Kim są hakerzy podejrzewani o atak na amerykański rurociąg? Trop prowadzi do Rosji
Nieoficjalnie mówi się, że za cyberatakiem na rurociąg Colonial stoi grupa hakerów nazywająca się Darkside. To relatywnie nowa grupa, najprawdopodobniej operująca z terenu Rosji lub którejś z byłych sowieckich republik. Grupa prowadzi nawet... dział PR i infolinię. Jakie konsekwencje dla Kremla może mieć działanie hakerów?
Rurociąg Colonial, który dostarcza ok. 45% ropy na wschodnie wybrzeże USA, to jeden z najważniejszych elementów amerykańskiej infrastruktury paliwowej. Oprócz benzyny i oleju napędowego dla stacji benzynowych płynie nim również paliwo odrzutowe wykorzystywane przez kilka lotnisk międzynarodowych, a także paliwo z którego korzystają amerykańskie siły zbrojne. Krótka przerwa w jego funkcjonowaniu nie powinna mieć wielkiego wpływu na rynek paliw, do takich przerw dochodziło już w przeszłości z powodu awarii czy np. huraganów, ale jeśli szybko nie uda się go uruchomić, to sytuacja może błyskawicznie ulec pogorszeniu.
Firma, do której należy ten rurociąg oświadczyła, że po jego zauważeniu sami odłączyli systemy, aby ograniczyć skutki ataku. Na razie nie ujawniono jednak zbyt wielu jego szczegółów. Nie wiadomo jak był poważny, w jakim stopniu udało się go powstrzymać ani czego żądali hakerzy. Sam fakt, że tak ważny fragment infrastruktury padł ofiarą hakerów wstrząsnął jednak ekspertami. Profesor Amy Myers Jaffe powiedziała, że „to było tak blisko szyi USA jak to tylko możliwe”. Wielu ekspertów martwi się, że nasze rosnące uzależnienie od komputerów i internetu oznacza, że problem ataków hakerskich będzie coraz poważniejszy i już wkrótce nawet działający samotnie zdolny nastolatek będzie mógł rzucić dowolny kraj na kolana, nie wspominając już o hakerach zatrudnianych przez służby takich państw jak Korea Północna, Rosja czy Chiny.
W tym przypadku jak na razie wszystko wskazuje, że hakerzy którzy dokonali ataku na ten rurociąg nie mieli ukrytych motywów i faktycznie był to atak w celach zarobkowych. Atrybucja ataku hakerskiego nie jest łatwym zadaniem, tym bardziej, że hakerzy często zostawiają fałszywe ślady mające zmylić śledczych. Nie jest niczym niezwykłym, że pierwsze doniesienia o sprawcach pojawiają się dopiero po kilku miesiącach od ataku, a i wtedy często są to tylko przypuszczenia.
Tym razem po kilku dniach anonimowe źródła wśród osób badających ten atak powiedziały, że podejrzewana jest o nie grupa hakerów nazywające się Darkside (ang. mroczna strona).
W poniedziałek wieczorem (czasu polskiego) FBI potwierdziło już oficjalnie, że odpowiedzialność za cyberatak na sieć największego w USA operatora rurociągów paliwowych Colonial Pipeline spoczywa na grupie DarkSide. CNN określiła ją wcześniej jako rosyjską grupę przestępczą.
„FBI potwierdza, że ransomware DarkSide jest odpowiedzialny za uderzenie na sieć Colonial Pipeline. Kontynuujemy współpracę nad śledztwem z firmą i naszymi partnerami rządowymi”.
- głosi krótkie oświadczenie Federalnego Biura Śledczego w tej sprawie.
Ransomware to zbitka słów „ransom” (okup) oraz „software” „oprogramowanie”. Ransomware jest zdolne zablokować dostęp do systemu komputerowego lub uniemożliwić odczyt zapisanych w nim danych. Za usunięcie blokady hakerzy żądają okupu. Atak DarkSide wstrzymał dostawy paliwa na wschodnim wybrzeżu USA.
„Eksperci od cyberbezpieczeństwa, którzy monitorowali DarkSide, powiedzieli, że wydaje się ona być złożona z weteranów cyberprzestępczości. Koncentrują się na wyciskaniu od swych ofiar jak najwięcej pieniędzy, jak tylko mogą”.
