font_preload
PL / EN
Cyberprzestrzeń 10 sierpnia, 2017 godz. 14:30   
REDAKCJA

Jakubski: Petya 2017 czyli kierunkowe ataki cybernetyczne

Cybersieć Internet

W wydanej w 1994 r. książce Information Warfare Winn Schwartau po raz pierwszy wprowadził pojęcie cyberterroryzmu i walki informacyjnej[i], którą definiował jako działania ukierunkowane na ochronę, wykorzystanie, uszkodzenie, zniszczenie informacji lub zasobów informacji albo też zaprzeczenie informacjom po to, aby osiągnąć znaczne korzyści, jakiś cel lub zwycięstwo nad przeciwnikiem – pisze na stronie fundacjapoint.pl, dr Krzysztof Jan Jakubski. 

Przełomem stały się także badania Rand Corporation[ii] zwracającej uwagę na to, że w wojnie informacyjnej jej uczestnicy wcale nie muszą być mocarstwami i dowolna jednostka (nawet nie państwo) jest w stanie unieruchomić sieci Stanów Zjednoczonych przy wykorzystaniu minimum wiedzy technologicznej. Wiele mówi się także o działaniach militarnych w cyberprzestrzeni, nazywanej kolejnym po lądzie, morzu, przestrzeni powietrznej i przestrzeni kosmicznej środowiskiem prowadzenia walki. Zarówno organizacje międzynarodowe, jak i państwa przyznają konieczność rozwijania zdolności obronnych w cyberprzestrzeni. Nie jest jednak tajemnicą, że niektóre kraje zdecydowały się również na rozwój zdolności ofensywnych – tworzą odpowiednie struktury w siłach zbrojnych[iii] i prowadzą badania nad nowymi rodzajami „cyberbroni”, budując w ten sposób własne zasoby odstraszania potencjalnych adwersarzy. Poza specjalnie wydzielonymi jednostkami działającymi w strukturach sił zbrojnych wybrane państwa korzystają również z usług płatnych ekspertów, którzy jako najemnicy lub członkowie „cybermilicji” realizują ofensywne i defensywne zadania w cyberprzestrzeni[iv]. Militaryzacja cyberprzestrzeni obejmuje również rozwój narzędzi służących walce w tym środowisku. Dotychczas wykorzystywano raczej „cywilne” środki, jednak podnoszenie zdolności obronnych doprowadziło do znacznego uodpornienia na konwencjonalne cyberataki i spowodowało wzrost nakładów na tworzenie „cyberbroni” wykorzystywanych przez państwa do prowadzenia kierunkowych ataków[v].

Jednocześnie postęp technologiczny zarówno w warstwie technicznej, jak i programowej, powoduje, że skala zagrożenia rośnie. Nie potrzeba już bowiem ogromnych nakładów finansowych ani lat studiów technicznych, aby ściągnąć pliki z innego komputera czy „podrzucić” złośliwy program nielubianemu sąsiadowi, zwłaszcza jeżeli zgłębi się zasoby sieciowe i z łatwością znajdzie tam wszystkie potrzebne do dokonania czynu narzędzia i informacje[vi].

Brak przewidywania oznacza cierpienie już teraz

Leonardo da Vinci (1452-1519)

Malware[vii] z grupy cyberweapons[viii] to najbardziej ciekawa grupa złośliwego oprogramowania. Pierwszym o którym świat usłyszał był Stuxnet, który powstał wg jednych źródeł przy współpracy NSA (Agencji Bezpieczeństwa Narodowego USA) oraz izraelskiej jednostki 8200 – to agencja wywiadu wojskowego odpowiedzialna za rozpoznanie łączności i łamanie szyfrów[ix], według innych jest wynikiem współpracy fińsko-chińskiej[x]. Jako pierwsza poinformowała o nim w połowie czerwca 2010 r. mało znana białoruska firma VirusBlokAda. Jednak głośno zrobiło się o nim miesiąc później, gdy Microsoft potwierdził, że skutecznie atakuje on systemy SCADA (Supervisory Control And Data Acquisition – zdalny nadzór i pozyskiwanie danych), wykorzystywane w przemyśle do kontrolowania linii produkcyjnych, elektrowni czy rurociągów. Kolejne tygodnie badań wykazały, że Stuxnet działa co najmniej od czerwca 2009 roku.
Jak twierdzi Symantec wirus poszukuje dwóch typów sterowników PLC firmy Siemens i zmienia parametry ich pracy tak, aby je uszkodzić. Plan w końcu się udał i kolejne wersje wirusa zatrzymały tysiące wirówek w elektrowni Natanz. Administracja Obamy szacowała, że dzięki atakom udało się powstrzymać irański program nuklearny na ok. 1,5 roku[xi]. Co ciekawe, brak zaawansowanych technik programistycznych w kodzie Stuxneta sprawia, że o jego stworzenie podejrzewany może być prawie każdy. Według ustaleń NY Times z 2016 r.[xii] wynika, że Stany Zjednoczone opracowały plan o nazwie Nitro Zeus na wypadek, gdyby nie udało się ograniczyć irańskiego programu nuklearnego drogą dyplomatyczną i na teren Iranu miały wkroczyć amerykańskie wojska.Początkowo myślano, że wykorzystuje on pojedynczą dziurę w Windows. Microsoft ją załatał, jednak wkrótce okazało się, że twórcy Stuxneta znali jeszcze inne luki i w sumie wykorzystywali cztery dziury. Historia tego malware jest jednak dłuższa i zaczyna się kilka lat wcześniej, kiedy USA zarekwirowało infrastrukturę elektrowni atomowej w Libii w 2003 roku. Wszystko po to, aby odbudować tę, która bazuje na tych samych komponentach i znajduje się w Natanz w Iranie. W ten sposób specjaliści poznali słabe punkty elektrowni i mogli stworzyć program, który zakłóci jej pracę. Chodziło o wyłączenie wirówek, których używa się do wzbogacania uranu. Cała operacja odbywała się pod kryptonimem “Olympic Game” i została zapoczątkowana jeszcze przez administrację Busha. Barack Obama postanowił ją nasilić, nawet po tym, jak Stuxnet zaczął rozprzestrzeniać się poza elektrownię Natanz i zaraził ok. 100 000 komputerów na świecie – najwięcej w Iranie.

Działania opracowane w ramach Nitro Zeusa miały polegać na jednoczesnym (i błyskawicznym) ataku komputerowym wymierzonym w sieci energetyczne, telekomy, zakłady zbrojeniowe i przemysłowe w Iranie, co miało sparaliżować kraj i sprawić aby nie był zdolny do walki (i ochrony przeciwlotniczej). Przez lata, w ramach operacji Nitro Zeus pracujący dla rządu USA hakerzy mieli włamywać się do najbardziej krytycznych sieci Iranu i korzystając z luk 0day umieszczać w nich backdoory[xiii], które mogłyby w przyszłości zostać wykorzystane do przejęcia kontroli lub sparaliżowania danego obiektu[xiv].

Kolejnym programem z grupy cyberweapons o którym wiemy jest Duqu[xv] odkryte 14 października 2011 r., jednak po przeszukaniu archiwów firm antywirusowych znaleziono jego próbki, które zostały skompilowane pod koniec roku 2010. Nazwa Duqu pochodzi od tworzonych przez niego plików z prefiksem ~DQ . W swoim raporcie Symantec podkreśla, że Duqu przypomina Stuxneta pod wieloma względami. Badacze twierdzą, że jeśli kod nie został napisany przez tych samych ludzi, to autorzy Duqu na pewno mieli dostęp do kodu źródłowego Stuxneta (ten nie został do tego czasu nigdzie opublikowany).

Oba malware korzystają z kilku niemal identycznych komponentów. Duqu, w przeciwieństwie do Stuxneta, nie niszczy sprzętu, nie rozmnaża się, jest po prostu nastawiony na zwykłe wykradanie informacji, z tym, że jego ofiary to komputery wykorzystywane w przemyśle. Ma moduł komunikacji z centrum zarządzania i kontroli (serwer C&C) oraz keylogger, który wykrywa znaki wpisane na klawiaturze, żeby odgadnąć hasła lub loginy. Może pełnić funkcję zarówno trojana – programu wykradającego dane – jak i malware’a destrukcyjnego. Można go jednak zdalnie przekonfigurować do nowych zadań, jeśli tylko istnieje możliwość połączenia z serwerem C&C. Najprawdopodobniej wykradane przez Duqu dane miały pomóc w przeprowadzaniu kolejnych, bardziej ukierunkowanych ataków. Duqu jest podpisany cyfrowo. Podaje się za firmę JMicron, ale korzysta ze skradzionych kluczy prywatnych należących do C-Media Electronics Incorporation. Poprawny certyfikat umożliwia mu instalacje jako sterownik jądra. Po 36 dniach Duqu odinstalowywuje się sam.

