Autor: Aleksander Orłowski
Witajcie po raz kolejny. Każdego dnia odkręcamy kran i oczekujemy, że poleci woda. Tak samo traktujemy dziś internet – jako wszechobecną, niezawodną użyteczność. Jest niezbędną częścią naszej pracy, nauki, rozrywki i komunikacji. Ale co się stanie, gdy ktoś zdecyduje się zatruć źródło lub przeciąć główne magistrale?
Tym źródłem i magistralami są Dostawcy Usług Internetowych (ISP). To oni tworzą cyfrowy kręgosłup, po którym pędzą nasze dane. I to właśnie ten kręgosłup stał się w ostatnim roku jednym z celów cyberprzestępców. Atak na dostawę internetu to już nie jest zwykły atak hakerski – to cyfrowy akt terroru, który może sparaliżować całe regiony.
Niewidzialna wojna o dostęp
Ataki na ISP różnią się od tych, które znamy z mediów. Rzadziej celem jest kradzież danych pojedynczego użytkownika. Stawka jest znacznie wyższa: całkowita blokada dostępu lub przejęcie kontroli nad ruchem sieciowym tysięcy, a nawet milionów ludzi i firm. W arsenale hakerów znajdują się trzy szczególnie groźne bronie:
- Ataki DDoS (Distributed Denial of Service): To cyfrowy odpowiednik zablokowania autostrady. Hakerzy wykorzystują armię przejętych komputerów (botnet), aby jednocześnie zalać serwery dostawcy internetu gigantyczną ilością fałszywego ruchu. Infrastruktura, nie mogąc przetworzyć tak ogromnej fali danych, zapycha się i przestaje działać. Dla użytkownika końcowego efekt jest prosty: brak internetu.
- Przejmowanie BGP (BGP Hijacking): To znacznie bardziej wyrafinowana metoda. BGP to protokół, który działa jak GPS dla internetu – wskazuje danym najlepszą drogę do celu. Hakerzy potrafią go oszukać, ogłaszając, że kontrolują adresy należące do kogoś innego. W efekcie, ruch sieciowy np. z Polski do niemieckiego banku, zamiast iść bezpośrednią drogą, może zostać przekierowany przez serwery w Rosji czy Korei Północnej. Tam dane mogą być podsłuchiwane i analizowane, zanim trafią do właściwego odbiorcy. To cyfrowe szpiegostwo na masową skalę.
- Ataki na DNS: Serwery DNS to książka telefoniczna internetu – tłumaczą zrozumiałe dla nas nazwy (np. wp.pl) na numeryczne adresy IP zrozumiałe dla maszyn (212.77.98.9). Wyłączenie serwerów DNS dostawcy sprawia, że przeglądarki nie wiedzą, dokąd nas skierować. Internet niby działa, ale nie da się rozsądnie wejść na żadną stronę.
Scenariusz: Jeden Dzień bez Sieci
…ponownie sięgamy po foliową czapeczkę, choć scenariusz jest aż nadto realny…
Jest środa, szczytowy moment dnia pracy. Nagle w całym mieście przestaje działać internet. W domach milkną spotkania na Teams, w szkołach przerywane są lekcje online. Ale to dopiero początek. W sklepach przestają działać terminale płatnicze, bo nie mogą połączyć się z centrum autoryzacyjnym. Paczkomaty wyświetlają błąd połączenia. Kierowcy firm kurierskich nie mogą pobrać nowych zleceń. Systemy rezerwacji w przychodniach są martwe.
To nie awaria twojego routera. To skoordynowany, potężny atak DDoS na główne węzły twojego dostawcy internetu. Przez 8 godzin miasto jest w cyfrowym lockdownie. Straty dla lokalnej gospodarki idą w miliony. To pokazuje, jak kruchą strukturą stało się nasze nowoczesne społeczeństwo, gdy odetniemy mu cyfrowy tlen.
…ściągamy…
Co robić, jak żyć? Poradnik i Apel
Czy jesteśmy bezbronni? Nie do końca. Bezpieczeństwo sieci to odpowiedzialność zbiorowa.
Dla użytkowników:
- Miej plan B: Jeśli praca lub bezpieczeństwo zależą od sieci, rozważ posiadanie zapasowego łącza, np. internetu mobilnego od innego operatora.
- Korzystaj z VPN: Dobra usługa VPN (Virtual Private Network) nie ochroni przed brakiem internetu, ale zaszyfruje Twój ruch, chroniąc go przed podsłuchaniem w razie ataku BGP Hijacking.
