Pustynny robak wychodzi z cienia

Rosyjscy hakerzy z zespołu Sandworm to specjaliści od ataków na krytyczną infrastrukturę. Właśnie poznaliśmy ich twarze.

09.11.2020

Czyta się kilka minut

Komunikat Departamentu Sprawiedliwości o ściganiu grupy rosyjskich hakerów,październik 2020 r. / FBI
Komunikat Departamentu Sprawiedliwości o ściganiu grupy rosyjskich hakerów,październik 2020 r. / FBI

Proroctwa wieszczące zagładę spełniły się 27 czerwca 2017 r. Nagle zamarły fabryki, szpitale przestały przyjmować chorych, a tysiące ciężarówek, należących do giganta spedycyjnego Maersk i wiozących towary do portów, zablokowały miasta, gdyż na miejscu zastały zamknięte bramy. Jakaś niewidzialna zaraza sprawiła, że dziesiątki tysięcy komputerów na całym świecie odmówiły wykonywania poleceń. Padły sieci korporacji i małych klinik od Tasmanii po Kopenhagę. W kilka godzin, jak pożar lasu, fala komputerowej destrukcji obiegła planetę, wyrządzając straty szacowane na 10 mld dolarów.

„To był najszybciej rozchodzący się wirus, z jakim kiedykolwiek mieliśmy do czynienia – mówił potem Craig Williams z firmy Talos (jednej z pierwszych, która przeanalizowała nowe zagrożenie) na łamach pisma „Wired”. – Gdy go zauważyłeś, twoje centrum danych już nie istniało”.

Wirus ten, znany jako NotPyetya, udawał złośliwe oprogramowanie wymuszające haracz za odblokowanie komputera. Ale tak naprawdę jego celem był chaos i zniszczenie. A jego „odpalenie” mogło być pierwszym tak niszczycielskim i tak totalnym aktem cyberwojny.

Niedawno amerykańscy prokuratorzy wskazali winnych. Departament Sprawiedliwości wystosował akt oskarżenia przeciw sześciu żołnierzom z rosyjskiej jednostki nr 74455, podlegającej wywiadowi wojskowemu GRU. Wymienieni z nazwiska 20-, 30-latkowie, których młode twarze spoglądają ze zdjęć dołączonych do pozwu, mają tworzyć hakerski oddział szturmowy rosyjskiej cyberarmii. Na świecie znany – dzięki używanym w kodzie wirusa terminom z powieści „Diuna” Franka Herberta – jako zespół Sandworm, czyli Czerw Pustynny.

W służbie geopolityki

Amerykanie twierdzą, że ta szóstka odpowiada za serię najbardziej destrukcyjnych cyberataków w historii. „Żaden kraj nie zmilitaryzował swoich cybermożliwości w sposób tak niebezpieczny i nieodpowiedzialny jak Rosja, po wielokroć wywołując bezprecedensowe zniszczenia podczas prób osiągnięcia niewielkich taktycznych zysków czy zaspokojenia złości” – mówił na konferencji zastępca Prokuratora Generalnego USA John Demers.

Cyberuderzenia były zawsze powiązane z geopolitycznymi priorytetami Moskwy. W 2016 r. Sandworm miał współuczestniczyć w – towarzyszących wyborom prezydenckim w USA – atakach na Partię Demokratyczną. Współdziałając z innym hakerskim zespołem GRU, jednostką nr 26165 (na Zachodzie znaną jako Fancy Bear), grupa miała stworzyć fałszywą stronę DCLeaks, z pomocą której publikowano wykradzione maile. W 2018 r. Sandworm wziął na cel firmę informatyczną tworzącą system zarządzający zimową olimpiadą w Korei Południowej, próbując sparaliżować imprezę, na której Międzynarodowy Komitet Olimpijski nie pozwolił Rosjanom startować pod własną flagą (z powodu dopingu). Celem grupy była też kampania wyborcza Emmanuela Macrona w 2017 r. i przygotowania do igrzysk w Tokio.

Specjalnością zespołu Sandworm są jednak uderzenia, które wykraczają ze świata wirtualnego i wyrządzają zniszczenia w świecie fizycznym. Ci hakerzy to specjaliści od ataków na krytyczną infrastrukturę. Jednym z pierwszych zidentyfikowanych celów grupy była polska firma z branży energetycznej (niewymieniona z nazwy w amerykańskich dokumentach). Ale największą skalę przybierały takie ataki wymierzone w Ukrainę. W ciągu ostatnich pięciu lat ich ofiarami padały tamtejsze koleje, urzędy skarbowe, stacje TV, ministerstwa, sieci energetyczne. Dwukrotnie, w odstępie roku, hakerzy wyłączyli prąd na dużych obszarach kraju. Każda kolejna akcja była bardziej zaawansowana, trudniejsza do wykrycia i obrony.

