Włamanie do sieci informatycznej jednej z francuskich telewizji i warszawskiej Giełdy Papierów Wartościowych. Atak na sieć Białego Domu, Izby Reprezentantów oraz redakcję dziennika "New York Times". Wreszcie, próba uszkodzenia wielkiego pieca w największej niemieckiej hucie stali. Liczba ataków, które przypisuje się rosyjskim hakerom, rośnie i jest wprost proporcjonalna do coraz większego politycznego napięcia pomiędzy Moskwą a krajami Zachodu.

Amerykańskie władze obawiają się dziś, że wszelkie działania podejmowane przez rosyjski rząd, które będą miały na celu wykorzystanie luk w infrastrukturze krytycznej takich podmiotów jak światowe giełdy, sieci energetyczne, porty lotnicze w celu wywołania określonego nacisku na kraje Zachodu, mogą doprowadzić do wybuchu szerszego konfliktu.

Atak na warszawską giełdę, który postawił w stan gotowości wiele zachodnich agencji wywiadowczych, to tylko jeden z przykładów zwiększonej aktywności hakerów w cyberprzestrzeni. Jego autorzy utrzymywali, że są muzułmańskimi bojownikami, którzy sprzeciwiają się poparciu Polski dla koalicji walczącej przeciwko Państwu Islamskiemu. „To dopiero początek” – napisali atakujący na stronie Pastebin, z której często korzystają członkowie cyberprzestępczego podziemia. „Ciąg dalszy nastąpi! Allahu Akbar!” - czytamy dalej. 

Oprócz kradzieży danych, napastnicy upublicznili loginy dziesiątek użytkowników systemu, narażając GPW na chaos i dalsze ataki ze strony cyberprzestępców wszelkiej maści. Był to swego rodzaju społecznościowy sabotaż.

Sęk w tym, że atakujący  nie mieli nic wspólnego z ISIS. Za zasłoną dymną znajdowała się grupa hakerów silnia powiązana z rosyjskim wywiadem, wynika z informacji trzech osób uczestniczących w śledztwie. Incydent ten został odebrany przez polskich śledczych jako poważne ostrzeżenie dla kraju będącego członkiem Sojuszu Północnoatlantyckiego, który wcześniej w zdecydowany sposób sprzeciwił się rosyjskiej interwencji we wschodniej Ukrainie.

Atak na giełdę, w wyniku którego nie doszło do żadnych poważnych zakłóceń na platformie obrotu, skłonił polskie władze do aktualizacji systemów informatycznych w agencjach rządowych, sektorze finansowym oraz szpitalach.

Podobnie jak w innych dziedzinach, Rosjanie działają bezpośrednio na zlecenie rządu lub też za jego zgodą, wynika z oceny dokonanej przez amerykańskie agencje wywiadowcze. Czasami trudno jednoznacznie ustalić, które ataki są dokonywane bezpośrednio przez komórki rządowe, a które przez przestępców posiadających dostęp do specjalistycznych narzędzi.

„Oni spuścili psy z łańcucha” - powiedział Tom Kellermann, szef departamentu bezpieczeństwa w firmie Trend Micro.

Rzecznik Kremla Dimitrij Pieskow odrzuca sugestie jakoby to Rosja stała za atakami. „To absolutnie bezpodstawne zarzuty, które są absurdalne” – podkreśla. „My również stajemy się celem tych ataków, co pokazuje, że mogą one spotkać każdego. Potrzebujemy międzynarodowej współpracy, która pomoże nam radzić sobie z tymi zagrożeniami. Niestety często nie widzimy konstruktywnego podejścia do tego problemu ze strony naszych partnerów” – dodaje Pieskow.

>>> Czytaj też: Armia hakerów Kim Dzong Una to dopiero początek. Rok 2015 będzie rokiem cyberwojny

Akt wojny?

