Pandemia wzmogła poczucie zagrożenia w sieciach komputerowych. Cyberwojna bez końca

Pandemia wzmogła poczucie zagrożenia w sieciach komputerowych. Cyberwojna bez końca
O stanie nieustannej wymiany ciosów, ataków i kontrataków w systemach informatycznych pisaliśmy w MT wielokrotnie. Zjawisko to narasta, a liczba cyberzagrożeń (1) rośnie z roku na rok. Niektórzy uważają, że specyficzne warunki pandemii, zwłaszcza większe uzależnienie firm i zwykłych ludzi od sieci, przyspieszyły i pogłębiły negatywne zjawiska.

Jak to wyglądało w Polsce? Niemal 55 tys. przestępstw mających związek z naruszeniem bezpieczeństwa informacji w sieci odnotowano w Polsce w 2020 r. - podała w marcu "Rzeczpospolita". To o ponad połowę więcej niż cztery lata wcześniej. Podkreśla się, że jednocześnie spada wykrywalność przestępstw komputerowych. Większość stwierdzonych cyberprzestępstw to ataki typu ransomware, które polegają na tym, że złośliwe oprogramowanie blokuje dostęp do plików, a za jego przywrócenie przestępcy żądają okupu. Temu zjawisku, które jest już rozbudowanym, poważnym biznesem, poświęcamy odrębny artykuł w tym numerze.

Atak na amerykański łańcuch dostaw

Polska to średni kraj i ma problemy z bezpieczeństwem ani nie największe, ani najmniejsze. Znacznie poważniej brzmią doniesienia zza oceanu. Prezes Microsoftu Brad Smith powiedział kilka miesięcy temu, że głośny zimą 2020/21 cyberatak na SolarWinds jest w swoich konsekwencjach atakiem na USA, jak wiele innych zresztą, nie mniej groźnym, ale mniej głośnych.

Duża amerykańska firma informatyczna była celem ataku, który rozprzestrzenił się na jej klientów i pozostał niewykryty przez miesiące. Reuters po raz pierwszy poinformował o nim w grudniu 2020 roku. Hakerzy, którzy według niektórych oficjalnych czynników USA pochodzili z Rosji, wykorzystali ten hacking do szpiegowania prywatnych firm, w tym FireEye, która specjalizuje się w bezpieczeństwie cybernetycznym rządu USA. W odpowiedzi na atak rząd USA zapowiedział nałożenie sankcji na grupę urzędników rosyjskiego wywiadu w związku z ich domniemaną rolą w ingerencji w wybory prezydenckie w 2020 roku, a także w ataku SolarWinds.

2. Siedziba firmy SolarWinds

Hakerzy włamali się do systemów SolarWinds, firmy z siedzibą w Teksasie (2), jeszcze na początku 2020 r., a następnie dodali złośliwy kod do systemu informatycznego firmy. System ten, o nazwie Orion, jest powszechnie używany przez amerykańskie firmy do zarządzania zasobami IT. Większość dostawców oprogramowania regularnie wysyła aktualizacje do swoich systemów, czy to naprawiając błędy, czy dodając nowe funkcje.

Począwszy od marca 2020 roku, SolarWinds nieświadomie wysyłał aktualizacje oprogramowania do swoich klientów zawierające zhakowany kod. Kod ten tworzył tylne wejście (backdoora) do systemów informatycznych klientów, które hakerzy następnie wykorzystywali do instalowania jeszcze większej ilości złośliwego oprogramowania, pozwalającego im szpiegować te podmioty.

Ponieważ SolarWinds ma wśród klientów wielkie firmy z listy Fortune 500 i wiele agend rządu USA, skala szkód była ogromna. Zaatakowane zostały m.in. część Pentagonu, Departament Bezpieczeństwa Wewnętrznego, Departament Stanu, Departament Energii, Narodowa Administracja Bezpieczeństwa Nuklearnego oraz Departament Skarbu. Zaatakowano również prywatne firmy, w tym Microsoft, Cisco, Intel i Deloitte. W Departamencie Skarbu hakerzy włamali się do kilkudziesięciu kont e-mail i sieci w Departamentalnych Biurach Skarbu. Jednak sekretarz skarbu Steven Mnuchin powiedział telewizji CNBC, że hakerzy uzyskali dostęp jedynie do jawnych informacji. Jak pisał "Wall Street Journal", niektóre ofiary mogą nigdy nie dowiedzieć się, czy zostały zhakowane.