W 2012 r. ujawniono istnienie malware o wdzięcznej nazwie Flame (znanego także jako Worm.Win32.Flame, Flamer, sKyWIper)[xvi], który od pięciu lat penetrował komputery w Libanie, Iranie, Izraelu, Sudanie, Syrii, Arabii Saudyjskiej oraz Egipcie. Nie wiadomo kto go zbudował, ale wszystko wskazuje na to, że Stuxnet został złożony z fragmentów kodu Flame’a. Dodatkowo obie platformy (stuxnetowa i flame’owa) istniały i były rozwijane równolegle, a dzięki swojej modułowej budowie, kod z jednego projektu mógł przenikać do drugiego[xvii]. Zadaniem tego malware była kradzież informacji – przy czym spektrum możliwości tego malware jest imponujące[xviii]. Potrafi on zbierać informacje w każdej postaci i przekazywać je do serwera C&C.

Oprócz tradycyjnych metod jak nagrywanie naciskanych klawiszy, Flame wykonuje regularne zrzuty ekranu (co 60 sekund, jeśli nie dzieje się nic ciekawego i co 15 sekund, jeśli otwarte są okna klienta poczty lub komunikatorów). Posiada także moduł sniffera, umożliwiającego wychwytywanie haseł przesyłanych bez szyfrowania. Potrafi także nagrywać głos z mikrofonu, co umożliwia monitorowanie otoczenia i nagrywania np. rozmów przez Skype. Wśród rzadziej spotykanych funkcjonalności występuje także aktywne skanowanie otoczenia w poszukiwaniu urządzeń z włączonym interfejsem Bluetooth. Malware zbiera także wszelkie informacje o działających procesach, sterownikach, plikach i katalogach znajdujących się na zainfekowanym komputerze. Skanuje także dyski ofiary w poszukiwaniu konkretnych plików lub ich rodzajów. Wszystkie zebrane daje przechowuje w ogromnej, zaszyfrowanej bazie SQLite i okresowo przekazuje do serwera C&C.[xix]. Flame zainfekował ok. 5 000 komputerów – głównie należących do instytucji badawczych i firm komercyjnych. Flame nie wykrada danych związanych z finansami, co sugeruje iż osoby, które za Flame stoją mają cele inne niż okradanie kont bankowych[xx]. Eksperci ds. kryptografii zgodnie twierdzą, że sposób w jaki robak Flame przeprowadził nieznany do tej pory atak kolizji na funkcje skrótu MD5 wskazuje iż za ten fragment kodu odpowiadają naukowcy o światowej renomie[xxi].

Bliski Wschód był kilkakrotnie obiektem cyber-ataków kierunkowych. Na początku 2012 r. izraelska firma Seculert odkryła malware nazwane Mahdi, ponieważ taką nazwę nosi jeden z plików, tworzonych w trakcie infekcji. Analiza prowadzona wspólnie z firmą Kaspersky Lab[xxii] wykazała, że prawdopodobnie nie ma bezpośredniego związku między twórcami Flame’a, Stuxnetu i Duqu a autorami Mahdi. Mahdi ma znacznie prostszą konstrukcję, używa perskiego kalendarza oraz zawiera liczne ślady języka farsi. Funkcjonalnością jednak ustępuje im tylko nieznacznie: kradnie poufne pliki z zainfekowanych komputerów działających pod kontrolą systemu Windows, monitoruje poufną komunikację przesyłaną za pośrednictwem poczty e-mail i komunikatorów internetowych, nagrywa dźwięk, rejestruje uderzenia klawiszy oraz wykonuje zrzuty ekranu ofiary[xxiii].

Kolejnym malware, o którym należy tu wspomnieć jest Gauss, który dołączył do tria Stuxnet, Flame i Duqu, tworząc wraz z nimi kwartet, który dokonał skutecznej inwazji na cyber-ziemie Bliskiego Wschodu. Szkodnik ten został stworzony prawdopodobnie w połowie 2011 r., a po raz pierwszy użyto go między sierpniem a wrześniem 2011 r., a wykryty rok później przypadkowo, podczas analiz sytuacji po ataku Flame. Gauss to złożony zestaw narzędzi cyberszpiegowskich stworzony przez te same osoby, które stoją za platformą szkodliwego oprogramowania Flame.

Jest on wysoce modułowy i obsługuje nowe funkcje, które mogą być zaimplementowane zdalnie przez operatorów w postaci wtyczek, których zadaniem jest przechwytywanie ciasteczek i haseł w przeglądarkach, gromadzenie i wysyłanie danych dotyczących konfiguracji systemu do osób atakujących, infekowanie urządzeń USB modułem kradzieży danych, tworzenie listy zawartości dysków systemowych oraz folderów, kradzież danych uwierzytelniających dla różnych systemów bankowych na Bliskim Wschodzie, kradzież informacji dotyczących kont na portalach społecznościowych, poczty e-mail oraz kont komunikatorów internetowych. Moduły posiadają nazwy wewnętrzne, które wydają się być hołdem dla znanych matematyków i filozofów, takich jak Kurt Godel, Johann Carl Friedrich Gauss czy Joseph-Louis Lagrange. Moduł o nazwie “Gauss” był najważniejszym modułem szkodnika, ponieważ implementuje funkcje kradzieży danych i z tego powodu cały zestaw szkodliwych narzędzi otrzymał taką nazwę[xxiv]. Powszechnie uznaje się, że Gauss to, podobnie jak Stuxnet, Duqu i Flame, określany jako „state sponsored”, czyli, że w jego przygotowanie zaangażowane były służby niektórych państw. Najbardziej podejrzani to duet Stany Zjednoczone – Izrael. Powiązania technologiczne z innymi cyberweapons wskazują na taką możliwość. Z drugiej strony pojawienie się takiej funkcji jak moduł odpowiadający za atak na klientów kilku banków, jest zupełnie niespójny z celami ataków sponsorowanych przez państwo[xxv]. Dlatego niektórzy komentatorzy wskazują na możliwość innego źródła tego ataku. Na przykład Stephen Bryen z portalu technologysecurity.wordpress.com spekuluje, czy Gauss nie jest dziełem autorów rosyjskich. Wątek ataku bankowego oraz zaangażowanie w analizę firmy Kaspersky Lab, przez niektórych postrzeganą jako mającą bardzo dobre relacje z administracją na Kremlu, traktuje jako argumenty przemawiające za taką teorią[xxvi].

W Europie wykryto kilkakrotnie użycie malware z grupy cyberweapons, głównie o charakterze szpiegowskim. Od 2008 roku niemieckie prawo dopuszcza nieautoryzowaną instalację oprogramowania komputerowego przez organa ścigania na urządzeniach podejrzanych w celu monitoringu ich komputerowej aktywności. Korzystają one z malware FinFisher[xxvii] i rządowego trojana, któremu przypisano nazwy 0zapftis i R2D2 potrafiącego wykonywać regularne zrzuty ekranu (aktywego okna), zapisywać wciśnięte klawisze (keylogger), nagrywać rozmowy na Skype i wysyłać zebrane przez siebie dane na policyjne serwery. Trojan posiada także możliwość zdalnej instalacji dodatkowego oprogramowania[xxviii].

Remote Control System to flagowy produkt włoskiej firmy Hacking Team[xxix], który przeznaczony jest dla agencji i służb rządowych, a służy do zdalnego wydobywania wrażliwych oraz istotnych danych dla “potrzeb rządowych”. RCS potrafi m.in. nagrywać rozmowy Skype, przechwytywać i gromadzić korespondencję mailową, przechwycić hasła i loginy wpisywane w przeglądarce internetowej, podglądać obraz video (np. z kamerki) albo podsłuchiwać audio (z mikrofonu), zdobyte dane skopiować na dysk i przetrzymywać na komputerze ofiary. Dane, które zbiera RCS są w bardzo interesujący sposób wyprowadzane z zainfekowanych komputerów. RCS stosuje technikę “proxy-chaining” oraz sieć TOR, co pozwala mu wyprowadzić dane z komputera ofiary do serwera kontrolowanego przez instytucję rządową w sposób “zaciemniony”. Sieć serwerów proxy utrudnia znacząco namierzenie skąd pochodzą i dokąd kierowane są wykradzione dane[xxx].  Na liście klientów tej firmy znajdują się instytucje rządowe z niemal całego świata, w tym Polski[xxxi].

