Singapore–Sydney–Tokyo 2013; P.J. Springer, Cyber Warfare: A Reference Handbook, ABC-CLIO, Santa Barbara–Denver–Oxford 2015; O. Wasiuta, S. Wasiuta, Wojna hybrydowa Rosji przeciwko Ukrainie. Wydawnictwo Arcana, Kraków 2017.