Joanna Sosnowska
Są cierpliwi i zdolni. Mają nieograniczone środki a także najlepsze narzędzia hakerskie do swojej dyspozycji. Na usługach rządów Chin, Rosji czy Korei Północnej jest elita cyberprzestępców gotowa zaatakować dowolne cele polityczne wskazane przez swoich mocodawców.
Hakerzy na usługach Korei Północnej zaatakowali producenta i dystrybutora filmów Sony Pictures Entertainment, bo przywódcy państwa nie spodobała się komedia o spisku mającym na celu zabicie przywódcy totalitarnego państwa.
Hakerzy na usługach Rosji wielokrotnie atakowali Ukrainę, gdy tylko ta próbowała odwracać się od Moskwy w kierunku Zachodu.
Hakerzy na usługach Chin od wielu lat na masową skalę uprawiają w USA szpiegostwo przemysłowe, a ostatnio wywołali alarm w najważniejszych agencjach bezpieczeństwa na świecie. Jaki jest ich cel? Zaatakować infrastrukturę krytyczną USA w przypadku konfliktu zbrojnego z Chinami.
Chiny: infiltrować i czekać
Najważniejsze amerykańskie agencje bezpieczeństwa, w tym Agencja ds. Cyberbezpieczeństwa i Bezpieczeństwa Infrastruktury (CISA), Agencja Bezpieczeństwa Narodowego (NSA) i Federalne Biuro Śledcze (FBI) stwierdziły na początku lutego, że cyberprzestępcy na usługach chińskiego rządu od co najmniej 5 lat mieli dostęp do amerykańskiej infrastruktury krytycznej.
W wyjątkowo ostrym oświadczeniu podpisanym przez agencje bezpieczeństwa Sojuszu Pięciorga Oczu (należą do niego USA, Wielka Brytania, Kanada, Australia i Nowa Zelandia) można przeczytać, że cyberprzestępcy tylko czekali, uśpieni, na właściwy moment do ataku.
Za atakiem na infrastrukturę krytyczną USA, przed którym ostrzegały agencje bezpieczeństwa Sojuszu Pięciorga Oczu, stoi sponsorowana przez państwo grupa Volt Typhoon z siedzibą w Chinach, zazwyczaj koncentrująca się na szpiegostwie i gromadzeniu informacji. Jednak od 2021 roku Volt Typhoon atakuje infrastrukturę krytyczną w sektorach komunikacji, produkcji, edukacji, rządowym, użyteczności publicznej czy gospodarki morskiej. W maju ubiegłego roku Microsoft wykrył działania tej grupy i alarmował o nich. Koncern przypuszczał, że celem było „rozwinięcie możliwości, które podczas przyszłych kryzysów mogłyby zakłócić krytyczną infrastrukturę komunikacyjną między Stanami Zjednoczonymi a regionem Azji”. Miałby to więc być swoisty poligon przygotowujący tę grupę do działania na wypadek wojny kinetycznej pomiędzy USA a Chinami.
Eksperci ds. cyberbezpieczeństwa twierdzą, że w ubiegłym roku Volt Typhoon włamał się do systemów ok. 20 kluczowych podmiotów. Wśród ofiar, jak podaje „The Washington Post”, znalazły się hawajskie przedsiębiorstwo wodociągowe, główny port na zachodnim wybrzeżu oraz co najmniej jeden rurociąg naftowy i gazowy. Hakerzy próbowali także włamać się do operatora sieci energetycznej w Teksasie, która działa niezależnie od systemów elektrycznych w pozostałej części kraju.
Gdy chińscy przestępcy „tylko” przenikają do sieci i czekają na odpowiedni moment do ataku, Rosja i jej hakerzy od niemal dekady za pomocą cybernarzędzi usiłują “dyscyplinować” Ukrainę.
Rosja: 10 tysięcy cyberataków i cyberwojna
Departament Bezpieczeństwa Cybernetycznego i Informacji Służby Bezpieczeństwa Ukrainy poinformował niedawno, że w ciągu niemal 2 lat trwania pełnoskalowej rosyjskiej inwazji na Ukrainę, państwo to było atakowane w sumie ok. 10 tysięcy razy. To średnio 13 ataków dziennie.
Wszystkie te ataki – choć silne – dla ukraińskiej sieci nie są dużą uciążliwością. Jednak, aby dojść do dzisiejszego poziomu sprawności w obronie swojej cyberprzestrzeni, Ukraina musiała przejść przez trzy niszczycielskie ataki.