Śledczy federalni i eksperci ds. cyberbezpieczeństwa uważają, że za atak odpowiedzialna jest najprawdopodobniej rosyjska Służba Wywiadu Zagranicznego, znana jako SVR. Rosyjskiemu wywiadowi przypisuje się również włamanie do serwerów poczty elektronicznej w Białym Domu, Departamencie Stanu i Połączonych Szefów Sztabów w 2014 i 2015 roku.

Później ta sama grupa podobno zaatakowała komitet Partii Demokratycznej i pracowników kampanii prezydenckiej Hillary Clinton. Kevin Mandia, szef wspomnianej FireEye, powiedział, że dowody wskazują "na typowe wzory i zachowania rosyjskie". Odkrycie ataku na SolarWinds zwróciło jednocześnie uwagę na wyrafinowane techniki hakowania łańcucha dostaw stosowane coraz częściej przez hakerów z Rosji.

Okazało się też, że w trakcie kampanii wymierzonej w SolarWinds, inna grupa powiązanych z Kremlem hakerów kontynuowała swoją codzienną pracę, używając stosunkowo nieskomplikowanych, ale często skutecznych technik do włamywania się do każdej podatnej na ataki sieci, jaką udało im się znaleźć w USA i w globalnym Internecie. NSA, FBI, Agencja Bezpieczeństwa Cybernetycznego i Infrastruktury DHS, a także brytyjskie Narodowe Centrum Bezpieczeństwa Cybernetycznego wydały wspólne ostrzeżenie ostrzegające o setkach prób włamań typu brute force (odgadywania danych dostępowych za pomocą kolejnych prób) na całym świecie. Wszystkie miały być podejmowane przez jednostkę 26165 rosyjskiego wywiadu wojskowego GRU, znanego również jako Fancy Bear lub APT28 (3).

Fancy Bear, według amerykańskich ekspertów, miał stać za atakami na Partię Demokratyczną w 2016 r. i Światową Agencję Antydopingową. "Ta długotrwała kampania typu brute force, mająca na celu gromadzenie i pozyskiwanie danych, dostępów i innych informacji, prawdopodobnie nieustannie trwa na skalę globalną", pisał w komunikacie Rob Joyce, dyrektor ds. bezpieczeństwa cybernetycznego NSA.

3. Graficzne przedstawienie rosyjskiej grupy hakerskiej grupy znanej jako Fancy Bear

Działania, jakie prowadzi Fancy Bear, nie są, zdaniem specjalistów, ukierunkowane na coś konkretnego. Zespół ten chce po prostu uzyskiwać dostęp do każdej sieci, jaką uda mu się znaleźć, a następnie przekazywać ten dostęp innym hakerom Kremla, którzy mają bardziej konkretne misje, takie jak szpiegostwo lub dywersja. W jednym z raportów zauważono na przykład, że hakerzy wykorzystali Kubernetes, narzędzie do wirtualizacji i automatyzacji serwerów. Wydaje się, że jest to nowy sposób na efektywne uruchamianie maszyn wirtualnych w celu wykorzystania ich w próbach włamania. Jak się podkreśla, tego typu działania rosyjskich hakerów są nieodróżnialne od normalnej aktywności w sieci. Gdyby nie raporty służb, ani operatorzy, ani administratorzy sieci nie zorientowaliby się, że są celem ataku.

Warto wspomnieć przy okazji o innym zidentyfikowanym zespole hakerskim GRU, o kryptonimie "Sandworm", znanym jako jedyny w historii, który zdołał wywołać rzeczywiste przerwy w dostawie prądu, po ataku na ukraińskie zakłady elektryczne w 2015 i 2016 roku.