- Zmień DNS: Gdy strony się nie wczytują, a internet wydaje się działać, można ręcznie zmienić serwery DNS w ustawieniach komputera lub routera na publiczne i zaufane, np. 1.1.1.1 (Cloudflare) lub 8.8.8.8 (Google) ewentualnie na coś z nowej inicjatywy EU DNS4EU – Strategiczny DNS Unii Europejskiej, jakkolwiek napompowanie to nie brzmi jest tam 5 DNS’ów z różnym poziomem ochrony tabelka na końcu artykułu
- Bądź na bieżąco: Obserwuj komunikaty swojego dostawcy w mediach społecznościowych – tam najszybciej pojawiają się informacje o awariach i atakach.
Apel do dostawców:
Inwestycje w technologie anty-DDoS, wdrażanie mechanizmów zabezpieczających BGP oraz budowanie redundantnej, odpornej na awarie sieci to już nie jest przewaga konkurencyjna – to obowiązek wobec klientów, którzy powierzają wam swój cyfrowy świat.
Internet to krwioobieg współczesnej cywilizacji. Ochrona jego dostawców to ochrona nas wszystkich. Następnym razem, gdy internet zniknie, pamiętajmy, że za problemem może stać nie tylko zwykła awaria, ale celowy, wrogi akt wymierzony w fundamenty naszego cyfrowego życia.
Obiecane DNS’y inicjatywy DNS4EU – ciekawie się przedstawia opcja 3 czyli 86.54.11.13 ale nie namawiam…
Na koniec przykład dostawcy internetu zaatakowanego w Polsce: TOiP – lokalny dostawca telewizji i internetu. Atak miał miejsce w czerwcu 2024 r. Był to atak typu Ransomware połączony z kradzieżą danych. Przestępcy zaszyfrowali systemy firmy, co spowodowało przerwy w dostawie usług. Dodatkowo wykradli i opublikowali w internecie dane klientów, w tym umowy, dane osobowe i kontaktowe, narażając ich na oszustwa.
I coś z podwórka europejskiego, co prawda przykład ma trochę lat, ale jest tak modelowy, że nie mogłem się powstrzymać:
Cel ataku: Vodafone Portugal
Kiedy: 7 lutego 2022 roku.
Rodzaj ataku: Celowy i złośliwy atak na kluczowe systemy sieciowe. Co istotne, nie był to typowy atak ransomware dla okupu. Jego celem było zadanie jak największych szkód i sparaliżowanie działania operatora. Firma określiła go jako „akt terrorystyczny”, którego celem była destabilizacja.
Metoda: Atakujący, posiadający głęboką wiedzę o systemach telekomunikacyjnych, zdołali uzyskać dostęp do szkieletu sieci i wyłączyć kluczowe jej elementy. Był to tzw. atak „living off the land”, co oznacza, że przestępcy wykorzystali istniejące, legalne narzędzia administracyjne przeciwko samej firmie, nie instalując typowego złośliwego oprogramowania.
Skutki Ataku
Konsekwencje były natychmiastowe i dotknęły miliony klientów w całej Portugalii. Atak spowodował:
Masową awarię sieci 4G i 5G: Miliony użytkowników straciły dostęp do mobilnego internetu.
Paraliż usług SMS: Wysyłanie i odbieranie wiadomości tekstowych stało się niemożliwe.
Wyłączenie usług telewizyjnych (IPTV): Klienci korzystający z telewizji od Vodafone stracili dostęp do kanałów.
Zakłócenia w usługach głosowych: Chociaż operatorowi udało się częściowo utrzymać działanie sieci 3G dla połączeń głosowych, jakość i dostępność usług były mocno ograniczone.
Problemy z obsługą klienta: Systemy obsługi również uległy awarii.
Wpływ na inne sektory: Awaria sieci Vodafone zakłóciła działanie wielu firm i usług, które opierały się na jej infrastrukturze, w tym m.in. terminali płatniczych w sklepach czy bankomatów.
Znaczenie Incydentu
Atak na Vodafone Portugal jest uznawany za jeden z najpoważniejszych ataków na europejskiego operatora telekomunikacyjnego. Podkreślił on kilka kluczowych kwestii:
Wrażliwość infrastruktury krytycznej: Pokazał, jak pojedynczy, dobrze zaplanowany atak może sparaliżować znaczną część cyfrowego ekosystemu kraju.
Cel – zniszczenie, nie zysk: Uświadomił, że motywacją atakujących nie zawsze są pieniądze, ale również chęć wywołania chaosu i destabilizacji.
Długotrwała odbudowa: Przywracanie wszystkich usług do pełnej sprawności było procesem złożonym i czasochłonnym, wymagającym dokładnego sprawdzania każdego elementu sieci.
Firma Vodafone poinformowała, że nie znaleziono dowodów na to, by dane klientów zostały skradzione, co sugeruje, że głównym celem ataku była sabotaż i destrukcja usług.