Cybernetyczny blitzkrieg

Spektakularna akcja działających na zlecenie Kremla hakerów, którzy zinfiltrowali najważniejsze zachodnie instytucje i koncerny, ukazuje w zupełnie nowym świetle cybernetyczny wymiar konfrontacji z Rosją. Eksperci mówią bez ogródek: sytuacja staje się krytyczna.

Powołując się na raport firmy iSight Partners, Washington Post napisał, że grupa cyberprzestępców działała co najmniej od 2009 r. W tym czasie poznała m.in. tajemnice kilku komórek NATO, ukraińskiego rządu, amerykańskich uczelni, francuskiej firmy telekomunikacyjnej oraz polskiej spółki z branży energetycznej. Wystarczyło niedopatrzenie i niewykrycie na czas luki w zabezpieczeniach systemu operacyjnego Windows, by strategiczne dla NATO i Unii Europejskiej informacje dostały się w najmniej powołane ręce.

Czarna dziura w systemie

Eksperci iSight Partners zaczęli śledzić działalność grupy SandWorm pod koniec 2013 r. Zauważyli wówczas, że atakując systemy informatyczne instytucji w Ameryce i na Starym Kontynencie, hakerzy wykorzystują błąd typu 0day. Może on wystąpić w każdym oprogramowaniu lub systemie operacyjnym.

Reklama

Zwykle w przypadku jego wykrycia powiadamia się o tym producenta, aby mógł opublikować poprawki. Zdarza się jednak, że informacja o błędzie nie jest podawana do publicznej wiadomości, a firma produkująca soft dowiaduje się o luce w zabezpieczeniach dopiero wtedy, gdy zostanie ona wykorzystana do ataków na systemy informatyczne jej klientów.

W opinii amerykańskich ekspertów grupa hakerska z Rosji wykorzystała błąd typu 0day występujący w najnowszych wersjach systemów operacyjnych Windows - od Vista Service Pack 2 do 8.1.

Analitycy iSight Partners zwrócili przy tym uwagę, że to poważna usterka, bo wystarczy, że użytkownik komputera otworzy odpowiednio przygotowany dokument, by umożliwić atakującemu zainstalowanie na nim złośliwego oprogramowania. W tym celu wykorzystywany był plik PowerPoint z Microsoft Office, służący do przygotowywania publikacji i rozpowszechniania prezentacji graficznych.

Gdy tylko wyszło na jaw, w jaki sposób cyberprzestępcy omijali zabezpieczenia informatyczne, programiści z Redmond natychmiast usunęli wadę w systemie operacyjnym.

Szpiedzy nie tacy, jak my

Stephen Ward z iSight Partners nie ma żadnych złudzeń, że grupa hakerów zbierała poufne dane na zlecenie Moskwy, a jej działalność miała charakter stricte szpiegowski. - Ta akcja przyniosła korzyść rosyjskim interesom - wskazuje.

Do tej pory Rosja wielokrotnie odżegnywała się od działalności cyberszpiegowskiej. Jednak przedstawiciele amerykańskiego wywiadu są zdania, że rosyjscy hakerzy mają bardzo duże możliwości.

- Prawdopodobnie ich aktywność zwiększyła się w związku z konfliktem na Ukrainie. Jednak jeśli intensyfikujesz swoje działania, to musisz się liczyć ze wzrostem prawdopodobieństwa ich wykrycia - powiedział na łamach Washington Post anonimowy pracownik amerykańskich służb specjalnych.

Jakie dane przejęli i do sekretów której polskiej firmy dobrali się rosyjscy hakerzy - niestety nie wiadomo. Takich informacji nie mają nawet eksperci iSight Partners.

Tajemnica jawnie strzeżona

Gdy gruchnęła wiadomość, że Rosjanie prześwietlili jeden ze strategicznych dla bezpieczeństwa energetycznego polskich koncernów, przedstawiciele największych spółek nabrali wody w usta. Przepytywani przez Polską Agencję Prasową wymawiali się okrągłymi formułkami, nie ujawniając żadnych istotnych danych na temat ataków hakerskich.

Rzecznik PGE stwierdził, że spółka nie podaje żadnych informacji na temat stosowanych zabezpieczeń i w ogóle nie komentuje sprawy. Polskie Górnictwo Naftowe i Gazownictwo zapewnia, że nie odnotowało żadnych prób cyberataku, choć niezależni eksperci informują, że do takowych dochodzi w sieci co 0,8 ms, a ich głównym celem są instytucje finansowe, technologiczne i... energetyczne.

- Nie wykluczamy, że w przeszłości nieskuteczne próby były podejmowane.