23 grudnia 2015 roku nagle wyłączono prąd 230 tysiącom ludzi w obwodzie iwanofrankiwskim na zachodzie kraju. 17 grudnia 2016 roku to samo spotkało stolicę kraju, Kijów.
Za atakami tymi stała grupa Sandworm – elitarna grupa hakerów na usługach Kremla, prawdopodobnie cyberjednostka rosyjskiego Głównego Zarządu Wywiadowczego, czyli wywiadu wojskowego. To oni w kluczowych momentach przypominali Ukrainie, „gdzie jest jej miejsce”, odwracała się od Moskwy w stronę Europy. Oba ataki na sieć energetyczną nastąpiły niedługo po tak zwanym Euromajdanie i aneksji Krymu.
Jednak ich najbardziej niszczycielski popis miał miejsce 27 czerwca 2017 roku – w przeddzień ukraińskiego święta niepodległości. Atak ten, znany jako NotPetya, do dziś uznawany jest za najpotężniejszy pod względem skali i spustoszeń.
Zaczęło się niewinnie – od spenetrowania sieci małej rodzinnej firmy Linkos Group, która tworzyła bardzo popularne w Ukrainie oprogramowanie do fakturowania. Jednak Sandworm wcale nie celował w jedną firmę – celował w państwo, dlatego hakerzy zainfekowali serwer aktualizacji Linkos Group. Gdy ten wysłał aktualizację oprogramowania, po całym kraju rozlał się złośliwy kod, który miał jeden cel: unieruchomić Ukrainę.
Sandworm wykorzystali narzędzia tak zwanego ransomware, które blokowały zainfekowane komputery, odcinając właściciela od całej zawartości. Jednak w przypadku prawdziwego ataku ransomware można zapłacić okup (ang. -ransom), po którym blokada zostanie zdjęta. W przypadku ataku NotPetya, nie było mowy o żadnym okupie, wyłącznie o niszczeniu.
Komputery drugiego największego banku Oszczadbank Ukrainy zostały zaszyfrowane w 45 sekund. Część jednego z głównych ukraińskich węzłów tranzytowych została całkowicie zainfekowana w szesnaście sekund. Robak błyskawicznie przeskakiwał z urządzenia na urządzenie, całkowicie je blokując. W ciągu kilku godzin NotPetya sparaliżowała kraj – nie można było wypłacić pieniędzy z bankomatu, płacić kartą płatniczą za benzynę czy zakupy, zapłacić rachunków, kupić biletów na pociąg, stanęły lotniska i 22 banki. Nie działał system zapisów do szpitala ani system lokalizowania karetek, utracone zostały wszystkie wyniki badań pacjentów. Stanęła również poczta, która na Ukrainie odpowiada nie tylko za roznoszenie paczek i listów, ale także za transfery pieniężne, prenumeratę prasy i wypłaty emerytury. Finansowe straty tego ataku szacowane są do dziś, a ostrożne estymacje mówią o 10 miliardach dolarów.
Do dziś Ukraina pozostaje najważniejszym celem ataków rosyjskich cyberprzestępców. Jak stwierdził Microsoft, aż 84% wszystkich cyberataków z Rosji jest wymierzonych w Ukrainę lub członków NATO.
Korea Północna: zemsta za wywiad z dyktatorem
Atakiem o równie szerokich reperkusjach, a zadanym z powodu urażenia dumy Kim Dzong Una był atak na Sony Pictures Entertainment (SPE) z 2014 roku.
Początki były niewinne: James Franco i Seth Rogen postanowili nakręcić komedię, która pośrednio naśmiewałaby się z dyktatora Korei Północnej – Kim Dzong Una. Fabuła była prosta: amerykański prowadzący talk-show dowiaduje się, że przywódca Korei Północnej jest fanem jego programu. Postanawia przeprowadzić z nim wywiad, jednak, gdy dowiaduje się o tym CIA, cel wyprawy zmienia się z wywiadu na zamach.
Przez pierwsze cztery dni film zatytułowany „Wywiad ze słońcem narodu" zarobił w internecie 15 milionów dolarów, a wpływy z biletów przyniosły kolejne 3 miliony. Do zwrotu kosztów było jednak daleko, bo produkcja wyniosła 44 miliony dolarów. Nie są to najlepsze wyniki wziąwszy pod uwagę fakt, że obraz ten miał jedną z najgłośniejszych - i najbardziej kontrowersyjnych – kampanii w historii.
