Sandworm - ebook
Wydawnictwo:
Data wydania:
1 stycznia 2021
Format ebooka:
EPUB
Format
EPUB
czytaj
na czytniku
czytaj
na tablecie
czytaj
na smartfonie
Jeden z najpopularniejszych formatów e-booków na świecie.
Niezwykle wygodny i przyjazny czytelnikom - w przeciwieństwie do formatu
PDF umożliwia skalowanie czcionki, dzięki czemu możliwe jest dopasowanie
jej wielkości do kroju i rozmiarów ekranu. Więcej informacji znajdziesz
w dziale Pomoc.
Multiformat
E-booki w Virtualo.pl dostępne są w opcji multiformatu.
Oznacza to, że po dokonaniu zakupu, e-book pojawi się na Twoim koncie we wszystkich formatach dostępnych aktualnie dla danego tytułu.
Informacja o dostępności poszczególnych formatów znajduje się na karcie produktu.
Format
MOBI
czytaj
na czytniku
czytaj
na tablecie
czytaj
na smartfonie
Jeden z najczęściej wybieranych formatów wśród czytelników
e-booków. Możesz go odczytać na czytniku Kindle oraz na smartfonach i
tabletach po zainstalowaniu specjalnej aplikacji. Więcej informacji
znajdziesz w dziale Pomoc.
Multiformat
E-booki w Virtualo.pl dostępne są w opcji multiformatu.
Oznacza to, że po dokonaniu zakupu, e-book pojawi się na Twoim koncie we wszystkich formatach dostępnych aktualnie dla danego tytułu.
Informacja o dostępności poszczególnych formatów znajduje się na karcie produktu.
Multiformat
E-booki sprzedawane w księgarni Virtualo.pl dostępne są w opcji
multiformatu - kupujesz treść, nie format. Po dodaniu e-booka do koszyka
i dokonaniu płatności, e-book pojawi się na Twoim koncie w Mojej
Bibliotece we wszystkich formatach dostępnych aktualnie dla danego
tytułu. Informacja o dostępności poszczególnych formatów znajduje się na
karcie produktu przy okładce. Uwaga: audiobooki nie są objęte opcją
multiformatu.
czytaj
na tablecie
Aby odczytywać e-booki na swoim tablecie musisz zainstalować specjalną
aplikację. W zależności od formatu e-booka oraz systemu operacyjnego,
który jest zainstalowany na Twoim urządzeniu może to być np. Bluefire
dla EPUBa lub aplikacja Kindle dla formatu MOBI.
Informacje na temat zabezpieczenia e-booka znajdziesz na karcie produktu
w "Szczegółach na temat e-booka". Więcej informacji znajdziesz w dziale
Pomoc.
czytaj
na czytniku
Czytanie na e-czytniku z ekranem e-ink jest bardzo wygodne i nie męczy
wzroku. Pliki przystosowane do odczytywania na czytnikach to przede
wszystkim EPUB (ten format możesz odczytać m.in. na czytnikach
PocketBook) i MOBI (ten fromat możesz odczytać m.in. na czytnikach Kindle).
Informacje na temat zabezpieczenia e-booka znajdziesz na karcie produktu
w "Szczegółach na temat e-booka". Więcej informacji znajdziesz w dziale
Pomoc.
czytaj
na smartfonie
Aby odczytywać e-booki na swoim smartfonie musisz zainstalować specjalną
aplikację. W zależności od formatu e-booka oraz systemu operacyjnego,
który jest zainstalowany na Twoim urządzeniu może to być np. iBooks dla
EPUBa lub aplikacja Kindle dla formatu MOBI.
Informacje na temat zabezpieczenia e-booka znajdziesz na karcie produktu
w "Szczegółach na temat e-booka". Więcej informacji znajdziesz w dziale
Pomoc.
Czytaj fragment
Pobierz fragment
Pobierz fragment w jednym z dostępnych formatów
Sandworm - ebook
Andy Greenberg przedstawia reportaż o najbardziej niszczycielskim cyberataku w historii i desperackim polowaniu na stojących za nim hakerami.
W 2014 roku świat był świadkiem rozpoczęcia tajemniczej serii cyberataków. Dotknęły one amerykańskie przedsiębiorstwa użyteczności publicznej, NATO i sieci elektryczne w Europie Wschodniej. Ich kulminacja nastąpiła latem 2017 roku, kiedy to złośliwe oprogramowanie znane jako NotPetya sparaliżowało wiele przedsiębiorstw – od producentów leków, przez twórców oprogramowania, po firmy transportowe. W epicentrum ataku na Ukrainie przestały działać bankomaty, system kolejowy i pocztowy. W szpitalach zabrakło prądu. Straty spowodowane przez NotPetya zostały oszacowane na dziesięć miliardów dolarów. Hakerzy stojący za tymi atakami szybko zyskali reputację najniebezpieczniejszego zespołu cyberwojowników w historii – grupy znanej jako Sandworm.
W swojej książce Andy Greenberg rozważa zagrożenia, jakie mogą nieść działania Sandworm dla bezpieczeństwa i stabilności narodowej poszczególnych państw. Odsłania realia nie tylko globalnej ofensywy cyfrowej Rosji, ale także epoki, w której wojna przestaje być prowadzona na polu bitwy i przenosi się do cyberprzestrzeni. Pokazuje, w jaki sposób granice między cyfrowym i fizycznym konfliktem, między wojną a czasem pokoju zaczęły się zacierać – z wstrząsającymi konsekwencjami.
| Kategoria: | Hacking |
| Zabezpieczenie: |
Watermark
|
| ISBN: | 978-83-01-21989-5 |
| Rozmiar pliku: | 1,8 MB |
FRAGMENT KSIĄŻKI
WSTĘP
27 czerwca 2017 roku coś dziwnego i strasznego zaczęło rozprzestrzeniać się w infrastrukturze na całym świecie.
W Pensylwanii część szpitali zaczęła przesuwać operacje oraz odsyłać pacjentów do domów. W Tasmanii fabryka Cadbury przestała produkować czekoladki. Gigant farmaceutyczny Merck przestał produkować szczepionki przeciw wirusowi brodawczaka ludzkiego (HPV).
Następnie siedemnaście terminali w portach na całym świecie, należących do największej na świecie firmy żeglugowej Maersk, przestało działać. Przez to dziesiątki tysięcy ciężarówek przewożących kontenery stanęły w korkach za bramami tych portów. Ogromne statki załadowane setkami tysięcy ton ładunku dobijały do brzegu tylko po to, by dowiedzieć się, że nie ma kto ich rozładować. Główne elementy powiązanych ze sobą i zautomatyzowanych systemów na świecie zdawały się samoistnie zapominać, jak funkcjonować, niczym ofiary epidemii bakterii zjadających mózg.
W epicentrum ataku, na Ukrainie, skutki technologicznej katastrofy były bardziej odczuwalne. Przestały działać bankomaty oraz płatności kartami kredytowymi. Transport masowy został sparaliżowany w stolicy kraju – Kijowie. Agencje rządowe, lotniska, szpitale, poczta, nawet naukowcy monitorujący poziomy radioaktywności w ruinach elektrowni jądrowej w Czarnobylu, wszyscy bezradnie obserwowali, jak praktycznie każdy komputer w sieci został zainfekowany i wyczyszczony tajemniczym złośliwym kodem.
Tak właśnie wygląda cyberwojna: niewidzialna siła zdolna uderzyć znikąd, by sabotować na masową skalę technologie stanowiące fundament cywilizacji.
Przez dziesięciolecia analitycy od cyberbezpieczeństwa ostrzegali nas, że ten moment nadejdzie. Ostrzegali nas, że hakerzy wkrótce zrobią krok naprzód i zamiast zwykłymi przestępstwami lub nawet szpiegowaniem sponsorowanym przez państwa zajmą się wykorzystywaniem luk w scyfryzowanej, najistotniejszej infrastrukturze współczesnego świata. W 2007 roku rosyjscy hakerzy, bombardując Estonię cyberatakami, pokazali potencjalną skalę geopolitycznego hakowania, sprawiając, iż praktycznie każda strona internetowa była offline. Dwa lata później złośliwe oprogramowanie NSA o nazwie Stuxnet potajemnie przyspieszyło pracę irańskich wirówek wzbogacania nuklearnego, aż uległy one samozniszczeniu. Ta operacja także dawała przedsmak tego, co może nadejść, oraz udowadniała, że narzędzia cyberwojny mogą wykraczać poza świat cyfrowy i skutkować katastrofami w nawet najbardziej strzeżonych i wrażliwych elementach świata fizycznego.
Lecz dla osób, które obserwowały wojnę rosyjską na Ukrainie od początku 2014 roku, widoczne były wyraźniejsze i bardziej bezpośrednie sygnały. Począwszy od 2015 roku, fale złośliwych cyberataków zaczęły atakować ukraiński rząd, media i transport. Ich kulminacją były pierwsze w historii przerwy w dostawie prądu spowodowane przez hakerów, które odcięły od zasilania setki tysięcy cywilów.
Niewielka grupa naukowców zaczęła alarmować, w głównej mierze na próżno, że Rosja zamienia Ukrainę w laboratorium do testowania cyberwojennych innowacji. Ostrzegali, że te usprawnienia mogą wkrótce zostać wykorzystane przeciwko Stanom Zjednoczonym, NATO i beztroskiej reszcie świata, która nie jest przygotowana na nowy wymiar wojny. Wskazywali też na jedną grupę hakerów wspieranych przez Kreml, którzy – wydawało się – są odpowiedzialni za wypuszczanie tych bezprecedensowych broni masowego zniszczenia, grupę zwaną Sandworm.
W ciągu następnych dwóch lat grupa Sandworm nasili swoje ataki, wyróżniając się jako najniebezpieczniejsza grupa hakerów na świecie, na nowo definiująca cyberwojnę. Wreszcie nadchodzi pamiętny dzień pod koniec czerwca 2017 roku. Wtedy grupa wypuszcza robaka, który wstrząśnie światem, znanego jako NotPetya. Obecnie uważany jest za najbardziej niszczycielski i kosztowny malware w historii. Tymi atakami hakerzy z Sandworm jak nigdy wcześniej udowodnili, że zaawansowani technologicznie i sponsorowani przez państwo hakerzy mogą, z precyzją wojskowej jednostki szpiegowskiej, dokonać ataku na każdą odległość, rujnując tym podstawowe elementy ludzkiego życia, uderzając w powiązane i zależne od siebie systemy z nieprzewidywalnymi i katastrofalnymi skutkami.
Aktualnie całe niebezpieczeństwo ze strony grupy Sandworm i im podobnych zagraża przyszłości. Jeżeli cyberwojna będzie nasilać się bez nadzoru, ofiary mogą paść celem jeszcze bardziej złośliwych i niszczycielskich robaków wypuszczonych przez hakerów, których sponsoruje państwo. Ataki cyfrowe po raz pierwszy wykonane na Ukrainie zwiastują świat, w którym hakerzy wywołują przerwy w dostawie prądu trwające dni, tygodnie lub nawet dłużej, celowo pozbawiając kraje elektryczności. Efekty mogą przypominać skutki huraganu Maria, który przeszedł przez Portoryko, powodując ogromne szkody ekonomiczne, a nawet śmierć wielu istnień. Świat, w którym hakerzy niszczą fizyczny sprzęt w zakładach przemysłowych, powodując śmiertelny chaos. Tudzież, jak w przypadku ataku NotPetya, świat, gdzie po prostu czyści się setki tysięcy komputerów w najważniejszym momencie, by wykazać, że systemy wroga i infrastruktura są podatne na takie ataki.
Ta książka opowiada o grupie hakerów zwanych Sandworm, będących jak dotąd najlepszym przykładem terrorystów specjalizujących się w cyberwojnie. Przedstawia wieloletnią pracę detektywów śledzących tych hakerów (ślady grupy Sandworm widoczne były w kolejnych cyfrowych katastrofach), aby ich zidentyfikować i zlokalizować oraz by zwrócić uwagę na niebezpieczeństwa, jakie niesie ta grupa, mając desperacką nadzieję na jej powstrzymanie.
Lecz Sandworm to nie tylko historia o jednej grupie hakerów lub o niebezpieczeństwie spowodowanym bezmyślną chęcią Rosji do prowadzenia tej nowej formy cyberwojny na całym świecie. To także historia o większym i ogólnoświatowym wyścigu zbrojeń, który trwa do dziś. Stany Zjednoczone oraz Zachód nie tylko nie zatrzymały tego wyścigu, lecz nawet bezpośrednio przyspieszyły go gwałtowanie za pomocą cyfrowych narzędzi. W ten sposób zaprosiliśmy do naszego świata nową, nieprzewidywalną siłę chaosu.PROLOG
Kiedy światła gasną, zegary się zerują.
Sobotnią noc grudnia 2016 roku Oleksii Jasiński spędzał z żoną i nastoletnim synem na kanapie w salonie swojego mieszkania w Kijowie. Czterdziestoletni specjalista od cyberbezpieczeństwa wraz z rodziną oglądali właśnie film Snowden Olivera Stone’a, gdy nagle ich blok został odcięty od prądu.
– Hakerzy nie chcą, byśmy dokończyli oglądać film – zażartowała żona Jasińskiego, nawiązując do wydarzeń, do których doszło na dwa dni przed świętami Bożego Narodzenia 2015 roku, kiedy to cyberatak pozbawił elektryczności prawie ćwierć miliona Ukraińców.
Jednak Jasińskiemu, który był głównym analitykiem sądowym w kijowskiej firmie zajmującej się cyberbezpieczeństwem, nie było do śmiechu. Spojrzał na zegarek stojący na biurku: była 00:00. Dokładnie północ.
