Nie tylko Rosjanie mogą spowodować blackout w Polsce. Nie ulega wątpliwości, że konieczna jest budowa skuteczniejszych mechanizmów cyberbezpieczeństwa we wszystkich kluczowych jednostkach gospodarczych związanych z sektorem paliwowym, finansowym, energetycznym, komunalnym. Wszędzie tam gdzie możemy się liczyć z dużymi społecznymi konsekwencjami takiego ataku – mówi prezes Polskiego Towarzystwa Informatycznego Wiesław Paluszyński w rozmowie z BiznesAlert.pl.
BiznesAlert.pl: Jeszcze kilka lat temu słowo „haker” kojarzyło się z chuliganem w cyberprzestrzeni, który jest w stanie złamać hasło i wykraść najważniejsze dane z naszego komputera czy strony internetowej. Czy współczesny haker może być kimś więcej, np. narzędziem politycznym?
Wiesław Paluszyński: Warto uporządkować z jakimi zagrożeniami dla informacji mamy do czynienia w cyberprzestrzeni. Są to w zasadzie cztery obszary, ataki na integralność informacji (czego skutkiem jest zmiana np. jej treści, co często kompletnie zmienia istotę przekazu), atak na autorstwo informacji polegający albo na podszyciu się pod inną osobę, lub instytucję, lub zmianę autorstwa wykorzystywanej dalej autentycznej informacji, atak na poufność informacji, czyli wykradzenie informacji która powinna być dostępna tylko dla zdefiniowanego przez jej autora kręgu odbiorców. Najczęściej dzisiaj mamy do czynienia z czwartym atakiem, czyli atakiem na dostępność informacji.
Ostatnio Grupa INSIKT w swoim raporcie z 21 września tego roku informuje: „Sponsorowane przez państwo chińskie włamania do serwisów informacyjnych nie są zjawiskiem nowym. W 2013 roku New York Times, Washington Post i Bloomberg News zostały zaatakowane przez chińską grupę w szeroko zakrojonej operacji zbierania danych wywiadowczych po serii opublikowanych artykułów, które zostały odebrane jako niekorzystnie przedstawiające Chiny. Następnie w 2014 roku prodemokratyczne serwisy informacyjne w Hongkongu były celem protestów Ruchu Parasolowego. Kampania Winnti TAG-28 skierowana do BCCL jest najnowszą z długiej linii ukierunkowanych włamań na międzynarodowe media.”
Mimo coraz większej ilości regulacji i rozszerzania się ogólnej wiedzy o zagrożeniach informatycznych, ilość ataków i infiltracji firm realizowanych przez sieci Internet rośnie z roku na rok. Internet stał się też doskonałym polem do działania szpiegów przemysłowych, ponieważ coraz więcej systemów albo jest włączona do internetu, albo okresowo jest do niego podłączana (np. dla wykonania uaktualnień systemu operacyjnego i aplikacji) lub wymienia dane z innymi komputerami za pomocą nośników mogących stanowić mechanizm zarażenia i jednocześnie kradzieży danych.
Mimo istniejących uregulowań prawnych, nadal dochodzi do włamań i mają one coraz bardziej zuchwały przebieg, a np. ransomware (oprogramowanie, którego modus operandi jest wymuszanie cyfrowego haraczu w zamian za odszyfrowanie danych ofiary) stał się de facto modelem biznesowym nie tylko dla organizacji przestępczych, ale nawet dla całych państw.
Atakujący wykorzystują brak stosowania się użytkowników do zasad cyberhigieny, oraz niefrasobliwość administratorów systemu wykonujących w sposób nieprzemyślany kopie zapasowe swoich zasobów informatycznych. Te cyberprzestępstwa mają najczęściej na celu wzbogacenie się, ale znane są przypadki, gdy ten atak miał służyć zniszczeniu pozycji biznesowej właściciela danych, a żądania opłaty były tylko „przykrywką” prawdziwych intencji atakującego. Po tych celach ataków możemy próbować ocenić, czy mamy do czynienia ze „zwykłym” kryminalnym przypadkiem, czy elementem terroryzmu państwowego realizowane przez grupy utrzymywane i wspierane przez takie państwa jak Rosja, Białoruś, Korea północna czy Chiny.