W październiku 2012 Kaspersky Lab został poproszony o analizę serii ataków na sieci komputerowe organizacji dyplomatycznych. Badanie wykazało, że incydenty te stanowiły część zorganizowanej i zakrojonej na szeroką skalę akcji infiltracji systemów należących do rządów, organizacji międzynarodowych i laboratoriów badawczych w krajach Europy Środkowo-Wschodniej, byłych republik Związku Radzieckiego oraz państw Azji Środkowej. Autorzy ataków koncentrowali się na zbieraniu informacji zarówno z komputerów,  jak i urządzeń mobilnych oraz sieciowych. Daty rejestracji domen, używanych jako adresy C&C oraz sygnatury plików binarnych o unikalnych nazwach wskazują, że operacja mogła trwać nawet od 2007 roku. Kaspersky Lab znalazł i potwierdził ślady ataków, które miały miejsce od maja 2010 do października 2012 r. Ataki, analizowane przez Kaspersky’ego, różnią się w istotny sposób od pozostałych tego typu zagrożeń. Flame, Gauss czy Duqu miały pewne cechy wspólne, których nie wykryto w przypadku nowego malware nazwanego Czerwony Październik (Red October).

Po pierwsze, serwery C&C zostały skonfigurowane tak, by tworząc cały łańcuch połączeń ukryć główny serwer zarządzający.

Po drugie, przestępcy zastosowali oryginalną metodę ponownej infekcji w przypadku usunięcia ich wirusa.

Po trzecie, narzędzia używane we wcześniejszych atakach nie potrafiły pobierać danych ze smartfonów czy ruterów.

Po czwarte, ślady odnalezione w kodzie wskazują, że autorzy oprogramowania posługiwali się językiem rosyjskim.

Po piąte, w części ataków wykorzystano chińskie exploity, którym tylko podmieniono pliki binarne.

Malware posiadało między innymi moduł wykrywający połączenie komputera ze smartfonem. W razie podłączenia telefonu, kopiowało z niego wszystkie dostępne informacje takie jak kontakty, listy połączeń czy kalendarz. Potrafiło także odzyskiwać usunięte pliki z podłączanych napędów USB. Co ciekawe, wśród danych, które wyszukiwało na dyskach zainfekowanych komputerów, oprócz klasycznego zestawu plików .doc, .xls czy .pdf znajdowały się także pliki z rozszerzeniami acidcsa, acidsca, aciddsk, acidpvr, acidppr,  oraz acidssa – są to pliki tworzone przez program szyfrujący Acid Cryptofiler, używany między innymi przez instytucje takie jak Unia Europejska czy NATO[xxxii].

Cyberprzestrzeń Ukrainy jest obiektem kierunkowych ataków od dawna. Ich nasilenie nastąpiło po aneksji Krymu przez Rosję  oraz rozpoczęciu konfliktu w Donbasie. Można by rzec, iż Ukraina stała się poligonem doświadczalnym dla niemal wszystkich, najprawdopodobniej rosyjskich, grup hakerskich. Nie sposób tu wymienić i opisać wszystkie te przypadki, kilka z nich jednak wymagają uwagi.

Rodzina złośliwych programów BlackEnergy miała w swojej historii wiele celów, w tym ataków DDoS, dystrybucji spamu i oszustw bankowych. Początkowo uważana za stosunkowo prosty trojan DDoS, przekształciła się w wyrafinowany fragment złośliwego oprogramowania z modułową architekturą, co czyni ją odpowiednim narzędziem do wysyłania spamu i oszustw bankowych online, a także do kierowania atakami. Około 90% ofiar tej rodziny znajduje się na Ukrainie i w Polsce, obejmuje wiele organizacji państwowych i różne przedsięwzięcia. Prowadzone kampanie rozpowszechniające wykorzystywały techniczne metody infekcji poprzez wykorzystywanie luk w zabezpieczeniach oprogramowania, socjotechnikę wykorzystującą e-maile zarażone malware lub różnego rodzaju przynęty zachęcające do uruchomienia malware albo kombinację obu tych metod[xxxiii].

Modyfikacja BlackEnergy z 2014 r. połączona była z exploitem niszczącym aplikację firmy GE Digital, funkcjonującą jako panel operatorski, umożliwiający monitorowanie i sterowanie urządzeniami i procesami. W dniu 23 grudniu 2015 r. zmodyfikowany BlackEnergy (uzupełniony o moduł niszczący zapisy dysku twardego, oparty na wirusie Trojan.Win32.KillDisk.f[xxxiv]) zaatakował ukraiński system energetyczny, w wyniku którego połowa domów w Iwano-Frankowsku (około 1,4 mln mieszkańców) zostało pozbawionych energii elektrycznej na kilka godzin[xxxv]. Telemetria firmy ESET[xxxvi] potwierdziła także jednoczesny atak na inne firmy energetyczne na Ukrainie[xxxvii]. Atak na ukraińskie systemy energetyczne został powtórzony  w dniu 19 stycznia 2016 r.[xxxviii] Z BlackEnergy wielu badaczy[xxxix] łączy zdarzenie z maja 2017 r., kiedy nastąpił atak ransomware[xl] WannaCry (znanego również jako WannaCrypt lub WanaCrypt0r 2.0), w wyniku którego zarażonych zostało ponad 300 tys. komputerów w 115 krajach. Przestępcy żądali zapłaty w 28 językach (w tym polskim) [xli].

WannaCry wykorzystuje exploit o nazwie EternalBlue, który rzekomo został zaprojektowany w amerykańskiej agencji bezpieczeństwa narodowego w celu atakowania komputerów z systemem Windows[xlii]. Według danych Europolu był to największy atak tego rodzaju w ostatnim czasie[xliii], na liście poszkodowanych znajdują się brytyjskie szpitale (48 z 248 związków NHS), rosyjskie i chińskie ministerstwa, firmy telekomunikacyjne (rosyjski Megafon, hiszpańska Telefonica, Portugal Telecom), uczelnie, producenci samochodów (Renault, Nissan) a także przewoźnicy i kurierzy (Frankfurt Sbahn, Deutsche Bahn, Fedex)[xliv]. Rozprzestrzenianie programu WannaCry powstrzymał 12 maja 2017 r. – przynajmniej na jakiś czas – pewien 22-latek z południowo-wschodniej Anglii – Marcus Hutchins. Malware łączyło się z niezarejestrowaną domeną, Hutchins postanowił sprawdzić, co się stanie, gdy zarejestruje domenę. Okazało się, że w ten sposób uruchomił ukryty “mechanizm” zatrzymujący infekowanie[xlv]. Pierwszym znanym ransomware był „AIDS” (znany również jako „PC Cyborg”), napisany w 1989 przez Josepha Popp’a. Jego zawartość była odpowiedzialna za ukrywanie plików na dysku i szyfrowanie ich nazw, a także wyświetlała informację iż licencja użytkownika na korzystanie z konkretnych plików wygasła. Ofiara była proszona o dokonanie wpłaty w wysokości 189$ na konto „PC Cyborg Corporation” w celu uzyskania programu do usunięcia malware. Popp został uznany za niepoczytalnego, przez co uniknął procesu, lecz obiecał iż cały zysk w wyniku działania malware przeznaczy na badania nad lekarstwem przeciw AIDS[xlvi].

Pomysł na używanie kryptografii klucza publicznego do takich ataków został wprowadzony w 1996 roku przez Adama L. Young i Moti Yung. Pokazali oni że trojan AIDS był nieskuteczny ze względu na korzystanie z algorytmu symetrycznego, ponieważ klucz deszyfrujący mógł zostać wydobyty z kodu źródłowego malware i wdrożyli eksperymentalny wirus szyfrujący na Macintoshu SE/30, który używał algorytmów RSA oraz TEA do hybrydowego szyfrowania danych ofiary. Ten kryptowirus, stworzony w 1995 i opisany w dokumencie IEEE S & P w roku 1996 sprawiał, iż ofiara wysyłała asymetryczny szyfrogram do atakującego, który go rozszyfrowywał i w zamian za opłatę zwracał jej symetryczny klucz deszyfrujący[xlvii]. Do połowy 2006 roku trojany takie jak Gpcode, TROJ.RANSOM.A, Archiveus, Krotten, Cryzip, oraz majArchive zaczęły wykorzystywać bardziej wyrafinowane algorytmy szyfrujące RSA, z kluczami o coraz większej długości. Gpcode.AG, wykryty w czerwcu 2006, był zaszyfrowany kluczem publicznym RSA o długości 660 bitów[xlviii].