Rosja uznawana jest za największe zagrożenie dla cyberbezpieczeństwa Stanów Zjednoczonych przez szefa amerykańskiego wywiadu Jamesa Clappera. Amerykańska doktryna militarna zakłada, że niszczycielskie ataki hakerskie mogą zostać uznane za akty wojny. Do tej pory USA nie wydały jednak oficjalnego oświadczenia w sprawie domniemanych ataków dokonywanych przez rosyjskich hakerów.

Cyberprzestrzeń to niezwykle newralgiczna przestrzeń do prowadzenia działań wojennych. Często, nawet najlepsi eksperci nie potrafią we właściwy sposób zidentyfikować źródła ataku, co jeszcze bardziej podsyca obawy o bezpieczeństwo infrastruktury krytycznej. Rosja jest jednym z nielicznych krajów, który doskonale potrafi zamaskować swoją tożsamość w cyberprzestrzeni, nawet przed słynną Agencją Bezpieczeństwa Narodowego USA.

W ubiegłym roku rosyjscy hakerzy mieli doprowadzić do uszkodzenia wielkiego pieca w należącej do firmy ThyssenKrupp AG największej niemieckiej hucie stali. W tym wypadku szpiegowskie oprogramowanie znalezione w zainfekowanych systemach zostało wcześniej powiązane z rosyjską działalnością szpiegowską. Amerykańskie agencje wywiadowcze nie powiązały jednak tego samego incydentu bezpośrednio z działaniami rosyjskiego rządu.

Kilian Roetzer, rzecznik ThyssenKrupp zaprzeczył jakoby do takiego ataku w ogóle doszło, podobnie jak wszystkie inne niemieckie przedsiębiorstwa z branży stalowej. W ubiegłym roku o ataku na hutniczy piec poinformował niemiecki rządu, ale nie ujawnił żadnych informacji ani o celu ataku, ani też o domniemanych sprawcach.

W kwietniu br. ta sama grupa hakerów, która zaatakowała warszawską giełdę, sparaliżowała francuską stację TV5 Monde i jej strony w sieci. Na skutek ataku przerwane zostało nadawanie programu. Przywrócenie pełniej sprawności systemów informatycznych kosztowało 15 mln euro – wynika z informacji przekazanych przez szefostwo stacji.

>>> Czytaj też: Ciemna strona internetu. Czy cyberprzestępcy mogą spowodować katastrofę samolotu?

Kluczowa infrastruktura

Grupy rosyjskich hakerów miały również szpiegować sieci informatyczne kluczowej infrastruktury elektroenergetycznej w Stanach Zjednoczonych, Europie oraz Kanadzie. Te prowokacyjne działania były o tyle niebezpieczne, że dotyczyły infrastruktury, z której każdego dnia korzystają miliony ludzi.

Jeden z przedstawicieli amerykańskich władz, który pragnie zachować anonimowość, interpretuje te ataki jako rodzaj ostrzeżenia.

„Rosjanie są doskonale wykwalifikowani” – podkreśla Mike Buratowski, wiceprezes do spraw cyberbezpieczeństwa w Fidelis Cybersecurity. „Jeśli uda ci się zidentyfikować, że to oni stają za atakami, to istnieją dwie możliwości: Albo Rosja nie ma nic przeciwko temu, albo wręcz chce żebyś o tym wiedział”.

Rosyjski prezydent Władimir Putin, od czasu powrotu do władzy w 2012 roku, konsekwentnie zwiększa nakłady finansowe i kadrowe na agencje wywiadowcze zajmujące się działalnością hakerską. „Chociaż nie mogę wchodzić w szczegóły, mogę potwierdzić, że cyberzagrożenie ze strony Rosji jest zdecydowanie poważniejsze niż wcześniej zakładaliśmy’ – powiedział James Clapper podczas wystąpienia przed Kongresem w lutym br.