Telewizor był podpięty do listwy zasilającej, która zabezpieczała przed skutkami przepięć, toteż pokój oświetlały migotające obrazy. Listwa zabezpieczająca zaczęła żałośnie piszczeć. Jasiński wstał, wyłączył listwę i nagle nastała cisza. Poszedł do kuchni, wyjął parę świec i je zapalił. Potem podszedł do okna. Szczupły inżynier o jasnobrązowych włosach spojrzał na miasto. Nigdy wcześniej nie widział go takim, całe było spowite w ciemnościach. Tylko szary blask odległych świateł odbijał się od zachmurzonego nieba, zarysowując czarne bryły nowoczesnych mieszkań i radzieckich wieżowców.
Biorąc pod uwagę dokładną godzinę i datę ataku z grudnia 2015 roku, Jasiński był pewien, że to nie przypadek. Pomyślał o zimnie na zewnątrz, temperatura przekraczała –17 stopni Celsjusza, o temperaturze w domach, która powoli spadała, i o odliczaniu, ile minie czasu, nim zamarzną rury pozbawione ciepła.
Właśnie wtedy do głowy przyszła mu kolejna chora myśl: przez ostatnie 14 miesięcy znajdował się w centrum ogarniętym kryzysem. Rosnąca liczba ukraińskich firm i agencji rządowych zgłaszała się do niego, by przeanalizował plagę cyberataków, które bezustannie je nękały. Wyglądało na to, że za tym wszystkim stoi jedna grupa hakerów. Teraz nie mógł powstrzymać wrażenia, że zjawy, które śledził od ponad roku, za pomocą sieci dotarły do jego domu.1.
Luka zero-day
Za Beltway, gdzie kompleks służb specjalnych Waszyngtonu ustępuje miejsca parkingom i biurowcom z logami firm, których nikt nie pamięta, w Chantilly, w stanie Wirginia stoi budynek. Na czwartym piętrze tego budynku znajduje się pokój pozbawiony okien, jego ściany pomalowane są matową farbą koloru czarnego, tak by nie docierało do środka żadne światło.
W 2014 roku, nieco ponad rok przed wybuchem cyberwojny na Ukrainie, mała prywatna firma wywiadowcza iSight Partners nazwała to miejsce black room, czyli czarny pokój. Wewnątrz pracował dwuosobowy zespół odpowiedzialny za wyszukiwanie luk w oprogramowaniu. Praca, którą wykonywał, wymagała tak dużego skupienia, że specjaliści nalegali, by pomieszczenie, w którym pracują, pozbawione było wszelkich czynników rozpraszających.
To właśnie ta para wysoko wykwalifikowanych specjalistów po raz pierwszy w środę rano zwróciła się z prośbą do Johna Hultquista. Tego dnia Hultquist usiadł rano przy swoim biurku w znacznie lepiej oświetlonym i z prawdziwymi oknami biurze znajdującym się po przeciwnej stronie iSight. Otworzył e-mail od swoich kolegów z firmy iSight, którzy monitorowali sytuację na Ukrainie. W środku e-maila znalazł prezent, pracownicy z Kijowa byli pewni, że znaleźli lukę zero-day w systemie.
Luka zero-day w żargonie hakerów to ukryta luka w zabezpieczeniach oprogramowania, o której nie wie firma tworząca i utrzymująca oprogramowanie. Nazwa pochodzi od faktu, iż zainfekowana firma ma „zero dni” na odpowiedź i opublikowanie aktualizacji, by chronić swoich użytkowników. Gdy luka jest wystarczająco potężna, pozwala hakerowi wyjść poza zainfekowaną aplikację i wykonywać własny kod na zaatakowanym komputerze. Komputer staje się wtedy punktem dostępowym – darmowym przejściem, które pozwala uruchomić podatne oprogramowanie w każdym miejscu na świecie, gdzie ofiara połączy się z siecią.
Hultquist z ukraińskiego biura firmy iSight otrzymał plik PowerPoint w załączniku. Wyglądało na to, że ukradkiem uruchamiał dokładnie takie wykonanie kodu w jednym z najczęściej używanych programów na świecie – Microsoft Office.
Gdy Hultquist czytał e-maila, w jego głowie zaświeciła się czerwona lampka. Jeżeli Ukraińcy mieli rację, oznaczało to, że nieznani hakerzy mają możliwość i mogą wykorzystać ją, by zhakować każdy komputer. Należało natychmiast powiadomić firmę Microsoft. Co więcej, odkrycie to stanowiło kamień milowy dla tak małej firmy jak iSight, dawało nadzieję na zaistnienie i pozyskanie klientów w rozwijającej się branży „analizy zagrożeń”. Firma znajdowała tylko dwie lub trzy ukryte luki rocznie. Każda z nich była swego rodzaju abstrakcją, osiągnięciem zaspokajającym niezwykle niebezpieczną ciekawość. – Dla małej firmy znalezienie takiej perełki było bardzo satysfakcjonujące – mówi Hultquist. – To była dla nas wielka sprawa.
Hultquist, głośny i barczysty, wiecznie uśmiechnięty z czarną grubą brodą były żołnierz pochodzący ze wschodniej części Tennessee, wrzasnął kilkukrotnie zza swojego biurka w stronę głównego pokoju. Po jednej stronie znajdowali się eksperci od malware, a po drugiej analitycy zagrożeń skupiający się na zrozumieniu geopolitycznych motywów tych ataków. Po przeczytaniu wiadomości Hultquist wypadł ze swojego biura i zaczął przydzielać zadania pracownikom w głównym pokoju. Wtedy jeszcze nie wiedzieli, że zajmują się jednym z największych odkryć w historii tej małej firmy.
Lecz to właśnie w black roomie pasjonaci hakowania zaczęli zmagać się ze znaczeniem odkrycia firmy iSight: małym, ukrytym cudem złośliwej inżynierii.
■
Pracując na komputerach, których świecące monitory były jedynym źródłem światła w pokoju, inżynierzy wsteczni rozpoczęli od ciągłego uruchamiania pliku PowerPoint zainfekowanego malware na maszynach wirtualnych – krótkotrwałych symulacjach komputerów w czasie rzeczywistym odizolowanych od rzeczywistego, fizycznego komputera jak ich pokój od reszty biura firmy iSight.
W tych zabezpieczonych kontenerach można oglądać kod niczym skorpiona przez szkło akwarium. Pozwalało to inżynierom wstecznym uruchomić wiele maszyn wirtualnych z różnymi wersjami systemu Windows i pakietu Microsoft Office, aby odkryć, które z nich są podatne na te ataki. Udało im się ustalić, że kod z pliku PowerPoint może przejąć kontrolę nawet nad najnowszymi i zaktualizowanymi wersjami oprogramowania. Wtedy ich przypuszczenia potwierdziły się, luka okazała się bardzo rzadka i potężna. Późnym wieczorem – nawet nie zauważyli, ile czasu minęło – mieli już gotowy raport dla firmy Microsoft i ich klientów, a także przepisali kod, by móc go zademonstrować podobnie jak patogen w probówce.
Jon Erickson, jeden ze specjalistów, stwierdził, że program PowerPoint ma „niezwykłe moce”. Przez lata ewoluował, stając się maszyną Rube Goldberga wyposażoną w dużej mierze w niepotrzebne funkcje, tak skomplikowane, że praktycznie mógł służyć jako język programowania. Ktokolwiek wykorzystał tę lukę, skupił się na jednej funkcji, która pozwalała umieścić „obiekt” w prezentacji, na przykład wykres lub wideo pobierane z zasobów plików programu PowerPoint lub bezpośrednio z sieci.
W tym przypadku hakerzy użyli tej funkcji, by ostrożnie umieścić dwa fragmenty danych w prezentacji. Pierwszy ładuje się w folderze tymczasowym na zaatakowanym komputerze. Drugi wykorzystuje funkcję animacji programu PowerPoint: animacje nie tylko sprawiają, że prezentacja jest ciekawsza, w rzeczywistości wykonują komendy na komputerze, na którym prezentacja jest wyświetlana. W momencie gdy prezentacja załaduje ten plik animacji, uruchomi on automatyczny skrypt, który sam kliknie prawym przyciskiem myszy pierwszy plik załadowany na komputerze, a następnie kliknie „zainstaluj” w menu. Wirus zostaje zainstalowany na komputerze użytkownika bez jego wiedzy. Wygląda to na niewinną paczkę pozostawioną przed drzwiami, która po wniesieniu do domu kiełkuje, rozrasta się, rozcina pudełko i wypuszcza małe roboty, a w rezultacie zajmuje cały korytarz. Wszystko to stanie się natychmiast i niedostrzegalnie, w momencie gdy ofiara kliknie dwukrotnie w załącznik, aby go otworzyć.
Erickson, inżynier wsteczny, który jako pierwszy zajął się luką zero-day w black room firmy iSight, wspomina swoją pracę rozpakowania i rozbrajania ataku jako dość rzadkie, fascynujące, ale całkowicie bezosobowe wydarzenie. W swojej karierze miał do czynienia tylko z kilkoma lukami tego typu poza swoim „laboratorium”. Natomiast przeanalizował tysiące próbek malware i nauczył się traktować je bezosobowo jak próbki do badań, bez wpływu na to, kto jest ich autorem. – Był to po prostu nieznany człowiek i nieznana rzecz, których dotąd nie widziałem – mówił.
Lecz luka zero-day miała swoich twórców. Tego ranka w swoim zaciemnionym warsztacie Erickson nie tylko rozkładał na czynniki pierwsze zwyczajną łamigłówkę, lecz także podziwiał pierwsze wskazówki zdalnej, wrogiej inteligencji.2.
BlackEnergy
Po ochłonięciu z powodu odkrycia luki pozostały pytania: kto napisał ten kod? Kto był jego celem i dlaczego?
Z tymi pytaniami John Hultquist zwrócił się do Drew Robinsona, którego nazywał dziennym wampirem. Robinson posiadał te same umiejętności co inżynierzy wsteczni siedzący niczym wampiry w zaciemnionym pokoju, lecz siedział w nasłonecznionym pokoju tuż obok biura Hultquista. Odpowiedzialny był za o wiele szerszą analizę zachowań hakerów, od osób, które ich zatrudnili, po motywy polityczne. Zadaniem Robinsona było śledzenie technicznych wskazówek, w tym pliku programu PowerPoint, tak by rozwiązać większą tajemnicę tajnej operacji.
Kilka minut po tym, jak Hultquist wszedł do pokoju, by ogłosić wyniki wspólnej ciężkiej pracy odkrycia luki zero-day w programie PowerPoint, Robinson zastanawiał się nad zawartością załączonej pułapki. Prezentacja wyglądała na zwykłą listę nazwisk pisanych cyrylicą na tle niebiesko-żółtej flagi ukraińskiej, ze znakiem wodnym ukraińskiego herbu – jasnoniebieskim trójzębem na żółtej tarczy. Po przetłumaczeniu ich w tłumaczu Google Robinson odkrył, że są to nazwiska rzekomych „terrorystów”, osób, które stanęły po stronie Rosji w ukraińskim konflikcie rozpoczętym w tym samym roku. Wojska rosyjskie zaatakowały wschód kraju i półwysep krymski, podżegając separatystów, co doprowadziło do wojny.
Pierwszą wskazówką dla Robinsona był fakt, że hakerzy wybrali antyrosyjską treść wiadomości do rozprzestrzenienia luki typu zero-day. Mogło to wskazywać właśnie na rosyjską operację skierowaną przeciwko ukraińskim celom, wykorzystując patriotyzm kraju i strach przed zwolennikami Kremla. Lecz kiedy szukał wskazówek na temat hakerów stojących za tą sztuczką, szybko znalazł kolejny sznurek do pociągnięcia. Kiedy w programie PowerPoint aktywowała się luka typu zero-day, plik zapisywany w systemie ofiary okazał się typem słynnego malware, by wkrótce okazać się jeszcze bardziej znanym malware. Nazywał się on BlackEnergy.
Krótka historia BlackEnergy zawierała już w pewnym sensie swoją własną podstawę w klasyfikacji typowych operacji hakerskich, zaczynając od tzw. script kiddies – hakerów tak słabo wykwalifikowanych, że są w stanie korzystać tylko z narzędzi napisanych przez bardziej profesjonalnych hakerów – po profesjonalnych cyberprzestępców. Pierwotnie narzędzie to zostało stworzone przez rosyjskiego hakera Dmytro Oleksiuka, znanego w hakerskim świecie jako Cr4sh. Około 2007 roku Oleksiuk sprzedał BlackEnergy na rosyjskim forum hakerów za około 40 dolarów, podpisując się w rogu panelu sterowania symbolem rączki.
Narzędzie zostało zaprojektowane tylko w jednym celu, tak zwanej rozproszonej odmowy usług (DDoS). To ataki polegające na wysłaniu zapytań z setki lub tysięcy komputerów jednocześnie, powodując odcięcie ich od sieci. Zainfekuj komputer ofiary BlackEnergy, a stanie się członkiem tak zwanego botnetu, zbiorem zhakowanych komputerów lub botów. Operator botnetu może skonfigurować przyjazne dla użytkownika (user-friendly) oprogramowanie Oleksiuka, tak by kontrolować, która strona internetowa zostanie zaatakowana, jakim rodzajem ataku oraz ich częstotliwość.
Pod koniec 2007 roku firma Arbor Networks, zajmująca się cyberbezpieczeństwem, zliczyła ponad trzydzieści botnetów zbudowanych z Black-Energy, skupiających głównie swoje ataki na rosyjskie strony internetowe. Jednak na tle wyrafinowanych cyberataków ataki DDoS były w dużej mierze prymitywne i proste. Ostatecznie mogą powodować kosztowne przerwy w działaniu stron, lecz nie powodują poważnych naruszeń danych, jak to bywa w przypadku innych technik hakerskich.
Jednak przez lata malware BlackEnergy ewoluował. Firmy zajmujące się cyberbezpieczeństwem zaczęły wykrywać nową wersję oprogramowania, wyposażoną w wiele zamiennych funkcji. Ta odnowiona i ulepszona wersja nadal mogła atakować strony internetowe atakami DDoS, lecz teraz można ją było także zaprogramować, by wysyłała spam, niszczyła pliki na zainfekowanych komputerach oraz pozwalała na kradzież bankowych nazw użytkowników i haseł.
