Rosyjscy hakerzy atakują przez okna
"Washington Post" poinformował, że rosyjscy hakerzy wykorzystując lukę w systemie Windows szpiegowali zagraniczne instytucje, w tym polską firmę energetyczną.
Amerykański dziennik powołuje się na raport firmy iSight Partners, która zajmuje się bezpieczeństwem cybernetycznym.
W dokumencie poinformowano, że grupa hakerów działa co najmniej od 2009 roku i od tego czasu szpiegowała m.in. instytucje NATO, ukraiński rząd, amerykańskie uniwersytety, jedną z agencji zachodnioeuropejskiego rządu i francuską firmę telekomunikacyjną. Cyberprzestępcy zaatakowali też jedną z polskich firm z branży energetycznej; jej nazwa nie została podana w artykule "WP".
Zapytany o informacje amerykańskiej gazety rzecznik prasowy największej grupy energetycznej w Polsce - PGE Maciej Szczepaniuk powiedział PAP, że spółka nie informuje o posiadanych zabezpieczeniach i nie komentuje sprawy.
Zespół prasowy największego producenta i dostawcy gazu w Polsce - Polskiego Górnictwa Naftowego i Gazownictwa poinformował, że w ostatnim czasie firma nie zanotowała żadnych prób cyberataku w stosunku do PGNiG. - Oczywiście nie wykluczamy, że w przeszłości takie nieskuteczne próby były podejmowane. W przypadku, gdyby takie incydenty miały miejsce, muszą być one monitorowane i zgłaszane odpowiednim instytucjom zgodnie z obowiązującymi procedurami - podał zespół.
Agencja Bezpieczeństwa Wewnętrznego nie odniosła się do informacji "Washington Post", ale przypomniała, że w ramach swoich zadań rozpoznaje różne rodzaje zagrożeń, w tym w cyberprzestrzeni, godzących w interesy państwa. - Z uwagi na niejawny charakter działań w tym zakresie informacje tego typu nie są podawane do publicznej wiadomości - zaznaczyło biuro prasowe ABW.
Agencja przypomniała, że Rządowy Zespół Reagowania na Incydenty Komputerowe CERT.GOV.PL "stale odnotowuje incydenty dotyczące systemów teleinformatycznych w cyberprzestrzeni RP", a informacje o nich umieszcza w dorocznych raportach.
- W przypadku zgłoszenia lub zaobserwowania przez Zespół CERT.GOV.PL zagrożeń w cyberprzestrzeni RP, w tym informacji dotyczących kampanii cyberszpiegowskich, podejmowane są działania w zakresie analizy zagrożeń w kierunku określenia ich skutków i potencjalnej skali oddziaływania, a także informowania zagrożonych podmiotów i instytucji - zapewniła Agencja Bezpieczeństwa Wewnętrznego.
Nieoficjalnie osoby z firm z sektora paliwowo-energetycznego, z którymi rozmawiała PAP potwierdzają, że co jakiś czas systemy informatyczne są atakowane przez hakerskie grupy. Celem najczęściej są systemy sterowania infrastrukturą, które mają najwyższą klasę zabezpieczeń, a nie dostęp do informacji o firmach.
Cytowany w artykule "Washington Post" dyrektor iSight Partners Stephen Ward powiedział, że "to jest jednoznacznie działalność szpiegowska. (...) Wszystko wskazuje, że te akcje przyniosły korzyść rosyjskim interesom".
Rosja w przeszłości zaprzeczała, że wspiera i czerpie korzyści z tego typu aktywności. Jednak przedstawiciele amerykańskiego wywiadu utrzymują, że możliwości rosyjskich hakerów są bardzo duże. - Możliwe, że ich aktywność się zwiększyła w związku z konfliktem na Ukrainie. Jednak jak intensyfikujesz swoje działania, rośnie też możliwość ich wykrycia - powiedział "WP" anonimowy pracownik amerykańskich służb specjalnych.
Firma iSight Partners zaczęła monitorować działalność grupy SandWorm (czerw - nawiązanie do powieści "Diuna" Franka Herberta) pod koniec 2013 roku. Analitycy firmy zaobserwowali, że cyberprzestępcy wykorzystują w swoich atakach błąd typu 0day. Tego typu błąd może wystąpić w każdym oprogramowaniu lub systemie operacyjnym. Zwyczajowo przyjmuje się, że w przypadku wykrycia tego błędu powiadamia się producenta oprogramowania czy systemu operacyjnego, aby dać mu czas na opublikowanie poprawek. Zdarza się jednak czasami, że informacja o błędzie nie jest w ogóle publikowana i producent dowiaduje się o niej dopiero wtedy, gdy jest ona wykorzystywana do ataków.
Według analityków iSight Partners grupa cyberprzestępców wykorzystała błąd typu 0day, na który podatne są wersje systemu operacyjnego Windows, od Vista Service Pack 2 po 8.1. Na ten błąd nie jest podatny system Windows XP.
Jak czytamy w raporcie firmy błąd jest poważny, bo wystarczy tylko otwarcie odpowiednio przygotowanego dokumentu na komputerze ofiary i atakujący może zainstalować złośliwe oprogramowanie. W raporcie podano, że do ataku wykorzystywany był dokument Powerpoint; jest to oprogramowanie firmy Microsoft, które pozwala przygotować prezentacje graficzne.
Microsoft przygotował już aktualizacje swojego oprogramowania blokujące możliwość ataku. Można je pobrać na stronie producenta oprogramowania.
Do tej pory nie wiadomo, jakie dane przejęli rosyjscy hakerzy. Firma ma w czwartek na konferencji w USA przekazać szczegóły dotyczące ataków.