W czerwcu 2008, wykryto wariant znany jako Gpcode.AK. Korzystając z 1024-bitowego klucza RSA, sądzono iż był on wystarczająco duży, że w celu jego złamania konieczne było wykonanie odpowiednich obliczeń rozproszonych[xlix]. Szyfrujące ransomware zaatakowało ponownie pod koniec 2013 roku wraz z rozprzestrzenianiem się CryptoLocker’a, wykorzystującego platformę waluty cyfrowej Bitcoin do pozyskiwania okupu. W grudniu 2013 r., portal ZDNet.com przeanalizował informacje o transakcjach przeprowadzonych w walucie Bitcoin pomiędzy 15 października a 18 grudnia i oszacował, iż twórcy Cryptolocker’a otrzymali ok. 27 milionów dolarów od zainfekowanych użytkowników[l]. CryptoLocker, który generował 2048-bitową parę kluczy RSA, wysyłał je na serwer i używał ich w celu szyfrowania plików za pomocą białej listy konkretnych rozszerzeń plików. Oprogramowanie to „groziło” usunięciem klucza prywatnego, jeżeli płatność w postaci bitcoinów lub vouchera nie zostanie dokonana w ciągu 3 dni od zainfekowania komputera. Ponieważ ransomware używał długiego klucza, analitycy oraz ofiary uznali CryptoLockera za malware bardzo trudne do pokonania. Nawet po upłynięciu terminu “ultimatum” uzyskanie klucza prywatnego w dalszym ciągu było możliwe za pomocą narzędzia dostępnego online, lecz wówczas cena wzrastała do 10 BTC – co w listopadzie 2013 roku dawało równowartość ok. 2300 dolarów amerykańskich[li]. CryptoLocker został wyizolowany w wyniku działania botneta „Gameover ZeuS” w ramach Operacji Tovar, co zostało oficjalnie ogłoszone przez Departament Sprawiedliwości Stanów Zjednoczonych w dniu 2 czerwca 2014 r. Departament ponadto publicznie oskarżył rosyjskiego hakera Jewgienija Bogaczewa o udział w tworzeniu botneta[lii].

Firma ESET działania na Ukrainie w latach 2015-2016 przypisuje rosyjskiej grupie hakerskiej TeleBots, która przekształciła się z grupy BlackEnergy i zawsze używała szkodliwego oprogramowania KillDisk do nadpisania plików z określonymi rozszerzeniami plików na dyskach ofiar. Uzyskali dostęp do wewnętrznych sieci kilku instytucji finansowych, choć ich celem były także systemy komputerowe określane jako infrastruktura krytyczna[liii]. Firma Kaspersky Lab łączy ataki na ukraińskie systemy bankowe z grupą Lazarus[liv], której początki sięgają roku 2009, a ich aktywność wzrosła od 2011 roku. Grupa wykorzystywała wiele rodzin złośliwego oprogramowania w ciągu kilku lat, a od 2016 r. słynie z ataków na systemy bankowe. Lazarusa oskarża się także o zainfekowanie systemów malware WannaCry. Grupa zaczyna pracować około północy (00:00 GMT) i ma przerwy na lunch około 3:00 czasu GMT. Biorąc pod uwagę zwykłe godziny pracy oznacza to, że napastnicy prawdopodobnie znajdują się w strefie czasowej GMT + 8 lub GMT + 9. Grupie tej przypisywane są między innymi ataki na Sony Pictures[lv], udaną kradzież ponad 80 milionów dolarów z banku w Bangladeszu[lvi] oraz atak na polski system bankowy za pośrednictwem stron KNF[lvii]. Analitycy kilku firm badających te sprawy twierdzą, że grupa Lazarus związana jest z rządem Korei Północnej, próbującym rozpaczliwie zdobyć pieniądze.

W dniu 27 czerwca 2017 r. w ukraińskiej sieci komputerowej nastąpił atak malware Petya’2017 (nazywanego też NotPetya, SortofPetya, ExPetr, NotPetya, Nyetya, Diskcoder.C, PetrWrap). Pierwsze informacje wskazywały na to, że jest to kolejny atak ransomware, ale dość szybko okazało się, że malware szyfrowało dyski w sposób nieodwracalny. Już na wstępie analizy tego zderzenia, trzeba obiektywnie przyznać, że atak został bardzo precyzyjnie zaplanowany i zrealizowany. Ukraińskie firmy, których komputery padły ofiarą Petya’2017, zainfekowane zostały poprzez złośliwą aktualizację oprogramowania MEDoc, służącego do prowadzenia ewidencji finansowej i rozliczania podatków na Ukrainie. ESET przeanalizował wszystkie pliki serwowane w roku 2017 i odkrył, że przynajmniej trzy z dystrybuowanych aktualizacji posiadały dodatkowy, sprytnie ukryty kod, działający jako specjalnie w tym celu skonstruowana tylna furtka (backdoor)[lviii]. Chodzi o wersje 01.175-10.01.176 – wydaną 14. kwietnia 2017, 01.180-10.01.181 –wydaną 15. maja 2017 i 01.188-10.01.189 wydaną 22 czerwca 2017.

Co ciekawe nie każda aktualizacja posiadała tego backdoora – cztery aktualizacje między 24 kwietnia a 10 maja był czyste, podobnie jak siedem aktualizacji wydanych pomiędzy 17 maja a 21 czerwca. Tylna furtka umieszczona była w module o nazwie ZvitPublishedObjects.dll, napisanym we frameworku .NET. Plik o rozmiarze 5MB zawierał sporo kodu, głównie potrzebnego do faktycznego działania aplikacji, w tym główny plik wykonywalny ezvit.exe. Badacze uważają, że konstrukcja pliku wskazuje na dostęp autorów tylnej furtki do kodu źródłowego aplikacji MEDoc. Jakie funkcje miał backdoor? Każda firma działająca na Ukrainie posiada tzw. numer EDRPOU (Код ЄДРПОУ) – odpowiednik naszego KRS połączonego z REGON-em. Tylna furtka pobierała listę obsługiwanych numerów EDRPOU (jedna instancja aplikacji mogła obsługiwać więcej niż jeden podmiot) i przesyłała go na serwer C&C. Dzięki temu autorzy backdoora mogli w publicznym rejestrze łatwo sprawdzić, jaką konkretnie firmę udało im się zainfekować. Dodatkowo backdoor zbierał także ustawienia serwera proxy oraz kont pocztowych używanych w aplikacji MEDoc. Komunikacja z serwerem C&C była perfekcyjnie ukryta, ponieważ serwerem C&C był serwer aktualizacji MEDoc. Informacje przesyłane były w wyglądających całkiem zwyczajnie żądaniach weryfikujących dostępność aktualizacji (w logach wyglądały jak zawsze), które wzbogacone były plikami cookie z wykradanymi danymi. Serwer aktualizacji MEDoc mógł także w odpowiedzi wysłać polecenia do zainfekowanego klienta. Był to plik XML, spakowany gzipem i zaszyfrowany algorytmem Triple DES[lix].

Z dużym prawdopodobieństwem można stwierdzić, że napastnicy mieli dostęp do kodu źródłowego aplikacji MEDoc i faktyczną ocenę ich działania poznamy po kryminalistycznych badaniach serwerów przez ukraiński Departament Cyberpolicji (Департамент кіберполіції Національної поліції України)[lx], a operator serwerowni, w której hostowane były serwery M.E.Doc, czyli firma WNet I.S.P., oskarżany jest o przekierowanie ruchu na infrastrukturę kontrolowaną przez rosyjskie służby specjalne[lxi]. Atakujący zanim zdecydował się na uruchomienie modułu sabotażowego z całą pewnością wcześniej przez pewien okres analizował informacje z zainfekowanych systemów. Celowość i kierunkowość ataku potwierdza także to, że część użytkowników korzystających z aplikacji MEDoc. poza malware Diskcoder.C dodatkowo została zainfekowana malware FakeCry[lxii]. I choć atak wymierzony był głównie w firmy i instytucje ukraińskie (zainfekowanych zostało kilkanaście tysięcy komputerów, wśród nich systemy bankowe i telekomunikacyjne Ukrainy, poważnie utrudniając pracę największego lotniska w kraju, metra w Kijowie oraz systemy komputerowe zakładów energetycznych i ciepłowniczych, a także komputery w siedzibie Rady Ministrów w Kijowie oraz producenta samolotów Antonov), to poszkodowanymi zostały także firmy w innych krajach, które prowadziły działalność gospodarczą na terenie Ukrainy – wg Microsoftu[lxiii] ślady malware znaleziono w 64 krajach (wśród poszkodowanych były tak wielkie firmy jak m.in. duńska firma logistyczna Maersk, rosyjski potentat paliwowy Rosneft, największy producent leków w Stanach Zjednoczonych Merck, jedna z największych światowych firm kurierskich TNT Express, międzynarodowa firma prawnicza DLA Piper, w Polsce ofiarami zostały firmy Raben, InterCars, Saint – Gobain, Kronospan, Mondelez oraz oddziały wymienionych wcześniej firm zagranicznych).