Często grupy przestępcze tych państw traktują takie ataki jako swoistą „wprawkę” przed przygotowywanymi akcjami, jako sprawdzenie budowanych narzędzi czy mechanizmów kamuflażu.
Coraz częściej słyszymy o kolejnych gangach w cyberprzestrzeni, czyli o grupach hakerów. Czy mogą być one powiązane a nawet wspierane przez rządy poszczególnych państw?
Istnieją ośrodki analizujące ataki pod kątem powiązania realizujących je grup z rządami różnych krajów. Ostatnio pojawił się komunikat: „Według analityków serwisu Mandiant.com za atakiem na skrzynki mailowe ministra Michała Dworczyka i innych polityków polskich i europejskich stoją grupy hakerskie powiązane z rządem białoruskim. Tezy takie pojawiały się już od samego początku afery, serwis potwierdził ten fakt z kolejnego źródła.” Komunikat ten należy potraktować poważnie, bo Mandiant jest poważnym analitykiem na rynku cyberbezpieczeństwa. Ale z upływu czasu widać, jak długi jest czasami proces analityczny który ma doprowadzić do ustalenia źródła ataku.
Ale co ciekawe, analizując powiązania grup uczestniczących w tym ataku autorzy raportu stwierdzili także, że: „Ponadto oprócz zakresu ataku, jaki ujawniono, wszelkie działania koncentrowały się wyłącznie na pozyskiwaniu poufnych informacji i nie odkryto żadnych działań związanych z monetyzacją, czyli pozyskania np. okupu.”
Ale wiadomo na przykład, że Korea Północna zdobywa w wyniku ataków komputerowych fundusze (twarde ale i cyfrowe – np. w bitcoinach) pozwalające podtrzymać swoją gospodarkę. Rosja i Chiny wręcz wyspecjalizowały się w wykorzystywaniu zespołów specjalizujących się we włamaniach, tworzeniu oprogramowania złośliwego i poszukiwaniu tzw. 0-day . Dzięki kontroli na poziomie Państwa, zachowują nad takimi organizacjami kontrolę, czasem wręcz rekrutując z nich personel. Z drugiej strony zachowują (przynajmniej pozornie) wygodne dla stosunków międzynarodowych tak zwane “plausibledeniability” – możliwość wiarygodnego zaprzeczania, że są to organizacje państwowe, a często również składania publicznie obietnic dołożenia “wszelkich starań”, by tego typu działalność ukrócić.
Od 2015 roku, gdy hakerzy z Rosji wyłączyli ukraińską sieć energetyczną, rządy i media krajów europejskich raz po raz donoszą o kolejnych cyberatakach na Ukrainie. Czy nasz wschodni sąsiad może w jakiś sposób ustrzec się przed podobnymi incydentami w przyszłości?
Grupy hakerskie związane z Rosją, takie jak na przykład UNC1151 lub Ghostwriter, bez wątpienia realizują interesy polityczne swoich mocodawców, polegające na dezinformacji (komentarze pod informacjami na portalach), przejmowaniu danych poufnych w celu prowadzenia akcji politycznych, dyskredytowania przeciwników. Podręcznikowym wręcz przykładem takiego działania była ingerencja tych grup w proces wyborczy w Stanach Zjednoczonych i proces referendum decydującym o wystąpieniu Wielkiej Brytanii z Unii Europejskiej. Te przypadki są znane, ile jest przypadków nieznanych?
Ostatnio na renomowanych portalach monitorujących zagrożenia pojawiła się informacja: „Na rosyjskojęzycznych forach cyberprzestępczych szykuje się niezwykła aktywność, na której hakerzy wydają się kontaktować z chińskimi odpowiednikami w celu współpracy” i dodatkowo komentarz „Te próby pozyskania chińskich cyberprzestępców są widoczne głównie na forum hakerskim RAMP, które zachęca aktorów mówiących po mandaryńsku do udziału w rozmowach, dzielenia się wskazówkami i współpracy przy atakach. Naukowcy sugerują, że najbardziej prawdopodobną przyczyną jest to, że rosyjskie gangi ransomware starają się budować sojusze z chińskimi aktorami w celu przeprowadzania cyberataków na cele amerykańskie, luk w zabezpieczeniach handlowych, a nawet rekrutowania nowych talentów do operacji Ransomware-as-a-Service (RaaS).”