- podkreśla Reuters.
Agencja, powołując się na szefa zajmującej się bezpieczeństwem firmy Cybereason z Bostonu Liora Divę, twierdzi, że grupa jest nowa, ale bardzo dobrze zorganizowana. Sugeruje on, że ataku dokonał ktoś, kto tam (w Colonial Pipeline) był.
Wschodni trop?
Darkside to relatywnie młoda grupa, eksperci od cyberbezpieczeństwa zwrócili na nią uwagę dopiero w sierpniu zeszłego roku. Bardzo szybko dokonali jednak kilku imponujących ataków, przez co eksperci uważają, że nie są to amatorzy. „Są nowi, ale są bardzo dobrze zorganizowani” - zauważył Lior Div, szef firmy Cybereason. Ujawnił, że co najmniej dziesięciu jego klientów padło ich ofiarą. Specjalnością tej grupy są ataki ransomware. Polegają na tym, że hakerzy wpuszczają do wewnętrznej sieci lub komputera ofiary oprogramowanie, które blokuje jej działanie, a następnie żądają okupu – często liczonego w milionach dolarów – za jej odblokowanie. Zdaniem Diva i wielu innych ekspertów skala działania i sukcesy świadczą o tym, że o ile sama Darkside jest nowa, o tyle jej członkowie to doświadczeni cyberprzestępcy, zapewne weterani innych takich grup.
Jeżeli chodzi o kraj ich pochodzenia, to większość ekspertów podejrzewa, że Darkside działa z Rosji lub z którejś z byłych sowieckich republik. Wiadomo, że wśród ich ofiar nie ma rosyjskich, ukraińskich czy kazachstańskich firm. Od dawna mówi się również o tym, że w przeciwieństwie do zachodnich rządów Kreml nie robi zbyt wielkich problemów hakerom działającym na ich terytorium jeśli ci nie sprawiają problemów Rosjanom. Wielu ekspertów od cyberbezpieczeństwa podejrzewa też, że rosyjskie służby korzystają z ich usług przy dokonywaniu cyberataków na państwa zachodu, czemu Kreml oczywiście gorąco zaprzecza. Na razie jednak nie znaleziono żadnego dowodu na to, że Darkside współpracuje z rosyjskimi służbami ani tego, że atak na rurociąg był czymś więcej niż przestępstwem mającym na celu zdobycie pieniędzy, ale na obecnym etapie nie da się tego wykluczyć.
Student informatyki z politechniki Georgia Tech Chuong Dong opublikował jakiś czas temu analizę oprogramowania używanego przez Darkside. Stwierdził w niej, że to relatywnie standardowe programy typu ransomware i nie ma w nich nic niezwykłego, co odróżniałoby je od setek innych podobnych programów. Div zauważył, że sukcesy tej grupy leżą bardziej w tym, że przed każdym atakiem bardzo dokładnie rozpracowują cele wywiadowczo. Wiedzą gdzie uderzyć, w jaki sposób najlepiej wpuścić oprogramowanie do systemu i z kim rozmawiać, aby uzyskać okup. W tym wypadku na dzień przed właściwym atakiem na rurociąg, który miał miejsce w piątek, włamali się na serwery firmy i wykradli około 100 gigabajtów danych. Nie jest na razie jasne o jakie dane chodzi, firma milczy w tym temacie, ale niewykluczone, że posłużyły im w zaplanowaniu tego ataku. Niektórzy eksperci uważają, że ten talent do pracy wywiadowczej świadczy o tym, że nawet jeśli Darkside to zwykli przestępcy, to być może pracują lub pracowali dla służb.
Hakerski dział PR
Charakterystyczną cechą grupy jest to, że próbują się przedstawiać jako solidna firma. Nie jest niczym niezwykłym to, że grupy hakerskie prowadzą swoje strony w tzw. darknecie, ale ta prowadzona przez Darkside przypomina bardziej strony prowadzone przez tzw. białe kapelusze, jak popularnie nazywa się działających legalnie hakerów, którzy dokonują ataków na zlecenie aby firmy mogły sprawdzić w praktyce swoje zabezpieczenia. Darkside prowadzi nawet infolinię dzięki której ofiary mogą uzyskać pomoc w negocjowaniu przekazania okupu oraz dział PR, który kontaktuje się – rzecz jasna anonimowo – z branżowymi dziennikarzami w sprawie dokonywanych przez nich ataków. Wrażenie działającej legalnie firmy psuje tylko to, że przedstawiciele takich firm raczej nie chwalą się publicznie milionami dolarów jakie ukradli ani nie publikują wykradzionych dokumentów należących do firm, które odmówiły zapłaty okupu.