Sztuka wojny uczy nas: nie miejmy nadziei, że wróg nie nadejdzie, lecz polegajmy na naszej własnej gotowości zmierzenia się z nim; nie spodziewajmy się, że nas nie zaatakuje, polegajmy raczej na niedostępności naszych pozycji

Sun Zi [Tzu] (孫武) (544 p.n.e.- 496 p.n.e.)
Sztuka wojny (chiń. 孫子兵法, pinyin Sūnzĭ Bīngfǎ)

Stworzenie niezawodnego i skutecznego systemu bezpieczeństwa nie jest łatwe we współczesnym świecie. Liczba potencjalnych słabych punktów sprawia, że wykrywanie nowych dziur w zabezpieczeniu systemów informatycznych i łatanie ich to niekończący się proces. W miejsce starych technologii pojawiają się nowe, które mają rozwiązać istniejące problemy – jednak nowe technologie również obarczone są wadami. Jak sama definicja wskazuje, programiści, sprzedawcy oprogramowania antywirusowego i użytkownicy nie wiedzą nic o lukach zero-day, więc są one po cichu wykorzystywane przez hakerów, którzy je wykryli. Wśród wytycznych bezpieczeństwa teleinformatycznego (ang. white hat) zwyczajem przyjętym w przypadku odkrycia nowej dziury jest powiadomienie producenta oprogramowania lub systemu operacyjnego i danie mu czasu na publikację poprawki (ang. responsible disclosure). Producenci mają wówczas czas na usunięcie luk, zanim zaczną one być wykorzystywane. Tajemnicą poliszynela jest jednak to, że aktorzy cyberwojny starają się uniknąć przekazywania tych informacji, o czym świadczą cytowane tym tekście informacje o exploitach wykorzystujących 0day wykradzionych z NSA. Pamiętam także słowa jednego  ze znanych mi specjalistów jednej ze służb, który po publikacji w czeskim czasopiśmie informacji o wykryciu luki w jednym z programów służących do szyfrowania wiadomości w sieci, stwierdził „no skończyły się dobre czasy, teraz trzeba będzie się znowu kryptologów zagonić do roboty, bo my tą lukę znaliśmy już od dwóch lat”.

Nie da się także ukryć tego, że większość obecnie używanego malware z grupy cyberweapons to bardzo złożone, modułowe programy. Wypracowanie nowych metod rozprzestrzeniania się złośliwego kodu oraz wypracowania zasad nie rozpoznawania ich przez antywirusy posiadające heurystyczne algorytmy śledzące schematy behawioralne, wykrywające podejrzane lub szkodliwe zachowania, to praca dla dużego zespołu doskonale przygotowanych informatyków i kryptologów, którzy obmyślają nowe sposoby ataków od strony matematycznej. Działanie takiego zespołu ludzi jest raczej trudne, bez współpracy z własnymi służbami specjalnymi. I nie ukrywajmy także faktu, iż mimo współpracy w ramach chociażby tego samego paktu wojskowego, w tym zakresie na pełną wymianę informacji między służbami nie ma co liczyć. Z tego też powodu bardzo trudne jest wyraźne wskazanie, kto z reguły stoi za cyberatakiem.

Niepokoić może w Polsce kwestia informowania o zdarzeniach. NIK doliczyła się w sieciach przedsiębiorców telekomunikacyjnych 45 milionów incydentów stanowiących zagrożenie, z czego do Urzędu Komunikacji Elektronicznej zawiadomienie dotyczące takich przypadków – pomimo obowiązku zgłaszania – wpłynęło zaledwie pięć razy[lxiv]! Należy wyraźnie zaznaczyć, że bez odpowiedniej statystyki nie ma wiedzy i nie można robić badań. Nie można prowadzić racjonalnej analizy ryzyka. O kwestiach statystyki zdarzeń pisałem analizując Strategię Cyberbezpieczeństwa RP[lxv].

W kwestii tempa reagowania na incydenty instytucje państwowe mogą jeszcze sporo poprawić. Do ataku WannaCry doszło w piątek 12 maja 2017 r. i choć infekował komputery na całym świecie od samego rana, to eksperci poza Hiszpanią i Wielką Brytanią zdali sobie sprawę ze skali ataku dopiero około godziny 15. Do wieczora o ataku wiedział już cały świat bezpieczeństwa IT i informacja zaczęła pojawiać się w mediach. Zanim ktokolwiek obudził się w instytucjach do tego powołanych, problem zasygnalizował Sekurak (12.05.2017 17:40 w piątek)[lxvi], tego samego dnia o godzinie 21:09 udało się temat opisać dość szeroko przez Zaufaną Trzecią Stronę[lxvii], a dwa dni później dołączył także Niebezpiecznik[lxviii]. Natomiast w sobotę, 13 maja 2017 r. , komunikat wydał rzecznik prasowy Ministra Koordynatora Służb: “Znajdujący się w gestii ABW Cert.gov.pl nie odnotował żadnych poważnych incydentów związanych z atakami hakerskimi w ostatnim czasie. Również NASK zajmujący się cyberbezpieczeństwem prywatnych podmiotów nie zgłasza sygnałów o incydentach. Duży atak hakerski, który miał miejsce na skalę światową, nie dotyczy Polski[lxix]. Jednakże 15 maja po południu zespół CERT Polska opublikował bardzo sensowny i merytoryczny artykuł[lxx] na temat zagrożenia WannaCry wskazując na ponad tysiąc potencjalnych infekcji polskich adresów IP (w momencie pisania tego artykułu liczba ta wzrosła podobno do ok. 4000)[lxxi]. Podobne w tonie były informacje po ataku Petya’2017, kiedy – co prawda – zwołano następnego dnia po ataku Rządowy Zespół Zarządzania Kryzysowego, lecz stwierdzenie w przekazach medialnych po tym posiedzeniu, że „nie odnotowano ataków na instytucje państwowe, natomiast odnotowano kilka ataków na instytucje prywatne i komercyjne” mnie jakoś nie uspokoiło. Ale i tak to znaczny postęp w działaniu, po przecież po ataku na polskie banki za pośrednictwem witryny internetowej Komisji Nadzoru Finansowego komunikatu nie było w ogóle.

Koszty strat jakie poniosła Ukraina oraz przedsiębiorstwa międzynarodowe będące wynikiem działania Petya’2017 są ogromne. Dlatego na koniec warto jest przypomnieć słowa Johna Fitzgeralda Kennedy’ego Jedyną rzeczą, która kosztuje drożej niż informacja, jest ludzka ignorancja.