W przypadku gdyby takie incydenty miały miejsce, muszą być one monitorowane i zgłaszane odpowiednim instytucjom zgodnie z obowiązującymi procedurami - głosi oficjalne stanowisko PGNiG.

Do rewelacji iSight Partners i Washington Post nie odniosła się też wprost Agencja Bezpieczeństwa Wewnętrznego, dodała jednak bardzo ważne zdanie. - Z uwagi na niejawny charakter działań w tym zakresie informacje tego typu nie są podawane do publicznej wiadomości - zaznaczyła w komunikacie, przypominając, że Rządowy Zespół Reagowania na Incydenty Komputerowe CERT odnotowuje ataki na systemy teleinformatyczne w cyberprzestrzeni RP, a informacje o nich umieszcza w publikowanych co roku raportach.

"W przypadku zgłoszenia lub zaobserwowania przez zespół cert.gov.pl zagrożeń w cyberprzestrzeni RP, w tym informacji dotyczących kampanii cyberszpiegowskich, podejmowane są działania w zakresie analizy zagrożeń w kierunku określenia ich skutków i potencjalnej skali oddziaływania, a także informowania zagrożonych podmiotów i instytucji" - zapewnia Agencja Bezpieczeństwa Wewnętrznego.

Rekord incydentów

A co wynika z raportów CERT? Okazuje się, że 2013 r. był rekordowy pod względem incydentów komputerowych. Odnotowano ich zdecydowany wzrost, rejestrując 8817 zgłoszeń, z których 5670 zakwalifikowano jako realne zagrożenia.

"Zdecydowany wzrost liczby zgłoszeń nastąpił w drugim kwartale 2013 r. i spowodowany był przede wszystkim wykorzystaniem nowych źródeł danych dostarczających istotnych informacji o wykrytych zdarzeniach związanych z bezpieczeństwem teleinformatycznym w sektorze administracji rządowej. Nie oznacza to realnego wzrostu występujących zagrożeń, ale świadczy o istotnym postępie w procesie ich identyfikowania" - podają autorzy najświeższego z opracowań.

CERT od 1 lipca 2008 r. prowadzi badania stanu zabezpieczeń witryn internetowych, należących do instytucji administracji publicznej. Mają one na celu określić poziom bezpieczeństwa aplikacji WWW, a w razie wykrycia nieprawidłowości - usunąć je. Instytucje, których strony przebadano, zostały poinformowane o wynikach, błędach wykrytych w ich systemach i poinstruowane, jak te podatności wyeliminować.

W 2013 r. przebadano 45 stron internetowych należących do 15 instytucji państwowych. Ogółem stwierdzono 755 błędów w tym:

- 244 błędy o bardzo wysokim poziomie zagrożenia,

- 33 błędy o wysokim poziomie zagrożenia,

- 340 błędów o niskim poziomie zagrożenia,

- 138 błędów oznaczonych jako informacyjne.

Do najciekawszych przypadków analizowanych w ubiegłym roku przez ekspertów CERT należy chyba wykrycie zainfekowania komputerów "lokalnej" instytucji administracji państwowej botnetem Citadel. "W wyniku kompromitacji stacji roboczych, atakujący uzyskał informacje na temat danych autoryzacyjnych do zasobów, stron oraz kont pocztowych pracowników instytucji administracji państwowej. Zespół CERT.GOV.PL poinformował administratorów instytucji, w których incydent miał miejsce i zalecił weryfikację wskazanych stacji roboczych pod kątem występowania oprogramowania złośliwego i zmianę wszelkich haseł dostępowych do skompromitowanych kont" - podaje CERT w raporcie.

Szwajcarski ser w polskiej sieci

Sęk w tym, że prawo w Polsce - w przeciwieństwie do uregulowań stosowanych w wielu krajach na Zachodzie - nie obliguje firm i instytucji do informowania, że padły ofiarą ataków hakerskich. Powoduje to, że skala cyberprzestępczości w naszym kraju może być mocno niedoszacowana - alarmują eksperci.

Świadczą o tym choćby wyniki audytu zabezpieczeń stosowanych przez polskie przedsiębiorstwa, który wykonali eksperci z PwC. Gdy jakiś czas temu w kilkudziesięciu polskich firmach przeprowadzili oni stress testy systemów informatycznych i ochrony poufnych danych, wyszło na jaw, że te właściwie nie istnieją.

- W ciągu kilku godzin udało się nam wykraść informacje ze wszystkich firm będących celem symulowanego ataku - ujawnia Rafał Jaczyński, wicedyrektor i lider zespołu bezpieczeństwa biznesu w PwC.