Darkside usiłuje się również przedstawić jako coś w rodzaju grupy cyfrowych Robin Hoodów. Na swojej stronie podkreślają, że nigdy nie żądają okupu większego, niż ich ofiara jest w stanie zapłacić, a przed każdym atakiem dokonują analizy jej finansów. Podkreślają też, że nie atakują celi, których nie stać na poradzenie sobie z konsekwencjami tego ataku, szpitali oraz celi rządowych. Eksperci podkreślają jednak, że nie wynika to wcale z ich dobrego serca. Ataki na firmy, które nie mają pieniędzy na zapłacenie okupu, są bowiem nieopłacalne, a próba wymuszenia okupu od rządu jest związana z nadmiernym ryzykiem. Szpitale od dawna były popularnym celem hakerów, ale w czasie pandemii taki atak nie tylko może nie przynieść spodziewanych zysków, ale może również wywołać bardziej zdecydowaną odpowiedź służb.
Grupa chwali się również, że przekazuje część zysków ze swoich ataków na działalność dobroczynną. Twierdzą na swojej stronie, że „chcą uczynić świat lepszym miejscem”. „Uważamy, że to sprawiedliwe, że część pieniędzy które zapłaciły firmy pójdzie na dobroczynność” - napisali na swoim blogu - „Nie ważne, że myślicie, że nasza praca jest zła, cieszy nas to, że pomogliśmy zmienić czyjeś życie”. Pokazali również rachunki na dwie dotacje w bitcoinach, o równowartości ok. 40 tysięcy złotych każda. Jedna z obdarowanych organizacji dobroczynnych, Children International, potwierdziła telewizji BBC, że otrzymała taką dotację, ale nie ma zamiaru jej zatrzymać. Eksperci nie mają pojęcia dlaczego to robią, przeważa opinia, że w ten sposób uśmierzają wyrzuty sumienia.
Konsekwencje dla Rosji
W wypadku poprzednich ataków Darkside bardzo szybko chwaliła się ich dokonaniem, nierzadko przedstawiając na to dowody. W tym wypadku jak na razie milczą, nie wydali żadnego oświadczenia i nie odpowiadają na pytania dziennikarzy, chociaż na swojej stronie chwalą się, że odpowiedzą na każde w mniej niż 24 godziny. Zdaniem większości ekspertów nie świadczy to jednak o ich niewinności. Uważają, że takie ataki najlepiej dokonuje się dyskretnie. W tym wypadku fakt, że hakerzy doprowadzili do wyłączenia tak ważnego fragmentu infrastruktury, wywołał w USA zrozumiała panikę i bardzo silną reakcję rządu, czego nie wzięli pod uwagę na etapie planowania.
- To może być mający największe znaczenie atak tego typu w historii, cyberkatastrofa która zmieni się w prawdziwą katastrofę
- skomentował Andrew Rubin z firmy Illumio - „To absolutny koszmar”. „Ich interesom nie służy to, że rząd USA się w to zaangażował, że zaangażowało się w to USA” - skomentował Div - „To ostatnia rzecz jakiej potrzebują”.
Jeżeli uda się udowodnić, że to Rosjanie stoją za tym atakiem, to może to mieć konsekwencje dla Rosji. Dmitri Alperowicz, współzałożyciel firmy Crowdstrike zauważa, że tak będzie nawet wtedy, jeśli nie znajdą się dowody, że ten atak był inspirowany z Kremla. Zachodowi przeszkadza bowiem równie mocno to, że Rosjanie tolerują przestępczą działalność hakerów prowadzoną z ich terytorium.
- To czy pracują dla państwa czy nie jest coraz bardziej bez znaczenia biorąc pod uwagę oczywistą politykę tolerowania cyberprzestępczości przez Rosję
- skomentował.
Źródło: NBC, Forbes, Wired, Reuters