dr Krzysztof Jan Jakubski

Przypisy

[i] W. Schwartau, Information  Warfare: Chaos on the Electronic Superhighway, Thunder’s MouthPress, New York 1994;
[ii]  Amerykański think tank i organizacja badawcza non-profit, pierwotnie sformowana dla potrzeb Sił Zbrojnych Stanów Zjednoczonych. Założona 14 maja 1948 roku w Santa Monica w Kalifornii. Obecnie RAND posiada około 1600 pracowników w sześciu siedzibach – trzech w USA: Santa Monica w Kalifornii, Arlington w Wirginii i Pittsburghu (Pensylwania), oraz trzech w Europie: Lejdzie w Holandii, Berlinie i brytyjskim Cambridge. Zdaniem niektórych nazwa RAND jest skrótowcem od Research ANd Development (badania i rozwój). Korporacja RAND jest znana z dużego wkładu w naukę, zwłaszcza w metody ilościowe, na polu m.in. badań operacyjnych, rozwoju badań nad sztuczną inteligencją czy Internetu. Obecnie RAND prowadzi badania na tak różnych polach jak obronność i terroryzm, stosunki międzynarodowe, edukacja czy zdrowie publiczne.
[iii] Przykładowo Chiny w 2011 r. potwierdziły istnienie 30 osobowej jednostki komandosów – hackerów o nazwie Blue Army. Hackerzy działają na zlecenie chińskiego rządu, a z oświadczenia wynika, że ma to być defensywa, a nie ofensywa – L. Lewis, China’s Blue Army of 30 computer experts could deploy cyber warfare on foreign powers, The Weekend Australian, 27.05.2011, http://www.theaustralian.com.au/business/technology/chinas-blue-army-could-conduct-cyber-warfare-on-foreign-powers/news-story/5ebbec95bc758f8f214328d71a42ee5b (dostęp 01.07.2017), natomiast Niemcy przyznały, że mają  od 2006 r. swoją militarną jednostkę zajmującą się tzw. ofensywnym bezpieczeństwem sieci komputerowych która korzysta z tzw. “cyber-broni” – J.E. Dunn, Germany readying offensive cyberwarfare unit, parliament told, Techworld, 07.06.2012, http://www.techworld.com/news/security/germany-readying-offensive-cyberwarfare-unit-parliament-told-3362466 (dostęp 10.07.2017),; zdaniem indyjskich ekspertów zdolności komórek cyber-szpiegowskich Ludowej Armii Wyzwoleńczej Chin, w 2030 roku będą umożliwiały atak na Indie dezorganizujący ich siły obronne – Will China unleash Cyberwarfare against India?, Indian Defence Research Wing, 8.07.2017, http://idrw.org/will-china-unleash-cyberwarfare-against-india (dostęp 10.07.2017)
[iv] Przykładowo w 2015 r. na corocznej konferencji Kaspersky’ego w Cancun firma ujawniła grupę włamywaczy działających od kilkunastu lat i wykazujących bardzo wysoki poziom zaawansowania technicznego, wskazujący na NSA (Agencji Bezpieczeństwa Narodowego USA). Analiza ujawnionych informacji pozwala na dość precyzyjne dopasowanie poszczególnych elementów oprogramowania zidentyfikowanego przez Kaspersky’ego do programów NSA opisanych w dokumentach wykradzionych przez Snowdena. W jednym z przypadków nazwa kodowa projektu NSA GROK znalazła się również w kodzie programu odpowiadającego jej opisowi. Nazwana przez Kaspersky’ego Equation Group działała praktycznie niezauważona od co najmniej 2001 roku i ma również wyraźne powiązania ze Stuxnetem i Flame.-  Kaspersky ujawnia konie trojańskie używane przez amerykański wywiad, Zaufana Trzecia Strona, 16.02.2015, https://zaufanatrzeciastrona.pl/post/kaspersky-ujawnia-konie-trojanskie-uzywane-przez-amerykanski-wywiad (dostęp 10.07.2017)
[v]  M. Grzelak, K. Liedel, Bezpieczeństwo w cyberprzestrzeni. Zagrożenia i wyzwania dla Polski – zarys problemu, „Bezpieczeństwo Narodowe”, nr 22, II – 2012, s. 128. Por. także – J. Menn, Special Report: U.S. cyberwar strategy stokes fear of blowback, Reuters, 10.05.2013, http://www.reuters.com/article/us-usa-cyberweapons-specialreport-idUSBRE9490EL20130510?irpc=932 (dostęp 01.07.2017)
[vi] Por. K.M. Mazur, Polskojęzyczna społeczność przestępczość zorganizowana w sieci DARKNET, ICTLAW.pl, Poznań 2016
[vii] Złośliwe oprogramowanie (z ang. malware – zbitka wyrazowa powstała ze słów malicious “złowrogi, złośliwy” i software “oprogramowanie” ) – wszelkie aplikacje, exploity (program mający na celu wykorzystanie błędów w oprogramowaniu), skrypty itp. mające szkodliwe, przestępcze, groźne lub destrukcyjne działanie w stosunku do użytkownika komputera. W polskiej literaturze informatycznej spotyka się również określenie szkodliwe oprogramowanie, a w opracowaniach popularnych często określane jako wirus komputerowy, który w rzeczywistości jest tylko jedną z odmian malware.
[viii] Cyberweapon – malware stosowane do celów wojskowych, paramilitarnych lub wywiadowczych.
[ix] W. J. Broad, J. Markoff, D. E. Sanger, Israeli Test on Worm Called Crucial in Iran Nuclear Delay, The New York Times, 15.01.2011, http://www.nytimes.com/2011/01/16/world/middleeast/16stuxnet.html (dostęp 01.07.2017)
[x]  J. Carr, Stuxnet’s Finnish-Chinese Connection, Forbes, 14.12.2010, https://www.forbes.com/sites/firewall/2010/12/14/stuxnets-finnish-chinese-connection , (dostęp 01.07.2017)
[xi] S. Kruk, Stuxnet: USA i Izrael stworzyły wirusa i straciły nad nim kontrolę, CHIP.pl, 01.06.2012, http://www.chip.pl/news/wydarzenia/prawo-i-polityka/2012/06/stuxnet-usa-i-izrael-stworzyly-wirusa-i-stracily-nad-nim-kontrole , (dostęp 01.07.2017); por. także Stuxnet – robak wszech czasów?, Kopalnia Wiedzy.pl, 16.09.2010, http://kopalniawiedzy.pl/Stuxnet-SCADA-robak-atak-Microsoft-Siemens-Kaspersky-Symantec,11376 (dostęp 01.07.2017); Stuxnet — czyli co już wiemy o przełomowym robaku?, Niebezpiecznik, 18.01.2011, https://niebezpiecznik.pl/post/stuxnet , (dostęp 01.07.2017)
[xii] D. E. Sanger, U.S. Had Cyberattack Plan if Iran Nuclear Dispute Led to Conflict, The New York Times, 16.02.2016, https://www.nytimes.com/2016/02/17/world/middleeast/us-had-cyberattack-planned-if-iran-nuclear-negotiations-failed.html
[xiii] Backdoor (pol. tylne drzwi, furtka) – luka w zabezpieczeniach systemu utworzona umyślnie w celu późniejszego wykorzystania. Backdoor w systemie może być np. pozostawiony przez osobę, która włamała się przez inną lukę w oprogramowaniu (której przydatność jest ograniczona czasowo do momentu jej usunięcia) bądź poprzez podrzucenie użytkownikowi konia trojańskiego. Backdoor, może być również umyślnie utworzony, przez twórcę danego programu. Jednym ze znanych błędów, podejrzewanych o bycie backdoorem jest “Microsoft Windows Graphics Rendering Engine WMF Format Unspecified Code Execution Vulnerability”.