Teraz, na oczach Robinsona, BlackEnergy powrócił w jeszcze nowszej wersji. Wersja, na którą patrzył przy swoim biurku w biurze firmy iSight, wydawała się różnić od tej, o której czytał wcześniej – z pewnością nie było to proste narzędzie do ataków na strony internetowe i prawdopodobnie nie służyło do oszustw finansowych. Mimo wszystko, dlaczego cyberatak służący do oszustw finansowych miał używać listy prorosyjskich terrorystów jako przynęty? Wyglądało na to, że pułapka jest ukierunkowana politycznie. Od pierwszej chwili, gdy spojrzał na próbkę ukraińskiego BlackEnergy, zaczął podejrzewać, że patrzy na wersję kodu z nowym celem: nie ze zwykłym przestępstwem, lecz ze szpiegostwem.
Wkrótce Robinson dokonał kolejnego niezwykłego odkrycia, które ujawniło więcej informacji na temat celu malware. Kiedy uruchomił malware na maszynie wirtualnej, próbował on połączyć się z adresem IP gdzieś w Europie. Natychmiast zauważył, że było to połączenie z serwerem dowodzenia (CCServer), który może zdalnie zarządzać atakami. Robinson był mile zaskoczony, gdy udało mu się połączyć ze swojej przeglądarki z tą odległą maszyną. Komputer kontrolujący te ataki w ogóle nie został zabezpieczony, więc każdy mógł do woli przeglądać jego pliki.3.
Arrakis02
Przemysł cyberbezpieczeństwa nieustannie ostrzega przed „problemem przypisania” – bardzo często nie da się przypisać hakera do danego ataku, zwłaszcza gdy atak jest bardzo zaawansowany. Internet daje zbyt dużo możliwości korzystania z serwerów proxy, przekierowań sygnału oraz zwyczajnie przytłaczającej geograficznej niedokładności. Robinson, identyfikując niezabezpieczony komputer, który zarządzał wszystkim, odkrył tajemnicę bardzo rzadkich danych określających szczegóły BlackEnergy. Mimo całej dbałości, jaką wykazali hakerzy podczas hakowania programu PowerPoint, wyglądało na to, że zdradzili bardzo ważną wskazówkę dotyczącą ich narodowości.
Jednak po tym nadzwyczajnym odkryciu Robinson musiał nadal dokładnie przeanalizować kod malware, aby znaleźć więcej szczegółów i stworzyć instrukcję dla klientów firmy iSight oraz innych firm zajmujących się cyberbezpieczeństwem, w której opisze, jak sprawdzić, czy inne sieci zostały zainfekowane tym wirusem. Rozszyfrowanie funkcjonalności kodu malware nie jest tak łatwe jak wyśledzenie serwera go obsługującego. Kod zawierał trzy zakodowane warstwy kompresji i szyfrowania, czego Robinson dowiedział się w ciągu następnych dni starannej i solidnej pracy.
Innymi słowy, odkrycie tajemnic malware było jak polowanie na padlinożercę. Robinson wiedział, że malware jest samowystarczalny i musi zawierać wszystkie klucze szyfrujące niezbędne do samodzielnego rozszyfrowania i uruchomienia się kodu. Aczkolwiek klucz szyfrujący do kolejnej warstwy można było znaleźć dopiero po zdekodowaniu warstwy wcześniejszej. Poprzez skanowanie szumu, który wyglądał na losowy, w poszukiwaniu rozpoznawalnych wzorców, Robinson odkrył algorytm kompresji zastosowany przez hakerów. Mimo to spędził kolejne dni na zidentyfikowaniu wzorca szyfrującego, wyjątkowej modyfikacji istniejącego systemu, którego użyli. Zagłębiając się w zagadkę, nawet nie zauważył, jak szybko minął czas. Wrócił do domu, gdzie nawet pod prysznicem w myślach odtwarzał w kółko szyfr.
Kiedy w końcu po tygodniu prób i błędów Robinson złamał szyfr, jego oczom ukazały się miliony zer i jedynek zawartych w BlackEnergy. Zbiór danych, który wciąż mógł wyglądać na pozbawiony sensu. W końcu był to skompilowany program, napisany w kodzie binarnym, tak by był czytelny dla komputerów nie dla człowieka. Aby zrozumieć kod binarny, Robinson musiał uruchomić go w narzędziu używanym do inżynierii wstecznej zwanym IDA Pro, który tłumaczył komendy w kodzie podczas ich wykonywania. Dzięki temu Robinson mógł przeanalizować kod krok po kroku. – Prawie jakbyś próbował ustalić, jak ktoś wygląda, patrząc tylko na jego DNA – powiedział Robinson. – A twórca tej osoby starał się utrudnić to zadanie najbardziej jak to możliwe.
Jednak w drugim tygodniu pracy ta szczegółowa analiza kodu binarnego wreszcie zaczęła się opłacać. Kiedy Robinsowoi udało się odszyfrować ustawienia konfiguracji malware, zawierały one tak zwany kod kampanii – właściwie tag związany z tą wersją malware, dzięki któremu hakerzy mogli wyszukiwać i śledzić swoje ofiary. Ten zawarty w BlackEnergy, z ukraińskiego pliku programu PowerPoint, Robinson rozpoznał natychmiast, nie dzięki swoim umiejętnościom analitycznym, lecz dzięki swojej pasji do science-fiction, był to „arrakis02”.
W rzeczywistości dla Robinsona i praktycznie każdego pasjonata literatury sci-fi słowo „Arrakis” jest bardzo rozpoznawalne. Praktycznie tak samo jak Tatooine lub Śródziemie stanowią filary kanonu kultury. Arrakis to pustynna planeta, na której rozgrywa się epicka powieść z 1965 roku Diuna Franka Herberta.
Historia Diuny osadzona jest w świecie, w którym Ziemia już dawno została spustoszona przez wojnę nuklearną pomiędzy ludźmi a maszynami ze sztuczną inteligencją. Śledzimy losy rodu Atrydów po tym, jak zostali oni wybrani na władców Arrakis – zwanej także jako Diuna – a także politycznego sabotażu i przewrotu, którego dokonał przeciwko nim ich złowieszczy rywal – ród Harkonnenów.
Po obaleniu rządów Atrydów młody bohater książki Paul Atryda schronił się na rozległej pustyni, gdzie pod ziemią wędrują olbrzymie czerwie pustyni (sandworm) mające nawet ponad tysiąc metrów długości. Od czasu do czasu wypełzają na powierzchnię, by pochłonąć wszystko, co znajdą na swej drodze. Dorastając, Paul uczy się od tubylców zwanych Fremenami, jak zaprzęgać i jeździć na robakach. Ostatecznie staje się przywódcą partyzanckiego powstania przeciw Harkonnenom. Na grzbietach czerwi wraz z Fremenami walczy w niszczycielskiej bitwie. Stolica zostaje odbita z rąk Harkonnenów, a władza przejęta nad całym imperium.
– Kimkolwiek byli ci hakerzy – wspomina Robinson – musieli być fanami Franka Herberta.
■
Kiedy Robinson znalazł kod ataku arrakis02, wyczuł, że natknął się na coś więcej niż pojedynczą wskazówkę dotyczącą hakerów, którzy wybrali tę nazwę. Po raz pierwszy poczuł, że wszedł do ich umysłów i wyobraźni. Zaczął się nawet zastanawiać, czy nie było to coś w rodzaju odcisków palców, być może mógł dopasować je do innych przestępstw.
Przez kolejne kilka dni Robinson odłożył na bok ukraińską wersję Black-Energy i zaczął przeszukiwać archiwum firmy iSight ze starymi przykładami malware oraz bazę danych zwaną VirusTotal. Właścicielem VirusTotal jest firma matka Google – Aplhabet. Serwis internetowy pozwala każdemu specjaliście od cyberbezpieczeństwa na przesłanie szkodliwego oprogramowania i zeskanowanie go przez dziesiątki różnych antywirusów. Metoda ta pozwala szybko i dokładnie sprawdzić, czy inne firmy wykryły ten kod gdzie indziej i co o nim wiedzą. W rezultacie na VirusTotal znajduje się ogromna ilość kodu gromadzona przez dekady, za dostęp do którego specjaliści mogą zapłacić. Robinson zaczął skanować bazę w poszukiwaniu fragmentów kodu podobnego do tego, który posiadał.
Wkrótce mu się udało. Inna próbka, z maja 2014 roku, była praktycznie duplikatem tej z ukraińskiego programu PowerPoint. Robinson dostał się do kodu ataku i znalazł to, czego szukał: housetreiders94, kolejne nawiązanie do Diuny. Tym razem BlackEnergy został ukryty w dokumencie Word, tekst na temat cen ropy i gazu wyglądał na zaprojektowany jako przynęta dla polskiej firmy energetycznej.
Przez kolejne kilka tygodni Robinson przeglądał archiwum złośliwych programów. W końcu napisał własne narzędzie do skanowania malware oraz zautomatyzował proces odblokowywania warstw szyfrujących i wyciągania kodu ataku. Jego kolekcja haseł: BasharoftheSardaukars, SalusaSecundus2, epsiloneridani0, powoli się powiększała, jakby hakerzy próbowali mu zaimponować swoją wiedzą na temat szczegółów świata Diuny.
Każde z tych odniesień do Diuny było powiązane z dokumentem będącym przynętą i ujawniało coś na temat ofiar malware. Dokładnie tak samo jak w przypadku pierwszych dwóch, które znalazł. Wśród nich był dokument dyplomatyczny opisujący „przeciąganie liny” nad Ukrainą pomiędzy Rosją a Europą. Kiedy to Ukraina była rozdarta między dwa ruchy: popularnym ciągnącym ją w kierunku Zachodu oraz chcącym pozostać pod wpływami Rosji. Kolejny wydawał się przynętą dla uczestników szczytu w Walii dotyczącego Ukrainy oraz wydarzenia związanego z NATO odbywającego się na Słowacji, częściowo dotyczącego rosyjskiego szpiegostwa. A jeszcze inny celował bezpośrednio w amerykańskiego specjalistę zajmującego się rosyjską polityką zagraniczną. Firma iSight zdecydowała nie ujawniać publicznie jego tożsamości. Wszystkie te ataki można było powiązać właśnie dzięki nawiązaniom hakerów do Diuny.
Lecz nie wszystkie ofiary wyglądały na zwykłe obiekty rosyjskiego szpiegostwa geopolitycznego. Po co, na przykład, hakerzy skupiali się na polskiej firmie energetycznej? Kolejna przynęta, którą później znalazła firma iSight, była skierowana do Kolei Ukraińskich UZ – Ukrzaliznycia.
Zagłębiając się coraz bardziej w wysypisku branży cyberbezpieczeństwa, w poszukiwaniu odniesień do Diuny, Robinson dostrzegł kolejną rzecz. O ile pierwsza odkryta luka zero-day była stosunkowo nowa, o tyle szersza kampania hakerskich ataków trwała od miesięcy, a nawet lat. Najstarsza próbka powiązana z Diuną pochodziła z 2009 roku. Oznaczało to, że hakerzy działają w tajemnicy od dekady.
■
Po sześciu tygodniach pracy firma iSight była gotowa opublikować swoje spostrzeżenia. Wyglądało na to, że odkryli bardzo wyrafinowaną i rozległą kampanię szpiegowską prowadzoną przez rząd rosyjski skierowaną przeciwko NATO i Ukrainie.
Kiedy Robinson starannie zajmował się rozszyfrowaniem, jego szef John Hultquist skupiał się na pracy rosyjskich hakerów, a analitycy badali szczegółowo kod malware. Robinson siedział najbliżej biura Hultquista, toteż bez problemu słyszał wykrzykiwane, z akcentem z Tennessee, pytania. Lecz w połowie października Hultquist niemal codziennie pojawiał się przy biurku Robinsona, aby dopytać o aktualny status prac nad luką zero-day programu PowerPoint.
Mimo wszystkich sprytnych sztuczek hakerów Hultquist wiedział, że aby zwrócili uwagę na ich odkrycie, trzeba było posiadać jakiekolwiek obycie medialne. W tym czasie to Chiny i ich cyberszpiedzy byli wrogiem publicznym numer jeden dla amerykańskich mediów i branży bezpieczeństwa. Firmy takie jak Northrop Grumman, Dow Chemical czy Google padły ofiarą chińskich hakerów. W serii szokujących kampanii kradzieży danych hakerzy skoncentrowali się głównie na własności intelektualnej i tajemnicach handlowych. Ówczesny dyrektor NSA, Keith Alexander, nazwał to „największym transferem bogactw w historii”. Rosyjska operacja szpiegowska celowała w Europę Wschodnią, toteż pomimo wszystkich przebiegłych technik i trwałości mogła zginąć w całym tym chaosie.
Potrzebował chwytliwej i przykuwającej uwagę nazwy dla tych hakerów. Jako że firma iSight odkryła tę grupę, zgodnie ze zwyczajem w branży cyberbezpieczeństwa, dostała przywilej wybrania dla niej nazwy. Oczywisty był fakt, że nazwa musi nawiązywać do obsesji na temat Diuny.
Robinson, jako fan Diuny już od nastoletnich lat, zaproponował, by grupę nazwać „Bene Gesserit”. Nazwa nawiązywała do mistycznego zakonu kobiet, które posiadały niemal magiczne moce manipulacji psychologicznej. Jednak Hultquist, mimo że nigdy nie czytał książek Franka Herberta, zawetował ten pomysł. Uznał, że jest zbyt niezrozumiały i trudny do wypowiedzenia.
Zamiast tego Hultquist wybrał prostszą nazwę, przywołującą na myśl ukrytego potwora. Dzierżącego straszliwą moc, który porusza się tuż pod powierzchnią, aby od czasu do czasu wypełznąć na powierzchnię. Nazwę bardziej odpowiednią niż w tamtym czasie mógł zakładać. Nazwał grupę Sandworm – czerw pustyni.4.