Chińczycy też zaleźli za skórę

Obecnie częściej mówi się o atakach rosyjskich, ale to chińscy hakerzy i całe regularne ich oddziały w ramach armii ChRL były głównym tematem publikacji medialnych o cyberwojnie w ubiegłej dekadzie. MT też niejednokrotnie zajmował się ich działalnością, czyli nieomal nieustannym atakiem na amerykańskie instytucje, przedsiębiorstwa i infrastrukturę. Dzięki raportowi opublikowanemu kilka lat temu przez Mandianta, amerykańską firmę, zajmującą się sieciowym bezpieczeństwem, wiadomo więcej o aktywności chińskich cyberwojennych formacji, choćby na temat hakerskiej jednostki 61398 Chińskiej Armii Ludowo-Wyzwoleńczej (4).

Na przełomie kwietnia i maja 2013 r. Amerykanie oficjalnie oskarżyli Chiny o organizowanie cyberataków i kradzież danych, w tym także wojskowych. Raport przygotowany przez resort obrony USA zawierał informacje zarówno o zagrożeniach internetowych, jak i orbitalnych ze strony Chińczyków. Administracja Obamy miała nadzieję, że publiczne pokazanie dowodów hakerskiej działalności jednostki 61398 skłoni władze w Pekinie do pohamowania garnących się do cyberwojaczki wojskowych.

4. Publikowane w mediach zdjęcie przedstawiające podobno wojskowych hakerów z chińskiej jednostki 61398

Po raporcie Mandianta głos zabrał rzecznik chińskiego MSZ, Hong Lei, który powiedział, że oskarżenia o cyberszpiegostwo są bezpodstawne, podkreślając, że Chiny same są ofiarą sieciowych ataków.

Chiny wprowadzają strategię wojny w cyberprzestrzeni co najmniej od 1995 roku. Od tamtego czasu cyberjednostki tamtejszej armii regularnie ćwiczą takie sytuacje jak np. atak wirusa na wojskowe lub firmowe systemy.

Według informacji podawanych w serwisach dotyczących bezpieczeństwa, wyspecjalizowana w działaniach w sieci jednostka wojskowa istniała tam już w 2000 roku. Obecnie departamenty trzeci i czwarty sztabu chińskiej armii są najważniejszymi podmiotami w chińskiej sieciowej infrastrukturze. Jedną z najnowszych informacji o chińskiej aktywności w cyberprzestrzeni jest doniesienie z końca 2020 r. o operacji wymierzonej w jednego z podwykonawców zaangażowanych w budowę myśliwca F-35 i zainfekowaniu oprogramowania instalowanego na jego pokładzie.

Scott Borg, doradca rządu amerykańskiego w dziedzinie bezpieczeństwa sieciowego, podsumował w wywiadzie dla amerykańskiego serwisu NBC kilka lat temu możliwości techniczne trzech głównych graczy cyberwojennych. Uznając amerykańskie działania, z NSA na czele, za najbardziej zaawansowane technologicznie, przyznaje, że obaj konkurenci mają wielkie atuty. Rosja, w jego ocenie, doskonale spisuje się w szpiegowaniu militarnym. Chińczycy zaś koncentrują się na technologiach, a konkretnie na ich wykradaniu. Siłą Chin w cyberwojnie nie jest wyrafinowanie techniczne, lecz liczebność zaangażowanych cyberżołnierzy - twierdzi Borg. Jego zdaniem, oprócz osławionej 61398, w Chinach działa wiele innych oddziałów tego typu, o większym być może znaczeniu niż ta z Szanghaju.

Rosyjska klawiatura oszukuje ransomware

Do tej pory nie wiadomo dokładnie, kto stał za jedną z największych akcji szpiegowsko-dywersyjnych w sieciach komputerowych, określonej jako "Czerwony Październik", na cześć słynnej książki i filmu sprzed blisko dekady. Jej ofiarą w największym stopniu padły instytucje i firmy z terenów byłego ZSRR i Europy Wschodniej. Były to agendy rządowe, placówki dyplomatyczne, placówki badawcze, firmy handlowe i paliwowe, ośrodki badań nuklearnych, wojsko i lotnictwo. Wirus ROCRA (ang. skrót od "The Hunt For The Red October") był znacznie sprytniejszy niż poprzednicy, tworząc nową jakość. Zdołał uniknąć detekcji przez ok. 5 lat. Tak twierdziła firma Kaspersky Lab. W odróżnieniu od wielu poprzedników atakował nie tylko pecety, ale również wszelkiego rodzaju sprzęt elektroniczny, także mobilny (systemy Windows Mobile, iPhone, Nokia). ROCRA porywał pliki z danymi z dysków twardych, z serwerów FTP, kradł bazy adresowe e-mail z lokalnych zasobów Outlooka lub z serwerów POP/IMAP.