Ukraina jest dla nich celem wygodnym z wielu względów. Każdy udany atak potęguje wrażenie, że Kijów nie jest w stanie zapewnić bezpieczeństwa własnym obywatelom. Po drugie, Ukraina jest dobrym poligonem, na którym można na żywo testować destrukcyjne narzędzia. W czasie pokoju hakerzy penetrują krytyczną infrastrukturę przeciwnika i namierzają luki w systemach. W czasie konfliktu kilka kliknięć może sparaliżować gospodarkę czy życie społeczne, wyłączając wodę, prąd, światła uliczne, odłączając telefony służb ratowniczych. Państwo może zostać powalone, zanim padnie choćby jeden strzał.

Oblicza cyberwojny

Rosyjska cyberarmia sięga swoją historią lat 80. XX w. W 1986 r. CIA i policja RFN unieszkodliwiły zachodnioniemiecką grupę hakerów-najemników, która na zlecenie enerdowskiej Stasi próbowała penetrować komputery amerykańskiego wojska, NASA i CIA. To był początek, ale już 10 lat później włamania do sieci wojskowych i uczelnianych stały się plagą. W latach 1996-99 rosyjscy hakerzy mieli wykraść tyle tajnych akt, że po wydrukowaniu tworzyłyby stertę dorównującą 169-metrowemu obeliskowi Waszyngtona. W tym samym czasie Rosjanie zaczęli też pierwsze akcje dezinformacyjne w internecie: rosyjski rezydent wywiadu w Waszyngtonie osobiście rozsyłał z komputera w bibliotece publicznej anonimowe maile zawierające propagandę dotyczącą wojny w Czeczenii.

Początkowo wydawało się, że właśnie tak będzie wyglądać konflikt mocarstw w internecie: szpiegostwo, propaganda, czasem irytujące ataki blokujące dostęp do stron internetowych – jak te, które w 2007 r. dotknęły Estonię, a w 2008 r. Gruzję. To była jednak tylko przygrywka.

W 2007 r. Mike Assante, badacz z Idaho National Laboratory, pokazał wąskiemu gronu specjalistów rezultaty swego eksperymentu „Aurora”. Jego zespół kupił używany 27-tonowy generator. Na oczach wszystkich uruchomił go i wysłał serię komend do sterujących nim bezpieczników. Wystarczyło 140 kilobajtów danych, by machina skonała w męczarniach, wyrzucając obłoki dymu i strzelając częściami. Po raz pierwszy udowodniono, że 21 linijek kodu może wyrządzić bardzo realne zniszczenia.

Wcześniej tylko nieliczni wierzyli, że taki atak jest możliwy. Wkrótce dowiedział się o tym cały świat, bo równolegle, w tym samym laboratorium, prowadzono inny tajny eksperyment: sprawdzano, jak zdalnie zniszczyć urządzenia przemysłowe. Konkretnie: wirówki do wzbogacania uranu. Takie jak te, z których korzystał irański program atomowy.

Stuxnet uderza w Natanz

Był to element przygotowań do operacji „Igrzyska Olimpijskie”: wspólnej akcji amerykańsko-izraelskiej, która miała zatrzymać postępy Irańczyków w pracach nad bronią atomową bez konieczności bombardowania ich instalacji. Izraelska hakerska jednostka 8200 i należący do amerykańskiej National Security Agency ofensywny zespół hakerski Tailored Access Operations opracowały nowy rodzaj cyberbroni: wirus Stuxnet. Przemycono go do irańskiego ośrodka nuklearnego Natanz, gdzie odniósł spektakularny sukces: działając tak dyskretnie, że pozostał niewykryty przez co najmniej kilkanaście miesięcy (było to w latach 2009-10), doprowadził do samozniszczenia jednej czwartej z 8700 tamtejszych wirówek.

W ten sposób przekroczono Rubikon. Ktoś, kto jest w stanie kierować zdalnie wirówkami w centrum wzbogacania uranu, może równie dobrze doprowadzić do zniszczenia rafinerii, gazociągów, fabryk, może wyłączyć prąd, wodę czy sygnalizację uliczną. Były dyrektor CIA i NSA Michael Hayden podsumował to potem, mówiąc: „Poczuliśmy zapach sierpnia 1945 r. Ktoś użył nowej broni i nie da się jej już schować z powrotem do pudełka”.

