Wpływ konfliktu Rosja-Ukraina na ekosystem cyberprzestępczości
Cyberwojna Rosja-Ukraina 2022-2025 - wiperware, FrostyGoop, hacktywizm i konsekwencje dla infrastruktury krytycznej w UE.
W styczniu 2024 roku, w temperaturach sięgających -20°C, ponad 600 budynków mieszkalnych w Lwowie straciło ogrzewanie. Nie z powodu awarii ani ostrzału - atak przeprowadzono zdalnie, przez internet, wykorzystując protokół Modbus TCP do manipulacji wartościami na kontrolerach ciepłowni Lvivteploenergo. Malware o nazwie FrostyGoop stał się pierwszym znanym narzędziem, które bezpośrednio wykorzystuje protokół przemysłowy do sabotażu infrastruktury cywilnej.
Ten incydent to nie anomalia. To element szerszego wzorca, który kształtuje się od lutego 2022 roku i zmienia zasady gry w cyberbezpieczeństwie na całym świecie.
WARNING
Liczba cyberataków na Ukrainę wzrosła o 70% w 2024 roku - z 2 541 do 4 315 incydentów (CERT-UA). Ale konsekwencje sięgają daleko poza Ukrainę - Polska odnotowuje dziesiątki prób testowania infrastruktury energetycznej, transportowej i cyfrowej dziennie.
Chronologia cyberkonfliktu 2022-2025
Konflikt cybernetyczny towarzyszący wojnie konwencjonalnej przeszedł przez kilka wyraźnych faz:
| Okres | Faza | Kluczowe wydarzenia |
|---|---|---|
| Styczeń-luty 2022 | Przygotowanie pola walki | WhisperGate, HermeticWiper, destrukcja danych w ukraińskich instytucjach rządowych |
| Luty-marzec 2022 | Pierwsza fala | Atak na Viasat KA-SAT (tysiące modemów w UE), CaddyWiper, IsaacWiper |
| 2022-2023 | Eskalacja i adaptacja | Industroyer2 vs Ukrenergo, ataki na sektor telekomunikacyjny, masowe kampanie Gamaredon |
| 2023-2024 | Ewolucja taktyk | Przejście od wiperware do szpiegostwa długoterminowego, ataki na łańcuch dostaw |
| Styczeń 2024 | FrostyGoop | Pierwszy malware atakujący OT przez Modbus TCP, odcięcie ogrzewania w Lwowie |
| Marzec 2025 | Atak na Ukrzaliznytsia | Zakłócenie systemów biletowych ukraińskich kolei, przywrócenie usług online zajęło ok. 6 dni |
| Marzec 2025 | Sandworm vs 20 obiektów | CERT-UA ujawnia plan Sandworm ataku na 20 przedsiębiorstw energetyki, wodociągów i ciepłownictwa w 10 regionach Ukrainy |
| Mid-2025 | AI w atakach | Rosyjscy hakerzy eksperymentują z AI-generowanym malware i automatyzacją ataków |
Pięć trendów, które zmieniły cyberbezpieczeństwo
1. Infrastruktura krytyczna jako bezpośredni cel
Konflikt przekroczył barierę, która przez lata była respektowana nawet w operacjach państwowych - celowe ataki na infrastrukturę cywilną dostarczającą ciepło, wodę i prąd.
Sandworm (APT44), operujący pod rosyjskim GRU, przeprowadził w samym 2025 roku kampanię przeciwko 20 przedsiębiorstwom energetyki, wodociągów i ciepłownictwa w 10 regionach Ukrainy. CERT-UA potwierdził, że co najmniej 3 z tych ataków wykorzystywały skompromitowane łańcuchy dostaw.
TIP
Ataki na infrastrukturę krytyczną są często koordynowane z uderzeniami rakietowymi - celem jest maksymalizacja efektu destrukcji. Organizacje OT powinny traktować eskalację kinetyczną jako trigger do podwyższenia czujności cyber.