Struktura dowodzenia i kontroli (C&C) nad wirusem była trudna do rozpoznania, gdyż serwery matki skonfigurowano w taki sposób, że nie można było wykryć, iż spełniają funkcje serwerów pośredniczących (proxy) dla prawdziwego węzła dowodzącego.

Po drodze do urządzeń ofiar była kolejna warstwa serwerów proxy, ukrywających serwery matki.

"Czerwony Październik" dostarczany był do komputerów i innych urządzeń w załącznikach pocztowych Microsoft Excela, Worda i prawdopodobnie też PDF-ach. Otwarcie załącznika uruchamia procedurę ustanawiania stałego łącza pomiędzy zainfekowanym już urządzeniem a strukturą C&C ROCRA. Po nawiązaniu połączenia z "dowództwem" na dysk zaatakowanego ściągane i instalowane na nim są kolejne komponenty szpiegowskiego oprogramowania. Jeśli zainfekowane urządzenie pracuje w sieci, np. firmowej, służbowej, to staje się bramą do całego systemu. Hakerzy przez załadowane do pierwszej ofiary moduły złośliwego software’u badają i skanują sieć w poszukiwaniu możliwości dalszej propagacji. A więc zasada działania nie za bardzo różniła się wtedy od ataku na SolarWinds w USA.

Eksperci analizujący ROCRA zauważyli, że malware wykorzystuje luki w Java wykorzystywane wcześniej przez chińskich hakerów. Z drugiej strony jego oprogramowanie zdawało się pochodzić od osób rosyjskojęzycznych. Wskazywano na słynną Russian Business Network (RBN), organizację cyberprzestępczą, która nie gardzi żadnym mrocznym internetowym procederem, od spamu, phishingu i dystrybucji wirusów począwszy, po dystrybucję dziecięcej pornografii.

Jednak atak ROCRA nigdy do końca w sposób rozstrzygający nie został wyjaśniony. Eksperci mówili głównie o poszlakach, śladach i logicznych wnioskach. Podobnie jest również dziś w wielu przypadkach. Na przykład analiza działań grupy hakerskiej o nazwie REvil, która odpowiedzialna jest za wiele kosztownych ataków przy użyciu ransomware, wskazuje, że omija ona rosyjskie komputery. Ma to, według wielu opinii, gwarantować hakerom przychylność władz tego kraju. Kraj ten ma tolerować działalność hakerów, dopóki atakują oni państwa Zachodu.

Na początku lipca hakerska grupa REvil dokonała ataku na kilkaset firm na całym świecie. Zainfekowali swoimi wirusami ponad milion komputerów, po czym wystosowali ultimatum. W zamian za program deszyfrujący żądają równowartości 70 milionów dolarów w bitcoinach. Najbardziej poszkodowana została amerykańska firma Kaseya zajmująca się dostarczaniem usług IT. Na celowniku hakerów znalazły się jednak także przedsiębiorstwa europejskie, w szczególności niemieckie oraz szwedzkie.

Całkowicie pominięte przez złośliwe oprogramowanie zostały za to firmy z Rosji oraz innych krajów byłego ZSRR. Według ekspertów nie jest to przypadek. Raport Trustwave SpiderLabs zdradza, że oprogramowanie opracowane przez REvil zostało zaprojektowane tak, aby nie atakowało komputerów posługujących się językami właśnie tych państw. Podobną polityką kierowała się grupa DarkSide, która również atakowała jedynie kraje Europy oraz Ameryki Północnej.

Znamienna ciekawostką jest w tym wszystkim podawana przez ekspertów od zabezpieczeń informacja, że przed tymi atakami można się w łatwy sposób obronić… przez zainstalowanie rosyjskiej klawiatury, która podobno "oszukuje wiele programów ransomware".