Koń trojański, trojan – określenie oprogramowania, które podszywając się pod przydatne lub ciekawe dla użytkownika aplikacje dodatkowo implementuje niepożądane, ukryte przed użytkownikiem różne funkcje (programy szpiegujące, bomby logiczne, furtki umożliwiające przejęcie kontroli nad systemem przez nieuprawnione osoby itp.). Nazwa pochodzi od mitologicznego konia trojańskiego.
[xiv] Stuxnet był elementem większego planu, czyli kulisy operacji Nitro Zeus, Niebezpiecznik, 18.02.2016, https://niebezpiecznik.pl/post/stuxnet-byl-elementem-wiekszego-planu-czyli-kulisy-operacji-nitro-zeus (dostęp 10.07.2017)
[xv] W32.Duqu.The precursor to the next Stuxnet, Symantec Security Response, 23.10.2011, http://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/w32_duqu_the_precursor_to_the_next_stuxnet.pdf(dostęp 10.07.2017)
[xvi] Flamer: Highly Sophisticated and Discreet Threat Targets the Middle East, Symantec Security Response, 28.05.2012, https://www.symantec.com/connect/blogs/flamer-highly-sophisticated-and-discreet-threat-targets-middle-east
[xvii] Flame i Stuxnet są ze sobą powiązane. Bardzo., Niebezpiecznik, 11.06.2012, https://niebezpiecznik.pl/post/flame-i-stuxnet-sa-ze-soba-powiazane-bardzo (dostęp 10.07.2017)
[xviii] W32.Flamer: Enormous Data Collection, Symantec Security Response,  04.06.2012, https://www.symantec.com/connect/blogs/w32flamer-enormous-data-collection (dostęp 10.07.2017)
[xix] sKyWIper Analysis Team, sKyWIper (a.k.a. Flame a.k.a. Flamer): A complex malware for targeted attacks, Technical Report, Laboratory of Cryptography and System Security (CrySyS Lab) Budapest University of Technology and Economics Department of Telecommunications, 31.05.2012, http://www.crysys.hu/skywiper/skywiper.pdf (dostęp 10.07.2017)
[xx] Flame — mówią, że gorszy od Stuxneta, Niebezpiecznik, 29.05.2012, https://niebezpiecznik.pl/post/flame-mowia-ze-gorszy-od-stuxneta (dostęp 10.07.2017)
[xxi] Flame stworzony przez światowej renomy naukowców. Niemcy przyznają się do wojskowej “cyber-jednostki”. A Polska?, Niebezpiecznik, 08.06.2012, https://niebezpiecznik.pl/post/flame-stworzony-przez-swiatowej-renomy-naukowcow-niemcy-przyznaja-sie-do-wojskowej-cyber-jednostki-a-polska (dostęp 10.07.2017)
[xxii] Kaspersky Lab – rosyjskie przedsiębiorstwo założone w 1997 roku, zajmujące się tworzeniem oprogramowania zabezpieczającego komputery, m.in. oprogramowania antywirusowego. Nazwa przedsiębiorstwa pochodzi od nazwiska współzałożyciela – Jewgienija Kasperskiego. Kaspersky Lab to międzynarodowa grupa działająca w niemal 200 krajach i terytoriach na całym świecie. Siedziba firmy znajduje się w Moskwie, natomiast holding jest zarejestrowany w Wielkiej Brytanii. Kaspersky Lab zatrudnia obecnie ponad 3000 pracowników. Firma posiada 33 przedstawicielstwa w 30 krajach. Polskie przedstawicielstwo firmy rozpoczęło działalność w 2000 roku. Kaspersky Lab posiada około 120 globalnych umów partnerskich oraz OEM
[xxiii] The Madi Campaign – Part I, Secuelist,17.07.2012, https://securelist.com/the-madi-campaign-part-i-5/33693(dostęp 11.07.2017)
[xxiv] Gauss – sponsorowany przez rząd szpiegujący trojan bankowy, Securelist, 13.08.2012, http://securelist.pl/blog/7128,gauss_sponsorowany_przez_rzad_szpiegujacy_trojan_bankowy.html (dostęp 11.07.2017)
[xxv] Co jednak nie wyklucza takiej możliwości jeśli weźmie się pod uwagę maskowanie prawdziwego celu ataku lub zlecenie wykonania malware grupie najemników w zamian za zyski z działania programu.
[xxvi] M. Maj, GAUSS – kolejny przedstawiciel bliskowschodniej cyber-inwazji, CIIP focus, nr 5, lipiec 2013, Rządowe Centrum Bezpieczeństwa, s. 5, http://rcb.gov.pl/wp-content/uploads/ciip-focus-5.pdf (dostęp 11.07.2017)
[xxvii] FinFisher Malware Dropper Analysis, Coding And Security, 19.09.2014, https://www.codeandsec.com/FinFisher-Malware-Dropper-Analysis (dostęp 11.07.2017)
[xxviii] Niemiecka policja infekuje rządowym trojanem (R2D2), Niebezpiecznik, 13.10.2011, https://niebezpiecznik.pl/post/niemiecka-policja-infekuje-rzadowym-trojanem-r2d2 (dostęp 11.07.2017)
[xxix] Dodatkowo badacze doszukują się powiązań HackingTeamu z francuską firmą VUPEN, która zajmuje się tworzeniem exploitów 0day, a następnie sprzedaje swoim klientom (m. in. agencjom rządowym).
[xxx] Czy polskie służby korzystają z włoskiego trojana tworzonego specjalnie dla agencji rządowych?, Niebezpiecznik, 18.02.2014, https://niebezpiecznik.pl/post/polskie-sluzby-korzystaja-z-wloskiego-oprogramowania-szpiegujacego(dostęp 11.07.2017)
[xxxi] CBA wydało 250 000 EUR na oprogramowanie szpiegowskie do inwigilacji smartphonów, Niebezpiecznik, 06.07.2015, https://niebezpiecznik.pl/post/hacking-team-hacked (dostęp 11.07.2017). Zakres możliwości technicznych, jakie stwarzała licencja wykupiona przez CBA, nie jest jasny. Wiadomo tylko, że pozwalała na zainfekowanie do 10 komputerów, bez możliwości zarażania urządzeń mobilnych. Zagadką pozostaje również, czy i w jaki sposób była wykorzystywana w praktyce – por. Zabawki wielkiego brata czyli krótki przewodnik po narzędziach, które pomagają państwu kontrolować obywateli, Fundacja Panoptykon,  https://panoptykon.org/zabawki-wielkiego-brata (dostęp 11.07.2017)
[xxxii] “Red October” Diplomatic Cyber Attacks Investigation, Securelist, 14.01.2013, https://securelist.com/red-october-diplomatic-cyber-attacks-investigation/36740
[xxxiii] R. Lipovsky, A.Cherepanov, Last-minute paper: Back in BlackEnergy: 2014 targeted attacks in the Ukraine and Poland, virus Bulletin, https://www.virusbulletin.com/conference/vb2014/abstracts/back-blackenergy-2014-targeted-attacks-ukraine-and-poland (dostęp 12.07.2017); por. także – Alert (ICS-ALERT-14-281-01E) Ongoing Sophisticated Malware Campaign Compromising ICS (Update E), ICS-CERT, 10.12.2014, https://ics-cert.us-cert.gov/alerts/ICS-ALERT-14-281-01B (dostęp 12.07.2017); 4 nowe i krytyczne dziury w Windows – jedna użyta przez szajkę Rosjan atakujących polskie firmy, Niebezpiecznik, 14.10.2014, https://niebezpiecznik.pl/post/4-nowe-i-krytyczne-dziury-w-windows-jedna-uzyta-przez-rosjan-atakujacych-polskie-firmy (dostęp 12.07.2017); A.Cherepanov,  Industroyer: Biggest threat to industrial control systems since Stuxnet, welivesecurity news, views, and insight from the ESET security community, 12.06.2017, https://www.welivesecurity.com/2017/06/12/industroyer-biggest-threat-industrial-control-systems-since-stuxnet (dostęp 12.07.2017)
[xxxiv] Por. A.Cherepanov, The rise of TeleBots: Analyzing disruptive KillDisk attacks, welivesecurity news, views, and insight from the ESET security community, 13.12.2016, https://www.welivesecurity.com/2016/12/13/rise-telebots-analyzing-disruptive-killdisk-attacks (dostęp 12.07.2017)
[xxxv] ИЗ-ЗА ХАКЕРСКОЙ АТАКИ ОБЕСТОЧИЛО ПОЛОВИНУ ИВАНО-ФРАНКОВСКОЙ ОБЛАСТИ, 24.12.2015, https://ru.tsn.ua/ukrayina/iz-za-hakerskoy-ataki-obestochilo-polovinu-ivano-frankovskoy-oblasti-550406.html (dostęp 12.07.2017)
[xxxvi] ESET, spol. s r.o. – słowackie przedsiębiorstwo ESET (nazwa pochodzi od słowackiego “Izyda”) z siedzibą w Bratysławie, które stworzyło NOD32, program do ochrony komputera przed wirusami komputerowymi. Założone w 1992 roku, od początku swojej działalności skupia się na problemach zabezpieczeń komputerów ze szczególnym uwzględnieniem ochrony antywirusowej. ESET jest prywatnym przedsiębiorstwem działającym w zakresie badań i rozwoju oprogramowania, mającym swoje oddziały w San Diego, Londynie i Pradze. W czerwcu 2008 roku firma otworzyła swój polski oddział w Krakowie.
