Singapur celem ataku hakerskiego typu APT
Singapur celem ataku hakerskiego typu APT, który może zagrozić infrastrukturze i stabilności państwa w wymiarze długoterminowym.
Singapur w ostatnich dniach stanął przed poważnym wyzwaniem związanym z cyberatakiem, który według ministra ds. bezpieczeństwa narodowego K. Shanmugama może zagrażać nie tylko infrastrukturze krytycznej, ale i stabilności całego państwa-miasta.
Atak przypisano grupie UNC3886, którą eksperci z firmy Mandiant wiążą z Chinami. Sprawa wywołała napięcie dyplomatyczne, bo Pekin stanowczo odrzuca oskarżenia, twierdząc, że sam jest ofiarą podobnych działań. Jednak problem, który dotknął Singapur, jest dużo szerszy i nie ogranicza się do jednego regionu działań.
Ataki typu APT (Advanced Persistent Threat) to jedna z najbardziej wyrafinowanych form cyberprzestępczości. W odróżnieniu od typowych wirusów czy phishingu, APT polega na długotrwałym i skrytym przenikaniu do systemów informatycznych ofiary. Celem nie jest szybki zysk, lecz kradzież wrażliwych danych, szpiegostwo i destabilizacja kluczowych sektorów. To nie są akcje hakerów-amatorów, stoją za nimi często grupy powiązane z wywiadem państwowym.
Przykład Singapuru przypomina historię ataku na amerykański koncern SolarWinds w 2020 roku. Wtedy hakerzy – według USA powiązani z Rosją, włamali się do systemów informatycznych setek agencji rządowych i firm z listy Fortune 500. Przez miesiące pozostawali niezauważeni, uzyskując dostęp do tysięcy skrzynek pocztowych, planów projektów i danych wywiadowczych. Straty były trudne do oszacowania, bo oprócz kosztów finansowych pojawiły się też długofalowe skutki w postaci utraty zaufania do zabezpieczeń rządowych. Działania naprawcze również były konieczne co w związku z działającą na bieżąco firmą generowało koszty.
Minister Shanmugam ostrzegał, że skutki ataku mogą sparaliżować transport, służbę zdrowia, czy banki. Nie są to słowa na wyrost. W 2017 roku ransomware WannaCry sparaliżował brytyjski NHS – system publicznej opieki zdrowotnej. Odwołano tysiące zabiegów, nie działały laboratoria, a lekarze musieli wracać do papierowych kartotek. Za atak odpowiadała grupa Lazarus, którą ONZ i liczne agencje wywiadowcze wiążą z Koreą Północną. Straty finansowe były liczone w setkach milionów funtów.
Podobne incydenty miały miejsce w Stanach Zjednoczonych. W 2021 roku Colonial Pipeline, jeden z największych rurociągów naftowych w USA, został zaatakowany za pomocą ransomware przez grupę DarkSide. Rurociąg wstrzymał dostawy, co wywołało panikę na stacjach benzynowych na wschodnim wybrzeżu USA. Rząd federalny musiał interweniować, aby zapobiec kryzysowi energetycznemu.
Singapur od lat uchodzi za państwo o nowoczesnych zabezpieczeniach cyfrowych. Mimo to w 2018 roku doszło tam do głośnego wycieku danych medycznych, w tym samego premiera Lee Hsien Loonga. To pokazuje, że nawet najlepsze systemy nie są w stanie w pełni powstrzymać zdeterminowanych cyberprzestępców. Kluczowe staje się więc nie tylko inwestowanie w technologie, ale i budowanie świadomości społecznej oraz procedur reakcji na incydenty.
Podobne wnioski płyną z raportu Europejskiej Agencji ds. Cyberbezpieczeństwa (ENISA). Wynika z niego, że rośnie liczba ataków na infrastrukturę krytyczną w Europie – od elektrowni po lotniska. Hakerzy coraz częściej łączą techniki informatyczne z manipulacją psychologiczną, wykorzystując słabości ludzkie jak nieostrożność pracowników czy błędy w procedurach.
Cyberataki stały się bronią w wojnie hybrydowej. USA, Chiny, Rosja, Korea Północna czy Iran – każde z tych państw jest oskarżane o wykorzystywanie cyberszpiegostwa jako narzędzia wpływu. Z drugiej strony każde też deklaruje, że samo pada ofiarą takich działań. W praktyce granica między atakiem ofensywnym a defensywnym jest trudna do uchwycenia. Kiedy hakerzy są sponsorowani przez państwo, trudno mówić o klasycznej przestępczości, a patrząc szerzej to element geopolitycznej gry.
Dla Singapuru obecny atak jest testem odporności. Władze muszą jednocześnie chronić infrastrukturę, współpracować międzynarodowo i dbać o wiarygodność w oczach obywateli. To samo dotyczy innych państw – także Polski, która według raportów CERT odnotowuje tysiące prób włamań miesięcznie. Musimy również z takich incydentów wyciągać wnioski, ponieważ od wielu lat jesteśmy celem działań hakerskich głównie ze strony rosyjskiej.
Szymon Ślubowski