Zwiększaj siłę
Sześć tygodni po tym, jak po raz pierwszy odkryli grupę Sandworm, pracownicy firmy iSight zorganizowali przyjęcie. Znaleźli się tam wszyscy analitycy cyberbezpieczeństwa z biura, aby wznieść wspólny toast, świętując sukces. Poinformowanie świata o grupie Sandworm było dla Hultquista spełnieniem marzeń. Po tym, jak firma opublikowała swoje odkrycia na temat trwającej pięć lat rosyjskiej kampanii szpiegowskiej z motywem Diuny, wiadomości rozeszły się po całym środowisku IT i mediach. Artykuły na ten temat opublikowano w The Washington Post czy Wired, a także w innych czasopismach z branży technologii i cyberbezpieczeństwa. Robinson wspomina też toast wzniesiony szklanką wódki za Hultquista, na cześć nowego rodzaju rosyjskiego hakera, którego odkryli.
Tego samego wieczoru, lecz 4 000 km na zachód, inny specjalista od cyberbezpieczeństwa nadal wykonywał swoją pracę. Kyle Wilhoit, analityk malware, pracujący dla japońskiej firmy zajmującej się cyberbezpieczeństwem – Trend Micro. Uczestniczył on w serii spotkań, podczas konferencji firmowej, w hotelu Cupertino w Kalifornii, znalazł w sieci raport firmy iSight na temat grupy Sandworm. Wilhoit słyszał o firmie iSight, a także o Johnie Hultquistcie, toteż zanotował, by na koniec dnia bliżej przyjrzeć się sprawie. Czuł, że tak istotne odkrycie wywoła lawinę nowych odkryć, być może także dla niego i firmy Trend Micro.
Tej nocy Wilhoit i inny specjalista z firmy Trend Micro, Jim Gogoliński, poszli do hotelowego baru. Włączyli swoje laptopy i pobrali wszystkie informacje, jakie firma iSight opublikowała. Pobrali także tak zwane wskaźniki naruszenia integralności systemu, które opublikowano w nadziei na pomoc innym potencjalnym ofiarom grupy Sandworm, aby wykrywać i chronić je przed atakami.
Wśród tych dowodów były także adresy IP centralnego serwera dowodzącego atakami (CCServer), z którymi łączyły się próbki BlackEnergy. W miarę upływu czasu bar opuszczało coraz więcej osób. Natomiast Wilhoit i Gogoliński przeszukiwali własne archiwum malware firmy Trend Micro oraz VirusTotal, aby znaleźć nowe powiązania z tymi adresami IP.
Po zamknięciu baru specjaliści zostali sami w ciemnym patio, wtedy też Wilhoit dopasował adres IP do serwera w Sztokholmie, którego używała grupa Sandworm. Plik, config.bak, który znalazł, także połączony był z tym szwedzkim komputerem. Być może dla typowego pracownika branży cyberbezpieczeństwa wyglądałoby to całkiem zwyczajnie, lecz Wolhoitowi od razu wydało się to podejrzane.
Wilhoit miał niezwykłe doświadczenie zawodowe jak na specjalistę z branży cyberbezpieczeństwa. Zaledwie dwa lata wcześniej zrezygnował ze stanowiska kierownika do spraw cyberbezpieczeństwa w St. Louis, w największej amerykańskiej firmie węglowej, Peabody Energy. Stąd też miał doświadczenie z tak zwanymi systemami kontroli przemysłowej (ICS) – zwanymi również w niektórych przypadkach SCADA, czyli systemami informatycznymi nadzorującymi przebieg procesu technologicznego lub produkcyjnego. To oprogramowanie nie tylko przesyła bity, ale także przesyła i odbiera komendy z urządzeń przemysłowych, w ten sposób łączy świat cyfrowy z fizycznym.
Oprogramowanie ICS jest używane do wszystkiego, od wentylatorów, które zapewniają obieg powietrza w kopalniach Peabody, po masywne pralki, które szorują węgiel, generatory spalające węgiel w elektrowniach, do wyłączników w podstacjach zasilających klientów w energię elektryczną. Aplikacje ICS obsługują fabryki, wodociągi, gazociągi, rafinerie ropy oraz systemy transportu – innymi słowy, wszystkie gigantyczne i bardzo złożone maszyny, które stanowią podstawę współczesnej cywilizacji i bez których nie jesteśmy w stanie normalnie funkcjonować w nowoczesnym świecie.
Cimplicity jest jednym z elementów oprogramowania ICS, sprzedawanym przez General Electric. Aplikacja ta jest swego rodzaju interfejsem człowiek-maszyna, który stanowi w istocie panel sterowania dla tych cyfrowo-fizycznych systemów dowodzenia. Plik config.bak, który znalazł Wilhoit, był w rzeczywistości plikiem .cim zaprojektowanym do otwierania w Cimplicity. Normalnie plik .cim ładuje w pełni konfigurowalny panel sterowania oprogramowania Cimplicity, niczym deska rozdzielcza dla urządzeń przemysłowych, którą można konfigurować na nieskończenie wiele sposobów.
Natomiast ten plik Cimplicity niewiele robił, poza łączeniem się ze sztokholmskim serwerem, który firma iSight wskazała jako używany przez grupę Sandworm. Dla każdego, kto miał do czynienia z systemami kontroli przemysłowej, sama koncepcja tego połączenia była bardzo niepokojąca. Infrastruktura, która obsługuje te wrażliwe systemy, z założenia powinna być całkowicie odcięta od sieci, aby chronić ją właśnie przed atakami hakerów, którzy mogliby sabotować ją i przeprowadzać katastrofalne w skutkach ataki.
Firmy, które obsługują taki sprzęt, szczególnie urządzenia elektryczne, stanowiące podstawę uprzemysłowionego świata, stale zapewniają społeczeństwo, że nie istnieje połączenie między normalną siecią a ich siecią kontroli przemysłowej. Jednak, co może być niepokojące, w niektórych przypadkach te systemy ciągle utrzymują niewielkie połączenie z resztą swoich systemów, a nawet siecią publiczną, na przykład umożliwiając inżynierom zdalny dostęp do oprogramowania lub jego aktualizację.
Połączenie pomiędzy grupą Sandworm a plikiem Cimplicity, który łączył się z serwerem w Szwecji, wystarczyło, by Wilhoit doszedł do wstrząsającego wniosku: grupa Sandworm nie skupiała się wyłącznie na szpiegostwie. Teoretycznie operacje skupiające się na gromadzeniu danych wywiadowczych nie powinny włamywać się do systemów kontroli przemysłowej. Wyglądało na to, że grupa Sandworm posunęła się o wiele dalej. Spróbowała dotrzeć do systemów ofiar, dzięki którym można by zhakować fizyczne maszyny, co miałoby fizyczne konsekwencje.
– Zbierają informację, co oznacza, że przygotowują się do wejścia w drugi etap – uświadomił sobie Wilhoit, który siedział w chłodną noc przed hotelem Cupertino. – Prawdopodobnie próbują połączyć świat cyfrowy z kinetycznym. Cele hakerów zdawały się wykraczać poza szpiegostwo i sabotaż przemysłowy.
Wilhoit i Gogoliński nie spali tej nocy. Zamiast tego siedzieli na zewnątrz przy hotelowym stoliku i szukali więcej wskazówek na temat działań grupy Sandworm w systemach ICS. Jak zdobyli kontrolę na tymi interfejsami? Kto był ich celem? Wciąż nie znali odpowiedzi na te pytania.
Następnego dnia ominęli wszystkie spotkania i cały czas poświęcili na spisanie i opublikowanie swoich ustaleń na blogu Trend Micro. Wilhoit udostępnił je także kontaktowi w FBI, który – jak przystało na tajniaka – nie zaoferował nic w zamian za informacje.
Po powrocie do biura w Chantilly John Hultquist przeczytał artykuł na blogu Trend Micro dotyczący pliku Cimplicity. Był tak podekscytowany, że nawet nie zirytował go fakt, że w Trend Micro odkryto coś nowego w środku ważnych badań firmy iSight. – Gra zaczynała się na nowo – stwierdził Hultquist.
Nagle te ataki na infrastrukturę, w tym polską firmę energetyczną, nabierały sensu. Sześć tygodni wcześniej firma iSight znalazła wskazówkę, która zmieniła sposób, w jaki myślano o hakerach. Ze zwykłych hakerów zajmujących się cyberprzestępczością stali się szpiegami gromadzącymi dane wywiadowcze na szczeblu państwowym. Teraz wizja Hultquista znów uległa zmianie, hakerzy zajmujący się szpiegostwem zmienili się w hakerów od cyberwojny. – Już nie wyglądało to na klasyczne szpiegostwo – pomyślał Hultquist. – Patrzyliśmy na zwiad przed atakiem.
■
W pewnym sensie Hultquist szukał czegoś takiego jak grupa Sandworm przez całą swoją karierę, na długo przed odkryciem firmy iSight, choć wtedy jeszcze nie zdawał sobie sprawy z tego, jak to będzie wyglądać. Podobnie jak wiele innych osób z branży cyberbezpieczeństwa, zwłaszcza tych z doświadczeniem wojskowym, Hultquist spodziewał się, że nadejdzie nowa era cyberwojen. Zdolności hakerów zostaną wykorzystane nie w świecie cyfrowym, lecz w rzeczywistym świecie wojny i terroryzmu. Dla Hulquista oznaczało to powrót do przeszłości. W czasach swojej służby w armii, półtorej dekady wcześniej, nauczył się myśleć o przeciwnikach jak o bezwzględnych ludziach gotowych wysadzić wszystko w powietrze, aby zniszczyć infrastrukturę i zabić każdego z jego przyjaciół czy też niewinnych cywili, których miał za zadanie bronić.
Hultquist, jako rezerwista z małego miasteczka Alcoa w Tennessee, został powołany w trakcie studiów do służby w Afganistanie, po atakach z 11 września. Wkrótce dwudziestolatek znalazł się w prowincji Kandahar w jednostce do spraw ochrony ludności. Ich zadaniem było patrolowanie wsi w sześcioosobowym zespole, spotykali się z władzami lokalnych wiosek, aby zjednać sobie ludzi. – Oczywiście cały czas byliśmy uzbrojeni po zęby – powiedział mi Hutquist, z charakterystycznym dla siebie rechotem podczas opowiadania swoich historii. – Była to wielka przygoda. – Wtedy też zapuścił bujną brodę i stał się znany w jednostce jako Teen Wolf (nastoletni wilkołak).
Motto jego jednostki, nadrukowane na zapince przyczepionej do ramienia munduru, brzmiało vis amplificans vim, co – jak mówił jego przełożony – oznaczało „zwiększaj siłę”. Głównie chodziło o budowanie relacji z lokalnymi cywilami, które skutkowałyby pomocą w mniej subtelnej pracy polegającej na wypędzaniu i zabijaniu talibów; robili za pewnego rodzaju marchewkę dla piechoty i kij służb specjalnych. Jedli posiłki z grupą starszych ze wsi, pytali, czego potrzebują, zagryzając kozinę płaskim chlebem, czasem wykopali im studnię. – Wracaliśmy po paru tygodniach i czasami mówili nam, gdzie jest ukryta skrzynia z amunicją – mówi Hultquist.
We wczesnych dniach wojny talibowie już w większości uciekli ze wsi w góry Pakistanu, tym samym umykając przed początkową inwazją USA. Jednak gdy powoli żołnierze przesuwali się do Afganistanu, przemoc ponownie wzrosła. Pewnej nocy talibscy bojownicy wystrzelili dwie rakiety w budynek, w którym spał Hultquist wraz ze swoją jednostką. Jedna chybiła, kierując się w stronę nieba. Druga, na szczęście, nie eksplodowała i została rozbrojona przez saperów. Zaledwie kilka dni później ci sami saperzy zginęli przy próbie rozbrojenia materiałów wybuchowych, ukrytych w talibskiej kryjówce. Hultquist i jego jednostka przybyli jako pierwsi na miejsce wybuchu i godzinami zbierali rozczłonkowane części ciała saperów.
Po inwazji na Irak w 2003 roku Hultquist został tam przeniesiony. Walki były równie intensywne i krwawe jak w Afganistanie. W Iraku wojna szybko zmieniła się w polowanie na w większości ukrytych sabotażystów, którzy ukrywali prowizoryczne bomby. Był to bardzo asymetryczny konflikt partyzancki. Hultquist na własnej skórze przekonał się, jak wyniszczające psychicznie może być życie wśród ciągle powtarzających się, nieprzewidywalnych i śmiertelnych wybuchów. Zdobył odznakę od armii za męstwo, szybką reakcję i pomoc, jaką udzielił kolegom, którzy swoim samochodem terenowym, Humvee, najechali na minę. Udzielił im pierwszej pomocy, dzięki czemu dwóch przeżyło.
Strzelec na szczycie pojazdu zginął jednak natychmiast w skutek eksplozji, miał granaty przypięte do piersi, aby móc szybko podać je do wyrzutni. Hultquist wciąż pamięta dźwięk granatów wybuchających jeden po drugim, gdy ciało mężczyzny płonęło.PRZYPISY
Fragmenty Diuny Franka Herberta przekładu: Marek Marszał, Dom Wydawniczy REBIS, Wyd. II Poznań 2015, pochodzą ze stron: 616, 21, 607, 592, 619, 412 (przyp. tłum.).
Autor wyolbrzymia konflikt w Iraku, porównując go do Afganistanu. Takiego pojęcia jak konflikt asymetryczny nie ma i można bardziej mówić o wojnie partyzanckiej, bo taką była w istocie (przyp. recenzenta).