2. Nowe klasy malware dla OT
FrostyGoop to przełomowy moment. Do 2024 roku znano zaledwie kilka malware’ów celujących bezpośrednio w protokoły przemysłowe (Stuxnet, Industroyer, TRITON). FrostyGoop dodał do tej listy pierwszy tool wykorzystujący Modbus TCP na porcie 502.
| Malware OT | Rok | Protokół | Cel | Efekt |
|---|---|---|---|---|
| Stuxnet | 2010 | S7comm (Siemens) | Wirówki do wzbogacania uranu | Fizyczne zniszczenie 984 wirówek |
| Industroyer | 2016 | IEC 101, IEC 104, OPC DA, IEC 61850 | Stacja elektroenergetyczna | Godzinna przerwa w dostawie prądu |
| TRITON | 2017 | TriStation (Triconex) | System SIS petrochemii | Awaryjne wyłączenie (bug w malware uratował życie) |
| FrostyGoop | 2024 | Modbus TCP | Kontrolery ciepłowni | 600+ budynków bez ogrzewania przy -20°C |
Standardowe oprogramowanie antywirusowe nie wykryło FrostyGoop - malware wtapiał się w normalny ruch sieciowy na porcie 502. To podkreśla kluczowe znaczenie segmentacji sieci OT i monitoringu anomalii w protokołach przemysłowych.
3. Zatarcie granicy między państwem a cyberprzestępczością
Jeden z najbardziej trwałych efektów konfliktu to erozja podziału między operacjami państwowymi a cyberprzestępczością:
- Rekrutacja przez państwo - grupy cyberprzestępcze są kierowane do realizacji celów strategicznych
- Dyfuzja narzędzi - malware opracowany dla celów wojskowych trafia do ekosystemu przestępczego
- Hacktywizm jako fasada - grupy takie jak CyberVolk i Killnet łączą ideologię z ransomware jako źródłem finansowania
- Sankcje jako motywator - ograniczenia ekonomiczne tworzą dodatkową motywację dla cyberprzestępczości sponsorowanej przez państwo
Liczba rosyjskich operacji sabotażowych niemal potroiła się między 2023 a 2024 rokiem, po czterokrotnym wzroście między 2022 a 2023.
4. Hacktywizm na skalę przemysłową
Konflikt wywołał bezprecedensową falę hacktywizmu po obu stronach:
IT Army of Ukraine - crowdsourcingowa cyberarmia działająca przy wsparciu ukraińskiego GUR/SBU. W czerwcu 2024 przeprowadziła jeden z największych ataków DDoS w historii, paraliżując rosyjskie banki (VTB, Sberbank, Alfa-Bank) i system płatności Mir.
Prorosyjskie grupy (Killnet, NoName057(16)) - systematycznie atakują strony rządowe i usługi w krajach wspierających Ukrainę, w tym Polskę.
Nowi aktorzy OT - w 2025 roku grupy Z-Pentest i SECT0R16 twierdziły, że uzyskały dostęp do systemów SCADA elektrowni solarnych w Niemczech i hydroelektrowni we Francji, publikując zrzuty ekranów z paneli sterowania.
WARNING
Hacktywizm normalizuje cyberataki jako formę protestu. Ale granica między “aktywizmem” a operacją państwową jest celowo rozmywana - utrudnia to atrybucję i adekwatną reakcję obronną.
5. Dezinformacja jako element wielowektorowy
Masowa weaponizacja dezinformacji to piąty wymiar cyberkonfliktu. Cyberprzestępcy adoptują metody kampanii dezinformacyjnych do własnych celów:
- Phishing podszywający się pod organizacje humanitarne i zbiórki na pomoc Ukrainie
- Kampanie inżynierii społecznej wykorzystujące emocje związane z konfliktem
- Deepfake’i i AI-generowane treści do manipulacji opinią publiczną
- Dezinformacja jako element przygotowania do cyberataku (odwrócenie uwagi)
Konsekwencje dla Polski i UE
Polska, jako jeden z krajów najmocniej wspierających Ukrainę, jest szczególnie narażona na rosyjskie operacje hybrydowe.