Po tym, jak Unia Europejska i Stany Zjednoczone nałożyły na Rosję sankcje gospodarcze w związku z interwencją wojskową na Ukrainie, rosyjski przywódca uruchomił zarówno oficjalne jak i nieoficjalne komórki cybersił, które rywalizują dziś o zasoby i uznanie ze strony Moskwy. „Ich działania są skuteczne. Jeśli robisz coś, co działa, to będziesz to robić dalej” – zaznacza Jason Lewis, były specjalista ds. eksploatacji sieci w Departamencie Obrony USA.

Ta sama grupa, która zaatakowała warszawską giełdę oraz francuską telewizję TV5 Monde, całkiem niedawno przeniknęła do systemu poczty e-mail w Izbie Reprezentantów Stanów Zjednoczonych, dając Rosji dostęp do korespondencji amerykański prawodawców. Dan Weiser, rzecznik izby, odmówił komentarza w tej sprawie.

Z kolei w lipcu i sierpniu amerykańskie agencje rządowe zostały zbombardowane e-mailami zawierającymi zainfekowane oprogramowanie, które zostały wysłane przez dwie rosyjskie grupy hakerów. Tom Kellermann podkreśla, że maile trafiły m.in. do 2000 wyższych urzędników, w tym co najmniej jednego członka gabinetu prezydenta Bracka Obama, jak również na prywatne konta pocztowe członków ich rodzin.

Choć ataki te zostały wykryte, przede wszystkim ze względu na rangę obranych celów, to jednak nie były całkowicie nieskuteczne. Śledczy z NSA i Departamentu Bezpieczeństwa Wewnętrznego spędzili setki godzin, próbując zniwelować zagrożenie ze strony złośliwego oprogramowania i włamując się na serwery koordynujące ataki.

>>> Czytaj też: Aaakupię wpis! Handel komentarzami w internecie ma się świetnie

Wyspecjalizowani hakerzy

Putin dysponuje zdecydowaną przewagą nad swoimi rywalami o prymat w cyberprzestrzeni. Rosja jest domem dla grona najbardziej wyrafinowanych cyberprzestępców na całym świecie, a rząd utrzymuje z nimi bardzo bliskie relacje, wynika z śledztwa przeprowadzonego przez FBI i amerykańskie agencje wywiadowcze.

Kellermann uważa, że grupa, która zaatakowała warszawskie parkiet – nazywana różnie przez firmy ds. cyberbezpieczeństwa jako APT 28, Fancy Bear lub Pawn Storm – stanowi luźną konfederację najlepszych cyberprzestępców w całym kraju. W niektórych przypadkach, dysponują oni lepszymi umiejętnościami od hakerów zatrudnionych przez rosyjski rząd, a po interwencji na Ukrainie otrzymali dodatkową motywację, aby pomagać Kremlowi. „Ci ludzie byli nietykalni przez lata, a teraz wracają do domu, aby złożyć hołd” – podkreśla ekspert.

Niektórzy eksperci ds. bezpieczeństwa uważają, że APT-28 może być wyspecjalizowaną jednostką FSB. Grupa ta jest powiązana m.in. z atakami na wewnętrznych przeciwników Putina, w tym grupę Pussy Riot, jak również z udziałem w misjach antyterrorystycznych, które z założenia są jednym z głównych zadań rosyjskiej agencji wywiadowczej.

Grupa APT-28 miała również stać za ubiegłorocznym atakiem na redakcję „New York Times”, kiedy to hakerzy przejęli kontrolę nad korespondencją ponad 50 dziennikarzy gazety. Nie udało im się jednak spenetrować głównej sieci dziennika.

„Fakt, że mówimy o szczegółach dotyczących poszczególnych grup rosyjskich hakerów jest niezwykły” – podkreśla Laura Galante, dyrektor firmy FireEye, specjalizującej się w zagadnieniach cyberbezpieczeństwa i szpiegostwa. „Chiny zawsze posiadały wiele grup hakerów specjalizujących się w różnych rodzajach ataków. Teraz działalność Rosjan możemy rozpatrywać w takich samych kategoriach. Wzrost aktywności w ostatnich latach, szczególnie po interwencji na Ukrainie, dostarczył nam wielu informacji na temat ich potencjału”.