W pewnym momencie BlackEnergy został wykorzystywany do bardziej wyrafinowanych cyberprzestępstw, toteż Oleksiuk, jako twórca BlackEnergy, próbował się od niego odciąć. Szczególnie po tym, jak powiązano BlackEnergy z odpowiedzialnością za oszustwa finansowe przeciwko rosyjskim bankom. Niebezpieczny ruch w kraju, który inaczej patrzy na cyberataki skoncentrowane na ofiary na Zachodzie. – Fakt, że jego kod źródłowy był dostępny dla wielu osób na różnego rodzaju (pół)prywatnych imprezach, może oznaczać, że ktoś wykorzystał go na własne potrzeby – Oleksiuk starał się wyjaśniać w artykule zatytułowanym Fuck me I’m famous na blogu LoveJournal w 2009 roku. – Trzeba być kompletnym idiotą, by podejrzewać, że autor tego bota jest odpowiedzialny za udział w kryminalnych machinacjach.
W rzeczywistości analitycy cyberbezpieczeństwa rosyjskiej firmy Kaspersky Lab już od początku 2013 roku po cichu podejrzewali, że ktoś używa Black Energy do zaawansowanego szpiegowania. Zaczęły pojawiać się wersje narzędzia, które nie były już sprzedawane na forach hakerskich. Niektóre przeznaczone były na komputery z systemem Linux – na tyle rzadkim, że hakerzy używali go do precyzyjnych operacji szpiegowskich, a nie tylko masowych kradzieży. – Przestano wykorzystywać oprogramowanie crimeware – powiedziała mi Maria Garnaeva, analityk z firmy Kasperksy Lab. – Właśnie wtedy hakerzy używający tej metody stali się wyjątkową grupą docelową.
Jeszcze bardziej niezwykłe było to, że wśród plików znajdował się dokument, który zawierał listę komend pomocnych przy tej wersji BlackEnergy. Potwierdziło to podejrzenia Robinsona: dostarczona wersja BlackEnergy luki typu zero-day miała znacznie szerszy zakres możliwości gromadzenia danych niż zwykła próbka malware, którą znaleźli podczas dochodzenia. Program mógł robić zrzuty ekranów, wykradać pliki i klucze szyfrujące z zaatakowanych komputerów oraz rejestrować naciśnięcia klawiszy na klawiaturze. Wszystko po to, by szpiegować, a nie czerpać zyski z oszustw finansowych.
Aczkolwiek jeszcze ważniejszy był język, w którym ten dokument napisano: rosyjski.
W rzeczywistości niekoniecznie firma iSight była pierwsza. Mniej więcej w tym samym czasie tych samych odkryć, wraz z nawiązaniami do Diuny, dokonała słowacka firma ESET. Przedstawiła nawet swoje odkrycia na konferencji Virus Bulletin w Seattle we wrześniu 2014 roku. Jednak firma ESET nie opublikowała swoich odkryć w sieci, więc jak powiedziano mi w firmie iSight, nie byli świadomi równoległych badań. W ten oto sposób, być może omyłkowo, firma iSight została uznana za pierwszych odkrywców grupy Sandworm.
27 czerwca 2017 roku coś dziwnego i strasznego zaczęło rozprzestrzeniać się w infrastrukturze na całym świecie.
W Pensylwanii część szpitali zaczęła przesuwać operacje oraz odsyłać pacjentów do domów. W Tasmanii fabryka Cadbury przestała produkować czekoladki. Gigant farmaceutyczny Merck przestał produkować szczepionki przeciw wirusowi brodawczaka ludzkiego (HPV).
Następnie siedemnaście terminali w portach na całym świecie, należących do największej na świecie firmy żeglugowej Maersk, przestało działać. Przez to dziesiątki tysięcy ciężarówek przewożących kontenery stanęły w korkach za bramami tych portów. Ogromne statki załadowane setkami tysięcy ton ładunku dobijały do brzegu tylko po to, by dowiedzieć się, że nie ma kto ich rozładować. Główne elementy powiązanych ze sobą i zautomatyzowanych systemów na świecie zdawały się samoistnie zapominać, jak funkcjonować, niczym ofiary epidemii bakterii zjadających mózg.
W epicentrum ataku, na Ukrainie, skutki technologicznej katastrofy były bardziej odczuwalne. Przestały działać bankomaty oraz płatności kartami kredytowymi. Transport masowy został sparaliżowany w stolicy kraju – Kijowie. Agencje rządowe, lotniska, szpitale, poczta, nawet naukowcy monitorujący poziomy radioaktywności w ruinach elektrowni jądrowej w Czarnobylu, wszyscy bezradnie obserwowali, jak praktycznie każdy komputer w sieci został zainfekowany i wyczyszczony tajemniczym złośliwym kodem.
Tak właśnie wygląda cyberwojna: niewidzialna siła zdolna uderzyć znikąd, by sabotować na masową skalę technologie stanowiące fundament cywilizacji.
Przez dziesięciolecia analitycy od cyberbezpieczeństwa ostrzegali nas, że ten moment nadejdzie. Ostrzegali nas, że hakerzy wkrótce zrobią krok naprzód i zamiast zwykłymi przestępstwami lub nawet szpiegowaniem sponsorowanym przez państwa zajmą się wykorzystywaniem luk w scyfryzowanej, najistotniejszej infrastrukturze współczesnego świata. W 2007 roku rosyjscy hakerzy, bombardując Estonię cyberatakami, pokazali potencjalną skalę geopolitycznego hakowania, sprawiając, iż praktycznie każda strona internetowa była offline. Dwa lata później złośliwe oprogramowanie NSA o nazwie Stuxnet potajemnie przyspieszyło pracę irańskich wirówek wzbogacania nuklearnego, aż uległy one samozniszczeniu. Ta operacja także dawała przedsmak tego, co może nadejść, oraz udowadniała, że narzędzia cyberwojny mogą wykraczać poza świat cyfrowy i skutkować katastrofami w nawet najbardziej strzeżonych i wrażliwych elementach świata fizycznego.
Lecz dla osób, które obserwowały wojnę rosyjską na Ukrainie od początku 2014 roku, widoczne były wyraźniejsze i bardziej bezpośrednie sygnały. Począwszy od 2015 roku, fale złośliwych cyberataków zaczęły atakować ukraiński rząd, media i transport. Ich kulminacją były pierwsze w historii przerwy w dostawie prądu spowodowane przez hakerów, które odcięły od zasilania setki tysięcy cywilów.
Niewielka grupa naukowców zaczęła alarmować, w głównej mierze na próżno, że Rosja zamienia Ukrainę w laboratorium do testowania cyberwojennych innowacji. Ostrzegali, że te usprawnienia mogą wkrótce zostać wykorzystane przeciwko Stanom Zjednoczonym, NATO i beztroskiej reszcie świata, która nie jest przygotowana na nowy wymiar wojny. Wskazywali też na jedną grupę hakerów wspieranych przez Kreml, którzy – wydawało się – są odpowiedzialni za wypuszczanie tych bezprecedensowych broni masowego zniszczenia, grupę zwaną Sandworm.
W ciągu następnych dwóch lat grupa Sandworm nasili swoje ataki, wyróżniając się jako najniebezpieczniejsza grupa hakerów na świecie, na nowo definiująca cyberwojnę. Wreszcie nadchodzi pamiętny dzień pod koniec czerwca 2017 roku. Wtedy grupa wypuszcza robaka, który wstrząśnie światem, znanego jako NotPetya. Obecnie uważany jest za najbardziej niszczycielski i kosztowny malware w historii. Tymi atakami hakerzy z Sandworm jak nigdy wcześniej udowodnili, że zaawansowani technologicznie i sponsorowani przez państwo hakerzy mogą, z precyzją wojskowej jednostki szpiegowskiej, dokonać ataku na każdą odległość, rujnując tym podstawowe elementy ludzkiego życia, uderzając w powiązane i zależne od siebie systemy z nieprzewidywalnymi i katastrofalnymi skutkami.
Aktualnie całe niebezpieczeństwo ze strony grupy Sandworm i im podobnych zagraża przyszłości. Jeżeli cyberwojna będzie nasilać się bez nadzoru, ofiary mogą paść celem jeszcze bardziej złośliwych i niszczycielskich robaków wypuszczonych przez hakerów, których sponsoruje państwo. Ataki cyfrowe po raz pierwszy wykonane na Ukrainie zwiastują świat, w którym hakerzy wywołują przerwy w dostawie prądu trwające dni, tygodnie lub nawet dłużej, celowo pozbawiając kraje elektryczności. Efekty mogą przypominać skutki huraganu Maria, który przeszedł przez Portoryko, powodując ogromne szkody ekonomiczne, a nawet śmierć wielu istnień. Świat, w którym hakerzy niszczą fizyczny sprzęt w zakładach przemysłowych, powodując śmiertelny chaos. Tudzież, jak w przypadku ataku NotPetya, świat, gdzie po prostu czyści się setki tysięcy komputerów w najważniejszym momencie, by wykazać, że systemy wroga i infrastruktura są podatne na takie ataki.
Ta książka opowiada o grupie hakerów zwanych Sandworm, będących jak dotąd najlepszym przykładem terrorystów specjalizujących się w cyberwojnie. Przedstawia wieloletnią pracę detektywów śledzących tych hakerów (ślady grupy Sandworm widoczne były w kolejnych cyfrowych katastrofach), aby ich zidentyfikować i zlokalizować oraz by zwrócić uwagę na niebezpieczeństwa, jakie niesie ta grupa, mając desperacką nadzieję na jej powstrzymanie.
Lecz Sandworm to nie tylko historia o jednej grupie hakerów lub o niebezpieczeństwie spowodowanym bezmyślną chęcią Rosji do prowadzenia tej nowej formy cyberwojny na całym świecie. To także historia o większym i ogólnoświatowym wyścigu zbrojeń, który trwa do dziś. Stany Zjednoczone oraz Zachód nie tylko nie zatrzymały tego wyścigu, lecz nawet bezpośrednio przyspieszyły go gwałtowanie za pomocą cyfrowych narzędzi. W ten sposób zaprosiliśmy do naszego świata nową, nieprzewidywalną siłę chaosu.PROLOG
Kiedy światła gasną, zegary się zerują.
Sobotnią noc grudnia 2016 roku Oleksii Jasiński spędzał z żoną i nastoletnim synem na kanapie w salonie swojego mieszkania w Kijowie. Czterdziestoletni specjalista od cyberbezpieczeństwa wraz z rodziną oglądali właśnie film Snowden Olivera Stone’a, gdy nagle ich blok został odcięty od prądu.
– Hakerzy nie chcą, byśmy dokończyli oglądać film – zażartowała żona Jasińskiego, nawiązując do wydarzeń, do których doszło na dwa dni przed świętami Bożego Narodzenia 2015 roku, kiedy to cyberatak pozbawił elektryczności prawie ćwierć miliona Ukraińców.
Jednak Jasińskiemu, który był głównym analitykiem sądowym w kijowskiej firmie zajmującej się cyberbezpieczeństwem, nie było do śmiechu. Spojrzał na zegarek stojący na biurku: była 00:00. Dokładnie północ.
Telewizor był podpięty do listwy zasilającej, która zabezpieczała przed skutkami przepięć, toteż pokój oświetlały migotające obrazy. Listwa zabezpieczająca zaczęła żałośnie piszczeć. Jasiński wstał, wyłączył listwę i nagle nastała cisza. Poszedł do kuchni, wyjął parę świec i je zapalił. Potem podszedł do okna. Szczupły inżynier o jasnobrązowych włosach spojrzał na miasto. Nigdy wcześniej nie widział go takim, całe było spowite w ciemnościach. Tylko szary blask odległych świateł odbijał się od zachmurzonego nieba, zarysowując czarne bryły nowoczesnych mieszkań i radzieckich wieżowców.
Biorąc pod uwagę dokładną godzinę i datę ataku z grudnia 2015 roku, Jasiński był pewien, że to nie przypadek. Pomyślał o zimnie na zewnątrz, temperatura przekraczała –17 stopni Celsjusza, o temperaturze w domach, która powoli spadała, i o odliczaniu, ile minie czasu, nim zamarzną rury pozbawione ciepła.
Właśnie wtedy do głowy przyszła mu kolejna chora myśl: przez ostatnie 14 miesięcy znajdował się w centrum ogarniętym kryzysem. Rosnąca liczba ukraińskich firm i agencji rządowych zgłaszała się do niego, by przeanalizował plagę cyberataków, które bezustannie je nękały. Wyglądało na to, że za tym wszystkim stoi jedna grupa hakerów. Teraz nie mógł powstrzymać wrażenia, że zjawy, które śledził od ponad roku, za pomocą sieci dotarły do jego domu.1.
Luka zero-day
Za Beltway, gdzie kompleks służb specjalnych Waszyngtonu ustępuje miejsca parkingom i biurowcom z logami firm, których nikt nie pamięta, w Chantilly, w stanie Wirginia stoi budynek. Na czwartym piętrze tego budynku znajduje się pokój pozbawiony okien, jego ściany pomalowane są matową farbą koloru czarnego, tak by nie docierało do środka żadne światło.
W 2014 roku, nieco ponad rok przed wybuchem cyberwojny na Ukrainie, mała prywatna firma wywiadowcza iSight Partners nazwała to miejsce black room, czyli czarny pokój. Wewnątrz pracował dwuosobowy zespół odpowiedzialny za wyszukiwanie luk w oprogramowaniu. Praca, którą wykonywał, wymagała tak dużego skupienia, że specjaliści nalegali, by pomieszczenie, w którym pracują, pozbawione było wszelkich czynników rozpraszających.
To właśnie ta para wysoko wykwalifikowanych specjalistów po raz pierwszy w środę rano zwróciła się z prośbą do Johna Hultquista. Tego dnia Hultquist usiadł rano przy swoim biurku w znacznie lepiej oświetlonym i z prawdziwymi oknami biurze znajdującym się po przeciwnej stronie iSight. Otworzył e-mail od swoich kolegów z firmy iSight, którzy monitorowali sytuację na Ukrainie. W środku e-maila znalazł prezent, pracownicy z Kijowa byli pewni, że znaleźli lukę zero-day w systemie.