Pandemia nowych i znanych od lat zagrożeń

Czas pandemii był ciężki dla hotelarzy nie tylko z powodu lockdownu. Na początku 2020 roku sieć Marriott International podała, że z systemów firmy wyciekły dane osobowe blisko 5,2 mln gości. W tym samym mniej więcej czasie brytyjskie tanie linie lotnicze EasyJet ujawniły, że stały się celem "wysoce wyrafinowanego cyberataku", w którym ucierpiały dane około dziewięciu milionów klientów. W sierpniu i wrześniu 2020 nowozelandzka giełda (NZX) została dotknięta kilkoma cyberatakami z rzędu, zmuszając ją nawet do czasowego wstrzymania handlu.

Także badania nad szczepionką COVID-19 i jej dystrybucja przyciągnęły uwagę cyberprzestępców. W listopadzie Microsoft ujawnił, że wykrył cyberataki ze strony podmiotów państwowych wymierzone w siedem znaczących firm bezpośrednio zaangażowanych w badania nad szczepionkami i lekami na COVID-19, w tym w Indiach. Wśród celów znalazły się wiodące firmy farmaceutyczne i badacze szczepionek w Kanadzie, Francji, Indiach, Korei Południowej i Stanach Zjednoczonych. Atak podejmowała grupa o nazwie Strontium z Rosji, oraz dwie inne, z Korei Północnej o nazwach Zinc i Cerium.

Cyberwojenny serial nie ma końca. "The Verge" doniósł pod koniec czerwca 2021 r., że Microsoft ostrzega użytkowników systemu Windows przed niezałataną dziurą krytyczną typu "zero-day" w usłudze Windows Print Spooler, która została nazwana "PrintNightmare" (5). Luka została odkryta w czerwcu 2021 r. po tym, jak badacze bezpieczeństwa przypadkowo opublikowali exploit typu proof-of-concept (PoC).

5. PrintNightmare

Luki zwane exploitami zero-day są jednym z najbardziej poszukiwanych przez cyberwojska typów broni. Według definicji są to programy, które pojawiają się na czarnym rynku przed publikacją poprawki przez producenta. Etyka bezpieczeństwa teleinformatycznego (ang. white hat) zakłada, w przypadku odkrycia nowej dziury, powiadomienie producenta oprogramowania lub systemu operacyjnego i danie mu czasu na publikację poprawki. Czasami informacja o nowej dziurze nie jest w ogóle publikowana, gdyż odkrywca sprzedaje ją cyberprzestępcom i producent dowiaduje się o niej dopiero wtedy, gdy jest ona od pewnego czasu wykorzystywana do ataków. W tych przypadkach mamy do czynienia z dziurą typu zero-day.

"Zamiast zgłaszać Google’owi czy Mozillii, informacje o lukach i dostać wynagrodzenie rzędu dwa tysiące dolarów, badacze systemów wolą przekazać informacje o nich firmom takim jak Raytheon lub SAIC i zainkasować za to setki tysięcy dolarów", mówił przed laty w "World Affairs" Christopher Soghoian, specjalista w dziedzinie bezpieczeństwa. Ostatecznie luki zero-day SA kolekcjonowane są przez armie, służby wywiadu, firmy zbrojeniowe. Powstał cały wielki rynek i setki firm specjalizujących się w sprzedaży informacji o lukach w zabezpieczeniach. Są wśród nich takie, które ściśle powiązane są z własnymi rządami i ich służbami, są też takie, jak francuska Vupen, która sprzedaje zero-daye różnym rządom i innym podmiotom, które gotowe są zapłacić.

Przykłady pokazują, że niestety stare rodzaje cyberzagrożeń, jak choćby owe luki zero-day, nie odchodzą. Przeciwnie pojawiają się wciąż nowe, starego typu oraz nowe, udoskonalone i groźniejsze. Coraz intensywniejsza wydaje się też wojna cybernetyczna na wszystkich poziomach, od rywalizacji mocarstw, po nasze domowe pecety.

Mirosław Usidus