| Wymiar zagrożenia | Status 2025 | Źródło |
|---|---|---|
| Testowanie infrastruktury energetycznej | Dziesiątki prób dziennie | ABW / NPR |
| Ataki DDoS na instytucje rządowe | Regularne, Killnet/NoName057 | CERT Polska |
| Sabotaż kabli podmorskich | Podwyższone ryzyko w regionie Bałtyku | CEPA |
| Rekrutacja agentów przez Telegram | ”Disposable agents” za niewielkie sumy | ABW |
| Szpiegostwo vs NATO | Intensyfikacja od 2022, cel: PL, LT, LV, NO, DK | CCCS Canada |
| Atak na Viasat KA-SAT (2022) | Tysiące modemów w PL, DE, FR, IT unieruchomionych | NSA/CISA |
Dyrektywa NIS2, która weszła w życie w 2024 roku, bezpośrednio adresuje część tych zagrożeń - nakładając obowiązki raportowania incydentów i zarządzania ryzykiem łańcucha dostaw na operatorów infrastruktury krytycznej.
Checklist gotowości na zagrożenia geopolityczne
- Przegląd założeń threat intelligence pod kątem zagrożeń powiązanych z konfliktem
- Aktualizacja planów reagowania na incydenty o scenariusze destrukcji danych (wiper)
- Wzmocnienie monitoringu infrastruktury krytycznej, w tym protokołów OT
- Weryfikacja bezpieczeństwa łańcucha dostaw IT - minimum 3 dostawców skompromitowanych w kampanii Sandworm 2025
- Przygotowanie procedur na wypadek ataków DDoS na dużą skalę
- Szkolenia pracowników z rozpoznawania kampanii dezinformacyjnych i phishingowych
- Nawiązanie współpracy z CERT Polska i branżowym ISAC (FS-ISAC, E-ISAC)
- Wdrożenie Defense in Depth w środowiskach OT
- Segmentacja sieci przemysłowej zgodnie z IEC 62443
- Monitoring anomalii w ruchu Modbus, OPC UA, DNP3
- Testy odporności na scenariusze state-sponsored (red team z założeniami APT)
- Przegląd procedur backup i recovery pod kątem ataków destrukcyjnych (nie ransomware)
TIP
Kluczowa różnica w przygotowaniu na zagrożenia geopolityczne vs typowe cyberprzestępcze: ataki państwowe celują w destrukcję (nie okup), mają praktycznie nieograniczone zasoby i czas, a ich celem jest maksymalizacja szkód. Standardowe procedury IR zaprojektowane pod ransomware mogą być niewystarczające.
Wnioski
Konflikt Rosja-Ukraina zmienił krajobraz cyberzagrożeń w sposób trwały. Pięć trendów - ataki na infrastrukturę cywilną, nowe malware OT, zatarcie granicy państwo-przestępczość, hacktywizm przemysłowy i weaponizacja dezinformacji - nie zniknie wraz z ewentualnym zakończeniem działań zbrojnych.
Dla organizacji w Polsce i UE oznacza to konieczność traktowania cyberbezpieczeństwa jako elementu szerszej strategii zarządzania ryzykiem geopolitycznym. Pytanie nie brzmi “czy będziemy celem” - ale “czy jesteśmy gotowi na atak, który nie oczekuje okupu, tylko chce zniszczyć”.
Źródła:
- ENISA Threat Landscape 2022
- ENISA Threat Landscape 2025
- CERT-UA - Cyberattacks on Ukraine increased by 70% in 2024
- CyberScoop - FrostyGoop ICS Malware
- Industrial Cyber - CERT-UA details Sandworm plan to disrupt 20 critical infrastructure facilities
- The Record - Russian hackers turn to AI as old tactics fail
- CSIS - Russia’s Shadow War Against the West
- CEPA - The Hybrid Threat Imperative
- NPR - Russia’s hybrid warfare rattles Poland and NATO
- Trustwave - Three Years of Cyber Warfare
- Stanford FSI - Russian Cyber Operations Against Ukrainian Critical Infrastructure
- Small Wars Journal - Ukraine’s IT Army