Luka zero-day w żargonie hakerów to ukryta luka w zabezpieczeniach oprogramowania, o której nie wie firma tworząca i utrzymująca oprogramowanie. Nazwa pochodzi od faktu, iż zainfekowana firma ma „zero dni” na odpowiedź i opublikowanie aktualizacji, by chronić swoich użytkowników. Gdy luka jest wystarczająco potężna, pozwala hakerowi wyjść poza zainfekowaną aplikację i wykonywać własny kod na zaatakowanym komputerze. Komputer staje się wtedy punktem dostępowym – darmowym przejściem, które pozwala uruchomić podatne oprogramowanie w każdym miejscu na świecie, gdzie ofiara połączy się z siecią.
Hultquist z ukraińskiego biura firmy iSight otrzymał plik PowerPoint w załączniku. Wyglądało na to, że ukradkiem uruchamiał dokładnie takie wykonanie kodu w jednym z najczęściej używanych programów na świecie – Microsoft Office.
Gdy Hultquist czytał e-maila, w jego głowie zaświeciła się czerwona lampka. Jeżeli Ukraińcy mieli rację, oznaczało to, że nieznani hakerzy mają możliwość i mogą wykorzystać ją, by zhakować każdy komputer. Należało natychmiast powiadomić firmę Microsoft. Co więcej, odkrycie to stanowiło kamień milowy dla tak małej firmy jak iSight, dawało nadzieję na zaistnienie i pozyskanie klientów w rozwijającej się branży „analizy zagrożeń”. Firma znajdowała tylko dwie lub trzy ukryte luki rocznie. Każda z nich była swego rodzaju abstrakcją, osiągnięciem zaspokajającym niezwykle niebezpieczną ciekawość. – Dla małej firmy znalezienie takiej perełki było bardzo satysfakcjonujące – mówi Hultquist. – To była dla nas wielka sprawa.
Hultquist, głośny i barczysty, wiecznie uśmiechnięty z czarną grubą brodą były żołnierz pochodzący ze wschodniej części Tennessee, wrzasnął kilkukrotnie zza swojego biurka w stronę głównego pokoju. Po jednej stronie znajdowali się eksperci od malware, a po drugiej analitycy zagrożeń skupiający się na zrozumieniu geopolitycznych motywów tych ataków. Po przeczytaniu wiadomości Hultquist wypadł ze swojego biura i zaczął przydzielać zadania pracownikom w głównym pokoju. Wtedy jeszcze nie wiedzieli, że zajmują się jednym z największych odkryć w historii tej małej firmy.
Lecz to właśnie w black roomie pasjonaci hakowania zaczęli zmagać się ze znaczeniem odkrycia firmy iSight: małym, ukrytym cudem złośliwej inżynierii.
■
Pracując na komputerach, których świecące monitory były jedynym źródłem światła w pokoju, inżynierzy wsteczni rozpoczęli od ciągłego uruchamiania pliku PowerPoint zainfekowanego malware na maszynach wirtualnych – krótkotrwałych symulacjach komputerów w czasie rzeczywistym odizolowanych od rzeczywistego, fizycznego komputera jak ich pokój od reszty biura firmy iSight.
W tych zabezpieczonych kontenerach można oglądać kod niczym skorpiona przez szkło akwarium. Pozwalało to inżynierom wstecznym uruchomić wiele maszyn wirtualnych z różnymi wersjami systemu Windows i pakietu Microsoft Office, aby odkryć, które z nich są podatne na te ataki. Udało im się ustalić, że kod z pliku PowerPoint może przejąć kontrolę nawet nad najnowszymi i zaktualizowanymi wersjami oprogramowania. Wtedy ich przypuszczenia potwierdziły się, luka okazała się bardzo rzadka i potężna. Późnym wieczorem – nawet nie zauważyli, ile czasu minęło – mieli już gotowy raport dla firmy Microsoft i ich klientów, a także przepisali kod, by móc go zademonstrować podobnie jak patogen w probówce.
Jon Erickson, jeden ze specjalistów, stwierdził, że program PowerPoint ma „niezwykłe moce”. Przez lata ewoluował, stając się maszyną Rube Goldberga wyposażoną w dużej mierze w niepotrzebne funkcje, tak skomplikowane, że praktycznie mógł służyć jako język programowania. Ktokolwiek wykorzystał tę lukę, skupił się na jednej funkcji, która pozwalała umieścić „obiekt” w prezentacji, na przykład wykres lub wideo pobierane z zasobów plików programu PowerPoint lub bezpośrednio z sieci.
W tym przypadku hakerzy użyli tej funkcji, by ostrożnie umieścić dwa fragmenty danych w prezentacji. Pierwszy ładuje się w folderze tymczasowym na zaatakowanym komputerze. Drugi wykorzystuje funkcję animacji programu PowerPoint: animacje nie tylko sprawiają, że prezentacja jest ciekawsza, w rzeczywistości wykonują komendy na komputerze, na którym prezentacja jest wyświetlana. W momencie gdy prezentacja załaduje ten plik animacji, uruchomi on automatyczny skrypt, który sam kliknie prawym przyciskiem myszy pierwszy plik załadowany na komputerze, a następnie kliknie „zainstaluj” w menu. Wirus zostaje zainstalowany na komputerze użytkownika bez jego wiedzy. Wygląda to na niewinną paczkę pozostawioną przed drzwiami, która po wniesieniu do domu kiełkuje, rozrasta się, rozcina pudełko i wypuszcza małe roboty, a w rezultacie zajmuje cały korytarz. Wszystko to stanie się natychmiast i niedostrzegalnie, w momencie gdy ofiara kliknie dwukrotnie w załącznik, aby go otworzyć.
Erickson, inżynier wsteczny, który jako pierwszy zajął się luką zero-day w black room firmy iSight, wspomina swoją pracę rozpakowania i rozbrajania ataku jako dość rzadkie, fascynujące, ale całkowicie bezosobowe wydarzenie. W swojej karierze miał do czynienia tylko z kilkoma lukami tego typu poza swoim „laboratorium”. Natomiast przeanalizował tysiące próbek malware i nauczył się traktować je bezosobowo jak próbki do badań, bez wpływu na to, kto jest ich autorem. – Był to po prostu nieznany człowiek i nieznana rzecz, których dotąd nie widziałem – mówił.
Lecz luka zero-day miała swoich twórców. Tego ranka w swoim zaciemnionym warsztacie Erickson nie tylko rozkładał na czynniki pierwsze zwyczajną łamigłówkę, lecz także podziwiał pierwsze wskazówki zdalnej, wrogiej inteligencji.2.
BlackEnergy
Po ochłonięciu z powodu odkrycia luki pozostały pytania: kto napisał ten kod? Kto był jego celem i dlaczego?
Z tymi pytaniami John Hultquist zwrócił się do Drew Robinsona, którego nazywał dziennym wampirem. Robinson posiadał te same umiejętności co inżynierzy wsteczni siedzący niczym wampiry w zaciemnionym pokoju, lecz siedział w nasłonecznionym pokoju tuż obok biura Hultquista. Odpowiedzialny był za o wiele szerszą analizę zachowań hakerów, od osób, które ich zatrudnili, po motywy polityczne. Zadaniem Robinsona było śledzenie technicznych wskazówek, w tym pliku programu PowerPoint, tak by rozwiązać większą tajemnicę tajnej operacji.
Kilka minut po tym, jak Hultquist wszedł do pokoju, by ogłosić wyniki wspólnej ciężkiej pracy odkrycia luki zero-day w programie PowerPoint, Robinson zastanawiał się nad zawartością załączonej pułapki. Prezentacja wyglądała na zwykłą listę nazwisk pisanych cyrylicą na tle niebiesko-żółtej flagi ukraińskiej, ze znakiem wodnym ukraińskiego herbu – jasnoniebieskim trójzębem na żółtej tarczy. Po przetłumaczeniu ich w tłumaczu Google Robinson odkrył, że są to nazwiska rzekomych „terrorystów”, osób, które stanęły po stronie Rosji w ukraińskim konflikcie rozpoczętym w tym samym roku. Wojska rosyjskie zaatakowały wschód kraju i półwysep krymski, podżegając separatystów, co doprowadziło do wojny.
Pierwszą wskazówką dla Robinsona był fakt, że hakerzy wybrali antyrosyjską treść wiadomości do rozprzestrzenienia luki typu zero-day. Mogło to wskazywać właśnie na rosyjską operację skierowaną przeciwko ukraińskim celom, wykorzystując patriotyzm kraju i strach przed zwolennikami Kremla. Lecz kiedy szukał wskazówek na temat hakerów stojących za tą sztuczką, szybko znalazł kolejny sznurek do pociągnięcia. Kiedy w programie PowerPoint aktywowała się luka typu zero-day, plik zapisywany w systemie ofiary okazał się typem słynnego malware, by wkrótce okazać się jeszcze bardziej znanym malware. Nazywał się on BlackEnergy.
Krótka historia BlackEnergy zawierała już w pewnym sensie swoją własną podstawę w klasyfikacji typowych operacji hakerskich, zaczynając od tzw. script kiddies – hakerów tak słabo wykwalifikowanych, że są w stanie korzystać tylko z narzędzi napisanych przez bardziej profesjonalnych hakerów – po profesjonalnych cyberprzestępców. Pierwotnie narzędzie to zostało stworzone przez rosyjskiego hakera Dmytro Oleksiuka, znanego w hakerskim świecie jako Cr4sh. Około 2007 roku Oleksiuk sprzedał BlackEnergy na rosyjskim forum hakerów za około 40 dolarów, podpisując się w rogu panelu sterowania symbolem rączki.
Narzędzie zostało zaprojektowane tylko w jednym celu, tak zwanej rozproszonej odmowy usług (DDoS). To ataki polegające na wysłaniu zapytań z setki lub tysięcy komputerów jednocześnie, powodując odcięcie ich od sieci. Zainfekuj komputer ofiary BlackEnergy, a stanie się członkiem tak zwanego botnetu, zbiorem zhakowanych komputerów lub botów. Operator botnetu może skonfigurować przyjazne dla użytkownika (user-friendly) oprogramowanie Oleksiuka, tak by kontrolować, która strona internetowa zostanie zaatakowana, jakim rodzajem ataku oraz ich częstotliwość.
Pod koniec 2007 roku firma Arbor Networks, zajmująca się cyberbezpieczeństwem, zliczyła ponad trzydzieści botnetów zbudowanych z Black-Energy, skupiających głównie swoje ataki na rosyjskie strony internetowe. Jednak na tle wyrafinowanych cyberataków ataki DDoS były w dużej mierze prymitywne i proste. Ostatecznie mogą powodować kosztowne przerwy w działaniu stron, lecz nie powodują poważnych naruszeń danych, jak to bywa w przypadku innych technik hakerskich.
Jednak przez lata malware BlackEnergy ewoluował. Firmy zajmujące się cyberbezpieczeństwem zaczęły wykrywać nową wersję oprogramowania, wyposażoną w wiele zamiennych funkcji. Ta odnowiona i ulepszona wersja nadal mogła atakować strony internetowe atakami DDoS, lecz teraz można ją było także zaprogramować, by wysyłała spam, niszczyła pliki na zainfekowanych komputerach oraz pozwalała na kradzież bankowych nazw użytkowników i haseł.
Teraz, na oczach Robinsona, BlackEnergy powrócił w jeszcze nowszej wersji. Wersja, na którą patrzył przy swoim biurku w biurze firmy iSight, wydawała się różnić od tej, o której czytał wcześniej – z pewnością nie było to proste narzędzie do ataków na strony internetowe i prawdopodobnie nie służyło do oszustw finansowych. Mimo wszystko, dlaczego cyberatak służący do oszustw finansowych miał używać listy prorosyjskich terrorystów jako przynęty? Wyglądało na to, że pułapka jest ukierunkowana politycznie. Od pierwszej chwili, gdy spojrzał na próbkę ukraińskiego BlackEnergy, zaczął podejrzewać, że patrzy na wersję kodu z nowym celem: nie ze zwykłym przestępstwem, lecz ze szpiegostwem.
Wkrótce Robinson dokonał kolejnego niezwykłego odkrycia, które ujawniło więcej informacji na temat celu malware. Kiedy uruchomił malware na maszynie wirtualnej, próbował on połączyć się z adresem IP gdzieś w Europie. Natychmiast zauważył, że było to połączenie z serwerem dowodzenia (CCServer), który może zdalnie zarządzać atakami. Robinson był mile zaskoczony, gdy udało mu się połączyć ze swojej przeglądarki z tą odległą maszyną. Komputer kontrolujący te ataki w ogóle nie został zabezpieczony, więc każdy mógł do woli przeglądać jego pliki.3.
Arrakis02
Przemysł cyberbezpieczeństwa nieustannie ostrzega przed „problemem przypisania” – bardzo często nie da się przypisać hakera do danego ataku, zwłaszcza gdy atak jest bardzo zaawansowany. Internet daje zbyt dużo możliwości korzystania z serwerów proxy, przekierowań sygnału oraz zwyczajnie przytłaczającej geograficznej niedokładności. Robinson, identyfikując niezabezpieczony komputer, który zarządzał wszystkim, odkrył tajemnicę bardzo rzadkich danych określających szczegóły BlackEnergy. Mimo całej dbałości, jaką wykazali hakerzy podczas hakowania programu PowerPoint, wyglądało na to, że zdradzili bardzo ważną wskazówkę dotyczącą ich narodowości.
Jednak po tym nadzwyczajnym odkryciu Robinson musiał nadal dokładnie przeanalizować kod malware, aby znaleźć więcej szczegółów i stworzyć instrukcję dla klientów firmy iSight oraz innych firm zajmujących się cyberbezpieczeństwem, w której opisze, jak sprawdzić, czy inne sieci zostały zainfekowane tym wirusem. Rozszyfrowanie funkcjonalności kodu malware nie jest tak łatwe jak wyśledzenie serwera go obsługującego. Kod zawierał trzy zakodowane warstwy kompresji i szyfrowania, czego Robinson dowiedział się w ciągu następnych dni starannej i solidnej pracy.