I tak jak w przypadku broni jądrowej, inni szybko poszli w ślady Amerykanów. Korea Północna stworzyła hakerską armię wyspecjalizowaną w kradzieżach, zasilających budżet kraju w cenne waluty. Iran nęka przemysł naftowy regionalnych rywali: w 2012 r. za pomocą wirusa zniszczył 35 tys. komputerów saudyjskiego koncernu Aramco.

Odstraszanie i propaganda

Ale najpilniejszymi uczniami okazali się Chińczycy i Rosjanie, którzy, jak się wydaje, szybko dobili do poziomu amerykańskich rywali. Pierwsze ataki, które specjaliści od cyberbezpieczeństwa mogą z dużą dozą pewności przypisać grupie Sandworm, datują się na lata 2009-10. Jest jednak zasadnicza różnica w sposobie prowadzenia cyberwojny przez Rosję i USA. Amerykanie wykorzystują swoich hakerów jako precyzyjne chirurgiczne narzędzie. Nie jest przypadkiem, że poza Stuxnetem nie są znane żadne inne ofensywne operacje CIA czy NSA. Natomiast dla Rosjan działalność grup takich jak Sandworm jest także elementem odstraszania i propagandy.

Odstraszania, gdyż kopiąc leżącego, wyłączając raz za razem różne kluczowe systemy na Ukrainie, wysyła innym rywalom wiadomość: „Wam możemy zrobić to samo”. A propagandy, bo celem padają ci, którzy w jakiś sposób narazili się Rosji, jak międzynarodowe organizacje antydopingowe, Organizacja ds. Zakazu Broni Chemicznej czy śledczy badający zatrucia nowiczokiem. Celem jest nie tyle uniemożliwienie im pracy, co publiczne upokorzenie i pokazanie, że nikt nie jest nietykalny. Wbrew hakerskim zwyczajom, tutaj celem jest rozgłos.

OBECNIE SANDWORM, podobnie jak inne państwowe grupy hakerskie z Rosji, Chin, Iranu czy Korei Północnej, dostał nowe zadanie, na miarę niezwykłych czasów. Już w lipcu Amerykanie i Brytyjczycy oskarżyli Rosję o próby kradzieży danych firm opracowujących leki i szczepionki przeciw COVID-19. Miesiąc później Hiszpanie o podobne nieczyste zagrania oskarżyli Chińczyków. Irańczycy zaś mieli próbować pozyskiwać dane ze skrzynek mailowych pracowników WHO.

Najwyraźniej w trudnych czasach hakerzy stali się narzędziem pierwszego wyboru dla zdesperowanych despotów. Także w walce z pandemią. ©

Dziękujemy, że nas czytasz!

Wykupienie dostępu pozwoli Ci czytać artykuły wysokiej jakości i wspierać niezależne dziennikarstwo w wymagających dla wydawców czasach. Rośnij z nami! Pełna oferta →

Dostęp 10/10

  • 10 dni dostępu - poznaj nas
  • Natychmiastowy dostęp
  • Ogromne archiwum
  • Zapamiętaj i czytaj później
  • Autorskie newslettery premium
  • Także w formatach PDF, EPUB i MOBI
10,00 zł

Dostęp kwartalny

Kwartalny dostęp do TygodnikPowszechny.pl
  • Natychmiastowy dostęp
  • 92 dni dostępu = aż 13 numerów Tygodnika
  • Ogromne archiwum
  • Zapamiętaj i czytaj później
  • Autorskie newslettery premium
  • Także w formatach PDF, EPUB i MOBI
89,90 zł
© Wszelkie prawa w tym prawa autorów i wydawcy zastrzeżone. Jakiekolwiek dalsze rozpowszechnianie artykułów i innych części czasopisma bez zgody wydawcy zabronione [nota wydawnicza]. Jeśli na końcu artykułu znajduje się znak ℗, wówczas istnieje możliwość przedruku po zakupieniu licencji od Wydawcy [kontakt z Wydawcą]
Dziennikarz naukowy, reporter telewizyjny, twórca programu popularnonaukowego „Horyzont zdarzeń”. Współautor (z Agatą Kaźmierską) książki „Strefy cyberwojny”. Stypendysta Fundacji Knighta na MIT, laureat Prix CIRCOM i Halabardy rektora AON. Zdobywca… więcej
Dziennikarka specjalizująca się w tematyce międzynarodowej, ekologicznej oraz społecznego wpływu nowych technologii. Współautorka (z Wojciechem Brzezińskim) książki „Strefy cyberwojny”. Była korespondentką m.in. w Afganistanie, Pakistanie, Iraku,… więcej

Artykuł pochodzi z numeru Nr 46/2020