[xxxvii] A.Cherepanov, BlackEnergy by the SSHBearDoor: attacks against Ukrainian news media and electric industry, welivesecurity news, views, and insight from the ESET security community, 03.01.2016, https://www.welivesecurity.com/2016/01/03/blackenergy-sshbeardoor-details-2015-attacks-ukrainian-news-media-electric-industry (dostęp 12.07.2017)
[xxxviii] R. Lipowsky, New wave of cyberattacks against Ukrainian power industry, welivesecurity news, views, and insight from the ESET security community, 20.01.2016, https://www.welivesecurity.com/2016/01/20/new-wave-attacks-ukrainian-power-industry (dostęp 12.07.2017)
[xxxix] Por. – From BlackEnergy to ExPetr. A gut feeling of old acquaintances, new tools, and a common battleground, Securelist, 30.06.2017,  https://securelist.com/from-blackenergy-to-expetr/78937 (dostęp 12.07.2017); WannaCry and Lazarus Group – the missing link?, Securelist, 15.05.2017, https://securelist.com/wannacry-and-lazarus-group-the-missing-link/78431 (dostęp 12.07.2017)
[xl] Ransomware (ang. ransom – okup) – malware używane w przestępczości internetowej, w celu wyłudzenia okupu od ofiary przestępstwa
[xli] Por. T. Fox-Brewster, An NSA Cyber Weapon Might Be Behind A Massive Global Ransomware Outbreak, Forbes, 21.05.2017, https://www.forbes.com/sites/thomasbrewster/2017/05/12/nsa-exploit-used-by-wannacry-ransomware-in-global-explosion , (dostęp 01.07.2017)
[xlii] Więcej na ten temat – NSA zhackowane, najprawdopodobniej przez Rosjan…, Niebezpiecznik, 16.08.2016, https://niebezpiecznik.pl/post/nsa-zhackowane-a-ich-programy-udostepnione-na-githubie-czy-to-sprawka-rosjan(dostęp 12.07.2017)
[xliii] Cyber-attack: Europol says it was unprecedented in scale, BBC News, 13.05.2017, http://www.bbc.com/news/world-europe-39907965 , (dostęp 01.07.2017)
[xliv] Zamknięte szpitale i zakłady pracy. Uderzenie robaka WANNACRY i olbrzymie straty na całym świecie, Niebezpiecznik, 14.05.2017, https://niebezpiecznik.pl/post/zamkniete-szpitale-i-zaklady-pracy-uderzenie-robaka-wannacry-i-olbrzymie-straty-na-calym-swiecie (dostęp 01.07.2017)
[xlv] M. Czarnecki, Oto Marcus Hutchins, 22-letni Brytyjczyk, który zatrzymał światowy cyberatak, wyborcza.pl, 16.05.2017, http://wyborcza.pl/7,75399,21816943,oto-marcus-hutchins-22-letni-brytyjczyk-ktory-zatrzymal-swiatowy.html (dostęp 12.07.2017)
[xlvi] Michael Kassner, Ransomware: Extortion via the Internet, 11.01.2010, http://www.techrepublic.com/blog/it-security/ransomware-extortion-via-the-internet, (dostęp 01.07.2017)
[xlvii] A. Young, M. Yung, Cryptovirology: extortion-based security threats and countermeasures, [w:] IEEE Symposium on Security and Privacy, 1996, s. 129–140
[xlviii] J. Leyden, Ransomware getting harder to break, The Register, 24.07.2006, https://www.theregister.co.uk/2006/07/24/ransomware , (dostęp 01.07.2017)
[xlix] Por. R. Lipovsky, Filecoder: Holding your data to ransom, 23.09.2013, https://www.welivesecurity.com/2013/09/23/filecoder-holding-your-data-to-ransom, (dostęp 01.07.2017)
[l]  Violet Blue, CryptoLocker’s crimewave: A trail of millions in laundered Bitcoin, 22.12.2013, http://www.zdnet.com/article/cryptolockers-crimewave-a-trail-of-millions-in-laundered-bitcoin ,(dostęp 01.07.2017)
[li]  L. Constantin, CryptoLocker creators try to extort even more money from victims with new service, PCWorld, 4.11.2013, http://www.pcworld.com/article/2060640/cryptolocker-creators-try-to-extort-even-more-money-from-victims-with-new-service.html , (dostęp 01.07.2017)
[lii] U.S. Leads Multi-National Action Against “Gameover Zeus” Botnet and “Cryptolocker” Ransomware, Charges Botnet Administrator, U.S. Department of Justice, 02.06.2014, https://www.justice.gov/opa/pr/us-leads-multi-national-action-against-gameover-zeus-botnet-and-cryptolocker-ransomware , (dostęp 01.07.2017)
[liii] A.Cherepanov, TeleBots are back: Supply-chain attacks against Ukraine, welivesecurity news, views, and insight from the ESET security community, 30.06.2017, https://www.welivesecurity.com/2017/06/30/telebots-back-supply-chain-attacks-against-ukraine (dostęp 12.07.2017)
[liv] LAZARUS UNDER THE HOOD (plik.pdf), Kaspersky Lab, https://kas.pr/ix6C (dostęp 13.07.2017)
[lv] Sony Pictures zhakowane, wszystkie komputery pod kontrolą włamywaczy, Zaufana Trzecia Strona, 24.11.2014, https://zaufanatrzeciastrona.pl/post/sony-pictures-zhakowane-wszystkie-komputery-pod-kontrola-wlamywaczy (dostęp 12.07.2017)
[lvi] Jak zniknęło 81 milionów dolarów – historia prawdziwa, Zaufana Trzecia Strona, 20.03.2016, https://zaufanatrzeciastrona.pl/post/jak-zniknelo-81-milionow-dolarow-historia-prawdziwa (dostęp 12.07.2017)
[lvii] Attackers target dozens of global banks with new malware, Symantec Official Blog, 12.02.2017, https://www.symantec.com/connect/blogs/attackers-target-dozens-global-banks-new-malware (dostęp 12.07.2017)
[lviii] Backdoor (pol. tylne drzwi, furtka) – luka w zabezpieczeniach systemu utworzona umyślnie w celu późniejszego wykorzystania. Backdoor w systemie może być np. pozostawiony przez crackera, który włamał się przez inną lukę w oprogramowaniu (której przydatność jest ograniczona czasowo do momentu jej usunięcia) bądź poprzez podrzucenie użytkownikowi konia trojańskiego.
[lix] A.Cherepanov, Analysis of TeleBots’ cunning backdoor, welivesecurity news, views, and insight from the ESET security community, 04.07.2017, https://www.welivesecurity.com/2017/07/04/analysis-of-telebots-cunning-backdoor(dostęp 12.07.2017)
[lx] Por. Прикриттям наймасштабнішої кібератаки в історії України став вірус Petya (Diskcoder.C), Департамент кіберполіції Національної поліції України, 05.07.2017, https://cyberpolice.gov.ua/news/prykryttyam-najmasshtabnishoyi-kiberataky-v-istoriyi-ukrayiny-stav-virus-diskcoderc-881 (dostęp 12.07.2017)
[lxi] https://twitter.com/Liveuamap/status/880022598163337216 (dostęp 12.07.2017)
[lxii] A.Iwanow, O.Mamedov, In ExPetr/Petya’s shadow, FakeCry ransomware wave hits Ukraine, Securelist, 04.07.2017, https://securelist.com/in-expetrpetyas-shadow-fakecry-ransomware-wave-hits-ukraine/78973/ (dostęp 12.07.2017)
[lxiii] New ransomware, old techniques: Petya adds worm capabilities, Microsoft Malware Protection Center blog, 27.06.2017 https://blogs.technet.microsoft.com/mmpc/2017/06/27/new-ransomware-old-techniques-petya-adds-worm-capabilities (dostęp 12.07.2017)
[lxiv] K. Kowalczyk: Eksperci o cyberbezpieczeństwie, polska-zbrojna.pl,  26.11.2015, http://www.polska-zbrojna.pl/home/articleshow/17821?t=Eksperci-o-cyberbezpieczenstwie  (dostęp 16.06.2017)
[lxv] K.J.Jakubski, Analiza Strategii Cyberbezpieczeństwa Rzeczypospolitej Polskiej na lata 2017-2022, Fundacja Po.Int, 29.05.2017, https://fundacjapoint.pl/2017/05/analiza-strategii-cyberbezpieczenstwa-rzeczypospolitej-polskiej-na-lata-2017-2022 (dostęp 12.07.2017)
[lxvi] https://sekurak.pl/masowy-atak-na-publiczna-sluzbe-zdrowia-w-uk-chaos-ransomware-i-grozba-globalnego-ataku(dostęp 01.06.2017)
[lxvii] https://zaufanatrzeciastrona.pl/post/masowa-niezwykle-skuteczna-kampania-ransomware-wylacza-cale-firmy(dostęp 01.06.2017)
[lxviii]  https://niebezpiecznik.pl/post/zamkniete-szpitale-i-zaklady-pracy-uderzenie-robaka-wannacry-i-olbrzymie-straty-na-calym-swiecie (dostęp 01.06.2017)
[lxix] https://www.premier.gov.pl/wydarzenia/aktualnosci/komunikat-rzecznika-prasowego-ministra-koordynatora-sluzb.html (dostęp 01.06.2017)
[lxx] https://www.cert.pl/news/single/wannacry-ransomware (dostęp 01.06.2017)
[lxxi] Por. Komunikacja polskich instytucji państwowych na temat WannaCry – analiza, https://zaufanatrzeciastrona.pl/post/komunikacja-polskich-instytucji-panstwowych-na-temat-wannacry-analiza (dostęp 01.06.2017r.)