Innymi słowy, odkrycie tajemnic malware było jak polowanie na padlinożercę. Robinson wiedział, że malware jest samowystarczalny i musi zawierać wszystkie klucze szyfrujące niezbędne do samodzielnego rozszyfrowania i uruchomienia się kodu. Aczkolwiek klucz szyfrujący do kolejnej warstwy można było znaleźć dopiero po zdekodowaniu warstwy wcześniejszej. Poprzez skanowanie szumu, który wyglądał na losowy, w poszukiwaniu rozpoznawalnych wzorców, Robinson odkrył algorytm kompresji zastosowany przez hakerów. Mimo to spędził kolejne dni na zidentyfikowaniu wzorca szyfrującego, wyjątkowej modyfikacji istniejącego systemu, którego użyli. Zagłębiając się w zagadkę, nawet nie zauważył, jak szybko minął czas. Wrócił do domu, gdzie nawet pod prysznicem w myślach odtwarzał w kółko szyfr.
Kiedy w końcu po tygodniu prób i błędów Robinson złamał szyfr, jego oczom ukazały się miliony zer i jedynek zawartych w BlackEnergy. Zbiór danych, który wciąż mógł wyglądać na pozbawiony sensu. W końcu był to skompilowany program, napisany w kodzie binarnym, tak by był czytelny dla komputerów nie dla człowieka. Aby zrozumieć kod binarny, Robinson musiał uruchomić go w narzędziu używanym do inżynierii wstecznej zwanym IDA Pro, który tłumaczył komendy w kodzie podczas ich wykonywania. Dzięki temu Robinson mógł przeanalizować kod krok po kroku. – Prawie jakbyś próbował ustalić, jak ktoś wygląda, patrząc tylko na jego DNA – powiedział Robinson. – A twórca tej osoby starał się utrudnić to zadanie najbardziej jak to możliwe.
Jednak w drugim tygodniu pracy ta szczegółowa analiza kodu binarnego wreszcie zaczęła się opłacać. Kiedy Robinsowoi udało się odszyfrować ustawienia konfiguracji malware, zawierały one tak zwany kod kampanii – właściwie tag związany z tą wersją malware, dzięki któremu hakerzy mogli wyszukiwać i śledzić swoje ofiary. Ten zawarty w BlackEnergy, z ukraińskiego pliku programu PowerPoint, Robinson rozpoznał natychmiast, nie dzięki swoim umiejętnościom analitycznym, lecz dzięki swojej pasji do science-fiction, był to „arrakis02”.
W rzeczywistości dla Robinsona i praktycznie każdego pasjonata literatury sci-fi słowo „Arrakis” jest bardzo rozpoznawalne. Praktycznie tak samo jak Tatooine lub Śródziemie stanowią filary kanonu kultury. Arrakis to pustynna planeta, na której rozgrywa się epicka powieść z 1965 roku Diuna Franka Herberta.
Historia Diuny osadzona jest w świecie, w którym Ziemia już dawno została spustoszona przez wojnę nuklearną pomiędzy ludźmi a maszynami ze sztuczną inteligencją. Śledzimy losy rodu Atrydów po tym, jak zostali oni wybrani na władców Arrakis – zwanej także jako Diuna – a także politycznego sabotażu i przewrotu, którego dokonał przeciwko nim ich złowieszczy rywal – ród Harkonnenów.
Po obaleniu rządów Atrydów młody bohater książki Paul Atryda schronił się na rozległej pustyni, gdzie pod ziemią wędrują olbrzymie czerwie pustyni (sandworm) mające nawet ponad tysiąc metrów długości. Od czasu do czasu wypełzają na powierzchnię, by pochłonąć wszystko, co znajdą na swej drodze. Dorastając, Paul uczy się od tubylców zwanych Fremenami, jak zaprzęgać i jeździć na robakach. Ostatecznie staje się przywódcą partyzanckiego powstania przeciw Harkonnenom. Na grzbietach czerwi wraz z Fremenami walczy w niszczycielskiej bitwie. Stolica zostaje odbita z rąk Harkonnenów, a władza przejęta nad całym imperium.
– Kimkolwiek byli ci hakerzy – wspomina Robinson – musieli być fanami Franka Herberta.
■
Kiedy Robinson znalazł kod ataku arrakis02, wyczuł, że natknął się na coś więcej niż pojedynczą wskazówkę dotyczącą hakerów, którzy wybrali tę nazwę. Po raz pierwszy poczuł, że wszedł do ich umysłów i wyobraźni. Zaczął się nawet zastanawiać, czy nie było to coś w rodzaju odcisków palców, być może mógł dopasować je do innych przestępstw.
Przez kolejne kilka dni Robinson odłożył na bok ukraińską wersję Black-Energy i zaczął przeszukiwać archiwum firmy iSight ze starymi przykładami malware oraz bazę danych zwaną VirusTotal. Właścicielem VirusTotal jest firma matka Google – Aplhabet. Serwis internetowy pozwala każdemu specjaliście od cyberbezpieczeństwa na przesłanie szkodliwego oprogramowania i zeskanowanie go przez dziesiątki różnych antywirusów. Metoda ta pozwala szybko i dokładnie sprawdzić, czy inne firmy wykryły ten kod gdzie indziej i co o nim wiedzą. W rezultacie na VirusTotal znajduje się ogromna ilość kodu gromadzona przez dekady, za dostęp do którego specjaliści mogą zapłacić. Robinson zaczął skanować bazę w poszukiwaniu fragmentów kodu podobnego do tego, który posiadał.
Wkrótce mu się udało. Inna próbka, z maja 2014 roku, była praktycznie duplikatem tej z ukraińskiego programu PowerPoint. Robinson dostał się do kodu ataku i znalazł to, czego szukał: housetreiders94, kolejne nawiązanie do Diuny. Tym razem BlackEnergy został ukryty w dokumencie Word, tekst na temat cen ropy i gazu wyglądał na zaprojektowany jako przynęta dla polskiej firmy energetycznej.
Przez kolejne kilka tygodni Robinson przeglądał archiwum złośliwych programów. W końcu napisał własne narzędzie do skanowania malware oraz zautomatyzował proces odblokowywania warstw szyfrujących i wyciągania kodu ataku. Jego kolekcja haseł: BasharoftheSardaukars, SalusaSecundus2, epsiloneridani0, powoli się powiększała, jakby hakerzy próbowali mu zaimponować swoją wiedzą na temat szczegółów świata Diuny.
Każde z tych odniesień do Diuny było powiązane z dokumentem będącym przynętą i ujawniało coś na temat ofiar malware. Dokładnie tak samo jak w przypadku pierwszych dwóch, które znalazł. Wśród nich był dokument dyplomatyczny opisujący „przeciąganie liny” nad Ukrainą pomiędzy Rosją a Europą. Kiedy to Ukraina była rozdarta między dwa ruchy: popularnym ciągnącym ją w kierunku Zachodu oraz chcącym pozostać pod wpływami Rosji. Kolejny wydawał się przynętą dla uczestników szczytu w Walii dotyczącego Ukrainy oraz wydarzenia związanego z NATO odbywającego się na Słowacji, częściowo dotyczącego rosyjskiego szpiegostwa. A jeszcze inny celował bezpośrednio w amerykańskiego specjalistę zajmującego się rosyjską polityką zagraniczną. Firma iSight zdecydowała nie ujawniać publicznie jego tożsamości. Wszystkie te ataki można było powiązać właśnie dzięki nawiązaniom hakerów do Diuny.
Lecz nie wszystkie ofiary wyglądały na zwykłe obiekty rosyjskiego szpiegostwa geopolitycznego. Po co, na przykład, hakerzy skupiali się na polskiej firmie energetycznej? Kolejna przynęta, którą później znalazła firma iSight, była skierowana do Kolei Ukraińskich UZ – Ukrzaliznycia.
Zagłębiając się coraz bardziej w wysypisku branży cyberbezpieczeństwa, w poszukiwaniu odniesień do Diuny, Robinson dostrzegł kolejną rzecz. O ile pierwsza odkryta luka zero-day była stosunkowo nowa, o tyle szersza kampania hakerskich ataków trwała od miesięcy, a nawet lat. Najstarsza próbka powiązana z Diuną pochodziła z 2009 roku. Oznaczało to, że hakerzy działają w tajemnicy od dekady.
■
Po sześciu tygodniach pracy firma iSight była gotowa opublikować swoje spostrzeżenia. Wyglądało na to, że odkryli bardzo wyrafinowaną i rozległą kampanię szpiegowską prowadzoną przez rząd rosyjski skierowaną przeciwko NATO i Ukrainie.
Kiedy Robinson starannie zajmował się rozszyfrowaniem, jego szef John Hultquist skupiał się na pracy rosyjskich hakerów, a analitycy badali szczegółowo kod malware. Robinson siedział najbliżej biura Hultquista, toteż bez problemu słyszał wykrzykiwane, z akcentem z Tennessee, pytania. Lecz w połowie października Hultquist niemal codziennie pojawiał się przy biurku Robinsona, aby dopytać o aktualny status prac nad luką zero-day programu PowerPoint.
Mimo wszystkich sprytnych sztuczek hakerów Hultquist wiedział, że aby zwrócili uwagę na ich odkrycie, trzeba było posiadać jakiekolwiek obycie medialne. W tym czasie to Chiny i ich cyberszpiedzy byli wrogiem publicznym numer jeden dla amerykańskich mediów i branży bezpieczeństwa. Firmy takie jak Northrop Grumman, Dow Chemical czy Google padły ofiarą chińskich hakerów. W serii szokujących kampanii kradzieży danych hakerzy skoncentrowali się głównie na własności intelektualnej i tajemnicach handlowych. Ówczesny dyrektor NSA, Keith Alexander, nazwał to „największym transferem bogactw w historii”. Rosyjska operacja szpiegowska celowała w Europę Wschodnią, toteż pomimo wszystkich przebiegłych technik i trwałości mogła zginąć w całym tym chaosie.
Potrzebował chwytliwej i przykuwającej uwagę nazwy dla tych hakerów. Jako że firma iSight odkryła tę grupę, zgodnie ze zwyczajem w branży cyberbezpieczeństwa, dostała przywilej wybrania dla niej nazwy. Oczywisty był fakt, że nazwa musi nawiązywać do obsesji na temat Diuny.
Robinson, jako fan Diuny już od nastoletnich lat, zaproponował, by grupę nazwać „Bene Gesserit”. Nazwa nawiązywała do mistycznego zakonu kobiet, które posiadały niemal magiczne moce manipulacji psychologicznej. Jednak Hultquist, mimo że nigdy nie czytał książek Franka Herberta, zawetował ten pomysł. Uznał, że jest zbyt niezrozumiały i trudny do wypowiedzenia.
Zamiast tego Hultquist wybrał prostszą nazwę, przywołującą na myśl ukrytego potwora. Dzierżącego straszliwą moc, który porusza się tuż pod powierzchnią, aby od czasu do czasu wypełznąć na powierzchnię. Nazwę bardziej odpowiednią niż w tamtym czasie mógł zakładać. Nazwał grupę Sandworm – czerw pustyni.4.
Zwiększaj siłę
Sześć tygodni po tym, jak po raz pierwszy odkryli grupę Sandworm, pracownicy firmy iSight zorganizowali przyjęcie. Znaleźli się tam wszyscy analitycy cyberbezpieczeństwa z biura, aby wznieść wspólny toast, świętując sukces. Poinformowanie świata o grupie Sandworm było dla Hultquista spełnieniem marzeń. Po tym, jak firma opublikowała swoje odkrycia na temat trwającej pięć lat rosyjskiej kampanii szpiegowskiej z motywem Diuny, wiadomości rozeszły się po całym środowisku IT i mediach. Artykuły na ten temat opublikowano w The Washington Post czy Wired, a także w innych czasopismach z branży technologii i cyberbezpieczeństwa. Robinson wspomina też toast wzniesiony szklanką wódki za Hultquista, na cześć nowego rodzaju rosyjskiego hakera, którego odkryli.
Tego samego wieczoru, lecz 4 000 km na zachód, inny specjalista od cyberbezpieczeństwa nadal wykonywał swoją pracę. Kyle Wilhoit, analityk malware, pracujący dla japońskiej firmy zajmującej się cyberbezpieczeństwem – Trend Micro. Uczestniczył on w serii spotkań, podczas konferencji firmowej, w hotelu Cupertino w Kalifornii, znalazł w sieci raport firmy iSight na temat grupy Sandworm. Wilhoit słyszał o firmie iSight, a także o Johnie Hultquistcie, toteż zanotował, by na koniec dnia bliżej przyjrzeć się sprawie. Czuł, że tak istotne odkrycie wywoła lawinę nowych odkryć, być może także dla niego i firmy Trend Micro.
Tej nocy Wilhoit i inny specjalista z firmy Trend Micro, Jim Gogoliński, poszli do hotelowego baru. Włączyli swoje laptopy i pobrali wszystkie informacje, jakie firma iSight opublikowała. Pobrali także tak zwane wskaźniki naruszenia integralności systemu, które opublikowano w nadziei na pomoc innym potencjalnym ofiarom grupy Sandworm, aby wykrywać i chronić je przed atakami.
Wśród tych dowodów były także adresy IP centralnego serwera dowodzącego atakami (CCServer), z którymi łączyły się próbki BlackEnergy. W miarę upływu czasu bar opuszczało coraz więcej osób. Natomiast Wilhoit i Gogoliński przeszukiwali własne archiwum malware firmy Trend Micro oraz VirusTotal, aby znaleźć nowe powiązania z tymi adresami IP.
