APT28, czyli STRONTIUM, Sofacy lub Fancy Bear i APT 29, lub inaczej Cozy Bear. Te grupy hakerskie zdołały włamać się do systemu demokratów w Stanach Zjednoczonych. Śledztwo Prokuratury USA oskarża w tej sprawie 12 oficerów GRU. W Internecie toczy się rodzaj wojny podjazdowej nowej generacji. O tym, jak przedstawiają się zagrożenia na świecie w rozmowie z portalem PolskieRadio24.pl – ekspert Robert Siudak z Instytut Kościuszki.
***
PolskieRadio24.pl: W ostatnim czasie pojawiają się informacje od oficjalnych instytucji różnych państw w sprawie ataków hakerskich. Mieliśmy ingerencję w wybory w USA, a także próby ingerencji w wybory innych krajach. Jak ocenia się obecnie zagrożenia cybernetyczne? Czy na pierwszym miejscu są działania Rosji, czy może innego państwa, na przykład Chin? Czy to są głównie działania kryminalne, np. mafii przestępczych?
To cały wachlarz zagrożeń. Jest często problem z atrybucją takich działań. Proces atrybucji, czyli wskazywania odpowiedzialnych jest częściowo procesem technicznym, ale w dużej mierze również ma podłoże polityczno-ekonomiczne.
W ostatnich latach widzieliśmy aktywną działalność USA i ich międzynarodowych partnerów w zakresie wskazywania Rosji jako sprawcy serii cyberataków.
Infiltracja dotycząca sztabu wyborczego Demokratów USA to działania grup APT 28 i 29 (APT28, czyli STRONTIUM, Sofacy, Fancy Bear, i APT 29, czyli Cozy Bear), związanych z cywilnym i wojskowym wywiadem Federacji Rosyjskiej, które były w stanie wejść do systemu Demokratów, monitorować i wykradać pojawiające się tam informacje, np. po to by móc później je potencjalnie upublicznić.
Stany Zjednoczone wskazywały wprost na Rosję. Prokurator Robert Mueller, który ma za zadanie zbadanie sprawy ingerencji w wybory prezydenckie w 2016 roku, wydał akt oskarżenia dotyczący obywateli Rosji powiązanych z GRU. To 12 osób, które są oskarżane m.in. o aktywne hakowanie, phishing, jak i o próbę infiltracji osób i firm związanych z procesem wyborczym w poszczególnych stanach, włącznie z samym głosowaniem.
Trzeba podkreślić jednak, że nie ma żadnej potwierdzonej informacji, iż napastnikom udało się zhakować sam system głosowania. Miały miejsce działania rekonesansowe, a informacje na ten temat udostępnione zostały przez wspomnianego prokuratora Roberta Muellera.
Brzmi to niezwykle groźnie i rzeczywiście był to zuchwały atak. Szczególnie złowrogo brzmi tutaj fakt, że ataków dokonały osoby związane z wywiadem wojskowym Moskwy.
Jeśli chodzi o ataki międzynarodowe, mamy tutaj miks działań związanych z cyberwywiadem i cyberprzestępczością. W wielu wypadkach, jak na przykład Korei Północnej, to się łączy. Działalność organów powiązanych z reżimem jest także często aktywnością cyberprzestępczą, zorientowaną na wpływy finansowe.
Ataki hakerskie mają bowiem często jako cel – rabunek pieniędzy.
Jeśli patrzymy z perspektywy strat pieniężnych, jakie generują takie ataki, niezależnie jak są motywowane, wydaje się, że tzw. ransomware NotPetya był jedną z największych w historii. Szacuje się, że jego następstwa kosztowały dziesiątki miliardów dolarów. Wspomniany ransomware polega na szyfrowaniu dysków w określonych stacjach roboczych i organizacjach oraz na żądaniu w zamian za ich odszyfrowanie określonej kwoty pieniędzy (obecnie najczęściej w kryptowalutach). Skutkiem NotPetya było uniemożliwienie działania wielu nie tylko małych, ale i dużych firm o globalnym zasięgu. Przykładem jest tutaj Moller-Maersk, jedna z największych na świecie firm spedycyjnych.
Niewątpliwie problem leży w ustalaniu, czy sprawcami są cyberprzestępcy, czy określone instytucje państwowe. Nie zawsze, niestety, jesteśmy w stanie to wskazać.
Ilustruje to jeden z przypadków firmy Mondelez, która padła ofiarą ataku NotPetyi. Koncern Mondelez był ubezpieczony w firmie Zurich pod kątem strat związanych z cyberatakami i po ataku złożył wniosek o odszkodowanie. Stwierdzono jednak, że w ubezpieczeniu była klauzula, że w przypadku ataków, które przypominają konflikt i są procedowane przez kraj (chodzi o działania wrogie, które niekoniecznie są stricte zbrojne – tzw. hostile or warlike actions), to jeśli szkoda będzie związana z takimi działaniami, ubezpieczenie nie obowiązuje. W powołaniu się na tę właśnie klauzulę Zurich nie przyznał pełnej wypłaty. Pytanie zatem, czy jesteśmy w stanie wykazać, czy stoi za tym państwo. Sprawa obecnie jest rozpatrywana przez sąd w USA.