Jeszcze bardziej zatrważający jest fakt, że większość polskich firm i instytucji, które padły ofiarą cyberataków może nie mieć o tym zielonego pojęcia...

Z analiz przeprowadzonych przez Deloitte również wynika, że aż 88 proc. przeprowadzanych ataków osiąga zamierzony cel w czasie krótszym niż jeden dzień. W ciągu jednego dnia tylko jedna piąta firm jest w stanie odkryć, że została zaatakowana, 40 proc. potrafi zniwelować szkody. Takiej możliwości nie dają m.in. używane obecnie technologie, mające służyć utrzymaniu bezpieczeństwa w sieci.

- Gdyby chcieć osiągnąć niemal idealny stan ochrony, w każdej firmie trzeba byłoby zwiększyć środki wydawane na ten cel średnio 13 razy do sumy 292,4 mln dolarów. Niestety w dzisiejszym świecie nie należy oczekiwać, że obrona może zapobiec wszystkim incydentom cybernetycznym. Nie zmienia to jednak faktu, że sektor finansowy powinien nadal rozwijać możliwości wykrywania zdarzeń w momencie ich wystąpienia, minimalizując ich wpływ na działalność biznesową i infrastrukturę krytyczną - tłumaczy Cezary Piekarski, starszy menedżer w Dziale Zarządzania Ryzykiem w Deloitte.

Nowy wymiar wojny

Piotr Niemczyk, były wiceszef Urzędu Ochrony Państwa, ostrzega, że lekceważenie zagrożenia cybernetycznego może skończyć się fatalnie. - Zamachem cyberterrorystycznym można już w tej chwili wyrządzić porównywalne szkody jak atakiem bombowym czy rakietowym - przekonuje i jako przykład podaje oprogramowanie Energetic Bear, które umożliwia hakerom monitorowanie w czasie rzeczywistym zużycia energii, a także umożliwia zdalne przejęcie kontroli nad turbinami wiatrowymi, gazociągami i siłowniami energetycznymi.

Eksperci firmy Symantec szacują, że robakiem zainfekowanych jest już ponad 1000 systemów komputerowych w 84 krajach. Wirus najbardziej aktywny jest w Hiszpanii, Stanach Zjednoczonych, we Francji, we Włoszech i w Niemczech.

Eksperci, którzy przeanalizowali drogę rozprzestrzeniania się wirusa w systemach przemysłowych, stwierdzili, że ci sami hakerzy włamali się do komputerów trzech czołowych producentów przemysłowych systemów kontrolnych i wprowadzili ten wirus do opracowanych przez te firmy aktualizacji ich oprogramowania.

Oznacza to, że zawirusowana najnowsza wersja oprogramowania była dystrybuowana przez firmy autorskie bezpośrednio do ich własnych klientów. Po zainstalowaniu taki system był zainfekowany także przez Energetic Bear.

Zdaniem Piotra Niemczyka, gdy Energetic Bear zostanie użyty, będziemy mieć do czynienia z nowym wymiarem wojny międzynarodowej. - Sam pomysł nie jest nowy. Trzeba pamiętać, że chyba najgłośniejszy, w tej chwili rozpoznany dobrze wirus, który służył paraliżowaniu systemów energetycznych, to słynny Stuxnet, który został wykorzystany w Iranie. Miał sparaliżować pewne kierunki prac w irańskim programie atomowym. Został implementowany w urządzeniach, w automatyce przemysłowej nie poprzez internet, tylko wczytanie tego wirusa na etapie produkcji - tłumaczy.

Energetic Bear jest bardziej niebezpieczny, bo może przechodzić przez systemy podłączone do internetu, omijając nawet najbardziej skuteczne zabezpieczenia. - Nie wymaga udziału programistów i hakerów w procesie wytwarzania oprogramowania czy automatyki przemysłowej. Wirus do urządzeń energetycznych może dotrzeć przez internet - ocenia ekspert.

Igor Lagenda

Miesięcznik Finansowy Bank
Dowiedz się więcej na temat: haker | cyberbezpieczeństwo | cyberprzestępczość | ABW
Reklama
Reklama
Reklama
Reklama
Finanse / Giełda / Podatki
Bądź na bieżąco!
Odblokuj reklamy i zyskaj nieograniczony dostęp do wszystkich treści w naszym serwisie.
Dzięki wyświetlanym reklamom korzystasz z naszego serwisu całkowicie bezpłatnie, a my możemy spełniać Twoje oczekiwania rozwijając się i poprawiając jakość naszych usług.
Odblokuj biznes.interia.pl lub zobacz instrukcję »
Nie, dziękuję. Wchodzę na Interię »