Po zamknięciu baru specjaliści zostali sami w ciemnym patio, wtedy też Wilhoit dopasował adres IP do serwera w Sztokholmie, którego używała grupa Sandworm. Plik, config.bak, który znalazł, także połączony był z tym szwedzkim komputerem. Być może dla typowego pracownika branży cyberbezpieczeństwa wyglądałoby to całkiem zwyczajnie, lecz Wolhoitowi od razu wydało się to podejrzane.
Wilhoit miał niezwykłe doświadczenie zawodowe jak na specjalistę z branży cyberbezpieczeństwa. Zaledwie dwa lata wcześniej zrezygnował ze stanowiska kierownika do spraw cyberbezpieczeństwa w St. Louis, w największej amerykańskiej firmie węglowej, Peabody Energy. Stąd też miał doświadczenie z tak zwanymi systemami kontroli przemysłowej (ICS) – zwanymi również w niektórych przypadkach SCADA, czyli systemami informatycznymi nadzorującymi przebieg procesu technologicznego lub produkcyjnego. To oprogramowanie nie tylko przesyła bity, ale także przesyła i odbiera komendy z urządzeń przemysłowych, w ten sposób łączy świat cyfrowy z fizycznym.
Oprogramowanie ICS jest używane do wszystkiego, od wentylatorów, które zapewniają obieg powietrza w kopalniach Peabody, po masywne pralki, które szorują węgiel, generatory spalające węgiel w elektrowniach, do wyłączników w podstacjach zasilających klientów w energię elektryczną. Aplikacje ICS obsługują fabryki, wodociągi, gazociągi, rafinerie ropy oraz systemy transportu – innymi słowy, wszystkie gigantyczne i bardzo złożone maszyny, które stanowią podstawę współczesnej cywilizacji i bez których nie jesteśmy w stanie normalnie funkcjonować w nowoczesnym świecie.
Cimplicity jest jednym z elementów oprogramowania ICS, sprzedawanym przez General Electric. Aplikacja ta jest swego rodzaju interfejsem człowiek-maszyna, który stanowi w istocie panel sterowania dla tych cyfrowo-fizycznych systemów dowodzenia. Plik config.bak, który znalazł Wilhoit, był w rzeczywistości plikiem .cim zaprojektowanym do otwierania w Cimplicity. Normalnie plik .cim ładuje w pełni konfigurowalny panel sterowania oprogramowania Cimplicity, niczym deska rozdzielcza dla urządzeń przemysłowych, którą można konfigurować na nieskończenie wiele sposobów.
Natomiast ten plik Cimplicity niewiele robił, poza łączeniem się ze sztokholmskim serwerem, który firma iSight wskazała jako używany przez grupę Sandworm. Dla każdego, kto miał do czynienia z systemami kontroli przemysłowej, sama koncepcja tego połączenia była bardzo niepokojąca. Infrastruktura, która obsługuje te wrażliwe systemy, z założenia powinna być całkowicie odcięta od sieci, aby chronić ją właśnie przed atakami hakerów, którzy mogliby sabotować ją i przeprowadzać katastrofalne w skutkach ataki.
Firmy, które obsługują taki sprzęt, szczególnie urządzenia elektryczne, stanowiące podstawę uprzemysłowionego świata, stale zapewniają społeczeństwo, że nie istnieje połączenie między normalną siecią a ich siecią kontroli przemysłowej. Jednak, co może być niepokojące, w niektórych przypadkach te systemy ciągle utrzymują niewielkie połączenie z resztą swoich systemów, a nawet siecią publiczną, na przykład umożliwiając inżynierom zdalny dostęp do oprogramowania lub jego aktualizację.
Połączenie pomiędzy grupą Sandworm a plikiem Cimplicity, który łączył się z serwerem w Szwecji, wystarczyło, by Wilhoit doszedł do wstrząsającego wniosku: grupa Sandworm nie skupiała się wyłącznie na szpiegostwie. Teoretycznie operacje skupiające się na gromadzeniu danych wywiadowczych nie powinny włamywać się do systemów kontroli przemysłowej. Wyglądało na to, że grupa Sandworm posunęła się o wiele dalej. Spróbowała dotrzeć do systemów ofiar, dzięki którym można by zhakować fizyczne maszyny, co miałoby fizyczne konsekwencje.
– Zbierają informację, co oznacza, że przygotowują się do wejścia w drugi etap – uświadomił sobie Wilhoit, który siedział w chłodną noc przed hotelem Cupertino. – Prawdopodobnie próbują połączyć świat cyfrowy z kinetycznym. Cele hakerów zdawały się wykraczać poza szpiegostwo i sabotaż przemysłowy.
Wilhoit i Gogoliński nie spali tej nocy. Zamiast tego siedzieli na zewnątrz przy hotelowym stoliku i szukali więcej wskazówek na temat działań grupy Sandworm w systemach ICS. Jak zdobyli kontrolę na tymi interfejsami? Kto był ich celem? Wciąż nie znali odpowiedzi na te pytania.
Następnego dnia ominęli wszystkie spotkania i cały czas poświęcili na spisanie i opublikowanie swoich ustaleń na blogu Trend Micro. Wilhoit udostępnił je także kontaktowi w FBI, który – jak przystało na tajniaka – nie zaoferował nic w zamian za informacje.
Po powrocie do biura w Chantilly John Hultquist przeczytał artykuł na blogu Trend Micro dotyczący pliku Cimplicity. Był tak podekscytowany, że nawet nie zirytował go fakt, że w Trend Micro odkryto coś nowego w środku ważnych badań firmy iSight. – Gra zaczynała się na nowo – stwierdził Hultquist.
Nagle te ataki na infrastrukturę, w tym polską firmę energetyczną, nabierały sensu. Sześć tygodni wcześniej firma iSight znalazła wskazówkę, która zmieniła sposób, w jaki myślano o hakerach. Ze zwykłych hakerów zajmujących się cyberprzestępczością stali się szpiegami gromadzącymi dane wywiadowcze na szczeblu państwowym. Teraz wizja Hultquista znów uległa zmianie, hakerzy zajmujący się szpiegostwem zmienili się w hakerów od cyberwojny. – Już nie wyglądało to na klasyczne szpiegostwo – pomyślał Hultquist. – Patrzyliśmy na zwiad przed atakiem.
■
W pewnym sensie Hultquist szukał czegoś takiego jak grupa Sandworm przez całą swoją karierę, na długo przed odkryciem firmy iSight, choć wtedy jeszcze nie zdawał sobie sprawy z tego, jak to będzie wyglądać. Podobnie jak wiele innych osób z branży cyberbezpieczeństwa, zwłaszcza tych z doświadczeniem wojskowym, Hultquist spodziewał się, że nadejdzie nowa era cyberwojen. Zdolności hakerów zostaną wykorzystane nie w świecie cyfrowym, lecz w rzeczywistym świecie wojny i terroryzmu. Dla Hulquista oznaczało to powrót do przeszłości. W czasach swojej służby w armii, półtorej dekady wcześniej, nauczył się myśleć o przeciwnikach jak o bezwzględnych ludziach gotowych wysadzić wszystko w powietrze, aby zniszczyć infrastrukturę i zabić każdego z jego przyjaciół czy też niewinnych cywili, których miał za zadanie bronić.
Hultquist, jako rezerwista z małego miasteczka Alcoa w Tennessee, został powołany w trakcie studiów do służby w Afganistanie, po atakach z 11 września. Wkrótce dwudziestolatek znalazł się w prowincji Kandahar w jednostce do spraw ochrony ludności. Ich zadaniem było patrolowanie wsi w sześcioosobowym zespole, spotykali się z władzami lokalnych wiosek, aby zjednać sobie ludzi. – Oczywiście cały czas byliśmy uzbrojeni po zęby – powiedział mi Hutquist, z charakterystycznym dla siebie rechotem podczas opowiadania swoich historii. – Była to wielka przygoda. – Wtedy też zapuścił bujną brodę i stał się znany w jednostce jako Teen Wolf (nastoletni wilkołak).
Motto jego jednostki, nadrukowane na zapince przyczepionej do ramienia munduru, brzmiało vis amplificans vim, co – jak mówił jego przełożony – oznaczało „zwiększaj siłę”. Głównie chodziło o budowanie relacji z lokalnymi cywilami, które skutkowałyby pomocą w mniej subtelnej pracy polegającej na wypędzaniu i zabijaniu talibów; robili za pewnego rodzaju marchewkę dla piechoty i kij służb specjalnych. Jedli posiłki z grupą starszych ze wsi, pytali, czego potrzebują, zagryzając kozinę płaskim chlebem, czasem wykopali im studnię. – Wracaliśmy po paru tygodniach i czasami mówili nam, gdzie jest ukryta skrzynia z amunicją – mówi Hultquist.
We wczesnych dniach wojny talibowie już w większości uciekli ze wsi w góry Pakistanu, tym samym umykając przed początkową inwazją USA. Jednak gdy powoli żołnierze przesuwali się do Afganistanu, przemoc ponownie wzrosła. Pewnej nocy talibscy bojownicy wystrzelili dwie rakiety w budynek, w którym spał Hultquist wraz ze swoją jednostką. Jedna chybiła, kierując się w stronę nieba. Druga, na szczęście, nie eksplodowała i została rozbrojona przez saperów. Zaledwie kilka dni później ci sami saperzy zginęli przy próbie rozbrojenia materiałów wybuchowych, ukrytych w talibskiej kryjówce. Hultquist i jego jednostka przybyli jako pierwsi na miejsce wybuchu i godzinami zbierali rozczłonkowane części ciała saperów.
Po inwazji na Irak w 2003 roku Hultquist został tam przeniesiony. Walki były równie intensywne i krwawe jak w Afganistanie. W Iraku wojna szybko zmieniła się w polowanie na w większości ukrytych sabotażystów, którzy ukrywali prowizoryczne bomby. Był to bardzo asymetryczny konflikt partyzancki. Hultquist na własnej skórze przekonał się, jak wyniszczające psychicznie może być życie wśród ciągle powtarzających się, nieprzewidywalnych i śmiertelnych wybuchów. Zdobył odznakę od armii za męstwo, szybką reakcję i pomoc, jaką udzielił kolegom, którzy swoim samochodem terenowym, Humvee, najechali na minę. Udzielił im pierwszej pomocy, dzięki czemu dwóch przeżyło.
Strzelec na szczycie pojazdu zginął jednak natychmiast w skutek eksplozji, miał granaty przypięte do piersi, aby móc szybko podać je do wyrzutni. Hultquist wciąż pamięta dźwięk granatów wybuchających jeden po drugim, gdy ciało mężczyzny płonęło.PRZYPISY
Fragmenty Diuny Franka Herberta przekładu: Marek Marszał, Dom Wydawniczy REBIS, Wyd. II Poznań 2015, pochodzą ze stron: 616, 21, 607, 592, 619, 412 (przyp. tłum.).
Autor wyolbrzymia konflikt w Iraku, porównując go do Afganistanu. Takiego pojęcia jak konflikt asymetryczny nie ma i można bardziej mówić o wojnie partyzanckiej, bo taką była w istocie (przyp. recenzenta).
W pewnym momencie BlackEnergy został wykorzystywany do bardziej wyrafinowanych cyberprzestępstw, toteż Oleksiuk, jako twórca BlackEnergy, próbował się od niego odciąć. Szczególnie po tym, jak powiązano BlackEnergy z odpowiedzialnością za oszustwa finansowe przeciwko rosyjskim bankom. Niebezpieczny ruch w kraju, który inaczej patrzy na cyberataki skoncentrowane na ofiary na Zachodzie. – Fakt, że jego kod źródłowy był dostępny dla wielu osób na różnego rodzaju (pół)prywatnych imprezach, może oznaczać, że ktoś wykorzystał go na własne potrzeby – Oleksiuk starał się wyjaśniać w artykule zatytułowanym Fuck me I’m famous na blogu LoveJournal w 2009 roku. – Trzeba być kompletnym idiotą, by podejrzewać, że autor tego bota jest odpowiedzialny za udział w kryminalnych machinacjach.
W rzeczywistości analitycy cyberbezpieczeństwa rosyjskiej firmy Kaspersky Lab już od początku 2013 roku po cichu podejrzewali, że ktoś używa Black Energy do zaawansowanego szpiegowania. Zaczęły pojawiać się wersje narzędzia, które nie były już sprzedawane na forach hakerskich. Niektóre przeznaczone były na komputery z systemem Linux – na tyle rzadkim, że hakerzy używali go do precyzyjnych operacji szpiegowskich, a nie tylko masowych kradzieży. – Przestano wykorzystywać oprogramowanie crimeware – powiedziała mi Maria Garnaeva, analityk z firmy Kasperksy Lab. – Właśnie wtedy hakerzy używający tej metody stali się wyjątkową grupą docelową.
Jeszcze bardziej niezwykłe było to, że wśród plików znajdował się dokument, który zawierał listę komend pomocnych przy tej wersji BlackEnergy. Potwierdziło to podejrzenia Robinsona: dostarczona wersja BlackEnergy luki typu zero-day miała znacznie szerszy zakres możliwości gromadzenia danych niż zwykła próbka malware, którą znaleźli podczas dochodzenia. Program mógł robić zrzuty ekranów, wykradać pliki i klucze szyfrujące z zaatakowanych komputerów oraz rejestrować naciśnięcia klawiszy na klawiaturze. Wszystko po to, by szpiegować, a nie czerpać zyski z oszustw finansowych.
Aczkolwiek jeszcze ważniejszy był język, w którym ten dokument napisano: rosyjski.
W rzeczywistości niekoniecznie firma iSight była pierwsza. Mniej więcej w tym samym czasie tych samych odkryć, wraz z nawiązaniami do Diuny, dokonała słowacka firma ESET. Przedstawiła nawet swoje odkrycia na konferencji Virus Bulletin w Seattle we wrześniu 2014 roku. Jednak firma ESET nie opublikowała swoich odkryć w sieci, więc jak powiedziano mi w firmie iSight, nie byli świadomi równoległych badań. W ten oto sposób, być może omyłkowo, firma iSight została uznana za pierwszych odkrywców grupy Sandworm.
więcej..