Często wydaje się, że aktor jest dość łatwy do określenia. Tak chyba było w przypadku wcześniejszych ataków na Estonię w 2007 roku czy dość niedawnych na Ukrainę.
Wiele osób myśli, że jesteśmy w stanie wskazać technicznie, kto stoi za określonym atakiem. Sam poziom techniczny jednak tego nie określi. Atrybucja musi uwzględniać szereg innych czynników takich jak motywy czy dostęp do środków. Dane techniczne mogą być ważną przesłanką, ale nie dają jednoznacznego rozwiązania. Tym bardziej, że technologie umożliwiają maskowanie swoich działań. Jest bardzo wiele przypadków działań pod fałszywą flagą.
W przypadku innych ataków specjalnie umieszczano w kodzie na przykład litery arabskie, czy cyrylicę, by zmylić tropy. Technologia reroutingu, czy trasowania cebulowego, uniemożliwia często wskazanie, jakie IP, albo jaki serwer był źródłem ataku.
W przypadku Ukrainy oprócz danych technicznych, jeśli chodzi m.in. o ataki na infrastrukturę energetyczną, mamy tło w postaci konfliktu na wschodzie, aktywnych działań Rosji w cyberprzestrzeni oraz wykorzystywanych narzędzi. Skoro jesteśmy w stanie wskazać, że ktoś wypracował pewne narzędzia, jesteśmy w stanie go z nimi następnie powiązać.
Ostatecznie wskazanie winnych wiąże się z odpowiedzialnością polityczną za taką decyzję.
Jednak zapobieganie takim atakom wydaje się sprawą priorytetową.
Zabezpieczenia muszą dotyczyć m.in. sieci przesyłowych. W 2009 roku udowodniono, że można z pomocą wirusa wpłynąć na funkcjonowanie na irańskiego programu nuklearnego..
Ważne są też działania dotyczące zabezpieczeń technologii. Często pojawia się sformułowanie, że nie używamy już pralek, czy szczoteczek, lecz komputerów, które potrafią prać, czy myć zęby. Są one lub będą podłączone do Internetu i mogą być zaatakowane lub być wykorzystane do atakowania innych obiektów.
Okazuje się, że niebezpieczny potencjał mogą mieć przedmioty, których byśmy o to nie podejrzewali. Na przykład lalka, która miała pomagać pilnować dzieci, umożliwiała odczytywanie danych przez nieuprawnione osoby w trakcie przesyłania. Stąd decyzja niemieckiego urzędu o wycofaniu tego produktu.
Jak wygląda nasza sytuacja, jeśli chodzi o owe cyberataki? Na przykład w dorocznych raportach w Czechach wskazuje się m.in. na zagrożenie wywiadowcze, cyberwywiadowcze czy zagrożenia cyberbezpieczeństwa ze strony Rosji, ale także Chin. Jak wygląda to w przypadku Polski?
Sektorowo zagrożenia się różnią. Najbardziej zagrożony jest sektor finansowo-bankowy. Rzeczywiście mamy informacje, że był on celem rosyjskich ataków. Na przykład, w 2017 roku poprzez jedną ze stron Komisji Nadzoru Finansowego (KNF) metodą tzw. water holingu (wodopoju) . infekowano adresy, które odwiedzały tę podstronę
Co do danych numerycznych – dane takie publikują organizacje typu CERT (Computer Emergency Response Team), m.in. zespół NASK (Naukowa i Akademicka Sieć Komputerowa). To zespół odpowiedzialny według ustawy o krajowym systemie cyberbezpieczeństwa za obszar związany z cywilną cyberprzestrzenią.
Widać wzrost liczby incydentów. Również operatorzy, tacy jak Orange, publikują raporty na ten temat.
Klasyczny Kowalski w pierwszej kolejności zagrożony jest raczej przez cyberprzestępców niż aktorów państwowych, którzy skupiają się raczej na pewnych kluczowych instytucjach, organach czy wybranych sektorach.
Polska także może mieć swój udział w cyberobronie.
Niektóre kraje zaczynają się specjalizować w działce cyberbezpieczeństwa, jak Wielka Brytania, Stany Zjednoczone, Izrael. Polska ma także wszelkie możliwości ku temu, by kreować globalnie rozpoznawalne produkty i usługi w zakresie zabezpieczenia cyberprzestrzeni.
W Instytucie Kościuszki publikujemy szereg analiz dotyczących rynku cyberbezpieczeństwa w Europie Środkowo-Wschodniej, roli, jaką Polska może odegrać w Europie i w świecie w tym zakresie. Rynek IT w tym zakresie rośnie bardzo szybko. Tutaj widzimy szansę dla Polski, dla poprawy jej bezpieczeństwa, ale też rozwoju gospodarki.
Z Robertem Siudakiem z Instytutu Kościuszki rozmawiała Agnieszka Marcela Kamińska, PolskieRadio24.pl