24 listopada 2014 roku nie wszyscy pracownicy SPE mogli rozpocząć zwyczajny dzień pracy. Na ekranach ich służbowych komputerów pojawił się kościotrup z komunikatem: „Zdobyliśmy wszystkie wasze dane. (…) Jeśli nie spełnicie naszych żądań, udostępnimy je światu". W ten sposób grupa nazywająca się Strażnikami Pokoju domagała się wycofania z dystrybucji „Wywiadu ze słońcem narodu” (działo się to jeszcze przed premierą filmu).
Szybko okazało się, że nie rzucali słów na wiatr. W kolejnych dniach i tygodniach stopniowo ujawniali zawartość maili i komputerów pracowników Sony, wstrząsając tymi działaniami światem Hollywood. Ujawnili między innymi listę płac z milionowymi pensjami prezesów i gwiazd, z której wynikało, że aktorki zarabiają w Sony mniej niż ich męscy partnerzy. Z treści ujawnionych maili dyrektorów wypłynęły niewygodne wypowiedzi – niektórzy pisali o Angelinie Jolie, że jest „zepsutym beztalenciem”, a na temat urzędującego wówczas prezydenta USA, Baracka Obamy, padały niewybredne rasistowskie żarty. Wyciekło także pięć ukończonych, czekających na premierę filmów, w tym „Motyl Still Alice" i „Mr Turner" oraz scenariusz nowej części przygód Bonda. Rewelacjom zza kulis Sony towarzyszyły groźby skierowane wobec kin i multipleksów, które zdecydowałyby się wyświetlać u siebie „Wywiad ze słońcem narodu”.
Wiele kin ugięło się przed żądaniami hakerów i odstąpiło od premiery. W końcu także Sony uległo i całkowicie odwołało premierę, za co zostało masowo potępione. „Popełnili błąd” – komentował wówczas prezydent USA, Barack Obama. – „Nie może być tak, żeby obcy dyktatorzy wpływali na to, co pokazuje się w Ameryce w kinach…”.
W obliczu krytyki Sony ponownie zmieniło zdanie i dopuściło film do dystrybucji, choć w ograniczonym zasięgu.
Północnokoreańscy hakerzy wsławili się później wielokrotnie swoim kunsztem i fantazją, ale swoich zdolności używali przede wszystkim do… kradzieży. Wszystko po to, by podreperować gospodarkę izolowanego na arenie międzynarodowej kraju. Atak na Sony był jednym z nielicznych przypadków, gdy powód ataku był nie finansowy, lecz wynikał z pobudek wizerunkowo-patriotycznych.
Wszystkie te ataki, choć przeprowadzane z różnych powodów, różnymi metodami, narzędziami i przez innych „aktorów”, mają wspólny mianownik: uporczywość. Nie jest to nietypowe zachowanie – cyberprzestępcy na usługach państwa nie spoczną, dopóki nie osiągną postawionego im celu. W końcu nie ogranicza ich ani czas, ani pieniądze. „Niezwykle trudno jest obronić się przed atakiem sponsorowanym przez państwo” – mówił Mikko Hypponen, legendarny fiński ekspert ds. cyberbezpieczeństwa z firmy WithSecure w rozmowie z „Gazetą Wyborczą”. „Przestępcy się poddają. Oni nie chcą hakować konkretnej osoby, tylko chcą zarabiać pieniądze. Jeśli coś w ich procederze nie idzie albo idzie zbyt wolno, jest za trudne, to po prostu zmienią cel. Rządy i agencje wywiadowcze nie zmieniają zdania. Jeśli celem jest wykradzenie informacji z konkretnej sieci, to będą próbować tak długo, aż w końcu się uda. Przeciwnik, który się nie poddaje, jest wyjątkowo groźny. I prawdopodobnie osiągnie swój cel” – ostrzegał.
W raporcie „Digital Defence 2023” Microsoft ostrzegał, że aktywność grup cyberprzestępców sponsorowanych przez państwa rośnie. Organizacje zajmujące się infrastrukturą krytyczną, edukacją i kształtowaniem polityki znalazły się wśród najczęściej atakowanych. W Europie najczęstszymi obiektami ataków były: Ukraina (33%), Wielka Brytania (11%) i ex aequo Francja oraz Polska (5%).
Zainteresował Cię ten temat?
Obejrzyj nowy odcinek Magazynu Szczelin, w którym Andrzej Kohut, Joanna Sosnowska i Oskar Pietrewicz rozmawiają o północnokoreańskich hakerach i cyberbezpeczeństwie.
Zajrzyj do książki Geoffa White'a „Wielki skok Grupy Lazarus”, by dowiedzieć się więcej na temat północnokoreańskich hakerów.