Więc nie tylko Ukraina, ale każdy kraj musi się bronić przed państwowymi cyberterrorystami, przecież nawet stany Zjednoczone odnotowały w ostatnim czasie atak na swoją infrastrukturę przesyłu paliw.
Konieczne jest stworzenie wydajnego systemu rejestrowania przypadków ataków, monitorowania dziwnych zachowań sieci telekomunikacyjnych, wymiany informacji, wsparcia w przypadku podejrzenia przygotowywania ataków. Ważny jest system powszechnej edukacji w zakresie przestrzegania zasad cyberhigieny. To są naczynia połączone, trudno powiedzieć, które z nich są ważniejsze.
Jakimi narzędziami dysponują hakerzy? Destabilizacja sieci elektroenergetycznej kraju raczej nie jest prostym zadaniem…
Grupy o których mówimy mają w swoim składzie bardzo często wybitnych informatyków, znających wszystkie podatności jakie mają użytkowane systemy.
Amerykańskie, brytyjskie i australijskie agencje ds. cyberbezpieczeństwa ostrzegły „przed ciągłym wykorzystywaniem luk w zabezpieczeniach Microsoft Exchange ProxyShell i Fortinet związanych z wspieraną przez Iran grupą hakerską. Irańscy hakerzy państwowi koncentrują swoje ataki na amerykańskich sektorach infrastruktury krytycznej (np. transporcie, opiece zdrowotnej) i australijskich organizacjach.Ich celem jest uzyskanie wstępnego dostępu do celów z krytycznych sektorów, które mogłyby później zostać wykorzystane do innych nikczemnych celów, w tym eksfiltracji danych, wdrażania oprogramowania ransomware i wymuszeń xchangeProxyShell i Fortinet związanych z wspieraną przez Iran grupą hakerską.”
Takie grupy tworzą własne narzędzia ataku, często po włamaniu się do systemu potrafią zakamuflować swoją aktywność w celu zebrania niezbędnej informacji i wykonania ataku w momencie korzystnym dla ich mocodawców. Dlatego tak ważne jest posiadanie przez państwa, firmy energetyczne, profesjonalnych agentów operacyjnych i wysokiej klasy specjalistów, powiązanych ze sobą w sieć wsparcia, aby analizować wszystkie stwierdzone, a odbiegające od standardów, zachowania sieci, czy systemów. Nie da się zapewnić bezpieczeństwa tylko wyczekując na atak. Najskuteczniej jest wykryć wczesne etapy przygotowywania takiego ataku i podjąć działania neutralizujące zagrożenie.
Kraje bałtyckie od lat znajdują się na celowniku rosyjskich hakerów i mają spore doświadczenie w walce z cyberprzestępczością. Czy Polska i państwa zachodnie mogą skorzystać z ich wiedzy?
Kraje Bałtyckie są wspierane w swoich działaniach przez silne światowe ośrodki walczące z cyberterroryzmem państwowym w ramach współpracy w ramach NATO. Polska też korzysta z tych ośrodków. Ale czym innym jest wiedzieć, a czym innym zbudować skuteczny system.
Pozostaje mieć nadzieję, że tworzone obecnie w Polsce Wojska Obrony Cyberprzestrzeni, Biuro ds. zwalczania Cyberprzestępczości w Policji, czy instytucje przewidziane w nowelizacji Ustawy o Krajowym Systemie Cyberbezpieczeństwa, w szczególności instytucja Dostawcy Wysokiego Ryzyka pozwolą nam zminimalizować zagrożenia.
Czy Rosjanie mogą spowodować blackout w Polsce?
Nie tylko Rosjanie, co wynika z wcześniej przytoczonych przykładów. Nie ma tu miejsca na wyliczanie scenariuszy, ale nie ulega wątpliwości, że konieczna jest budowa skuteczniejszych mechanizmów cyberbezpieczeństwa we wszystkich kluczowych jednostkach gospodarczych związanych z sektorem paliwowym, finansowym, energetycznym, komunalnym. Wszędzie tam gdzie możemy się liczyć z dużymi społecznymi konsekwencjami takiego ataku.
Rozmawiał Jędrzej Stachura
Polskie służby aresztowały ukraińskiego hakera grupy REvil. Grozi mu ekstradycja do USA