Niedawno największy niemiecki tabloid „Bild” donosił o poważnym ataku hakerskim z Rosji na niemiecki system bankowy, wskazując na rosyjskich państwowych hakerów z grupy „Fancy Lazarus” jako na winowajców. Jeśli atak taki rzeczywiście miał miejsce – ponieważ nie ma oficjalnego potwierdzenia – trudno będzie oskarżyć o takie działania rosyjskie służby państwowe, nawet jeśli eksperci ds. cyberbezpieczeństwa wskażą wyraźnie winnych. Grupę cyberprzestępców „Fancy Lazarus” można bowiem równie łatwo powiązać z Chinami, Koreą Północną lub z żadnym rządem.

Właśnie ze względu na tę łatwość zaprzeczenia prezydent USA Joe Biden w czasie spotkania z Władimirem Putinem w ubiegłym miesiącu musiał postępować bardzo ostrożnie w czasie zakreślania „czerwonych linii” – nie mógł bowiem powiedzieć Putinowi wprost, aby zakończył cyberataki. Zamiast tego Joe Biden mówił o niezapewnianiu cyberprzestępcom schronienia. Tę linię argumentacji Putin próbował zmienić, mówiąc o tym, że Rosja rozważy wydanie USA cyberprzestępców, ale tylko na zasadzie wzajemności. To nie była propozycja stworzenia całego systemu wymiany – teoretycznie bowiem mogłoby dość tylko do wymiany konkretnych osób.

Reklama

Rynek Hydra

Możliwość zaprzeczenia zaangażowania Rosji w cyberataki jest z jednej strony o wiele dalej idąca niż w przypadku działań Rosji na Ukrainie. Z drugiej strony dla każdego, kto wie cokolwiek o ważnej rosyjskiej instytucji – darkwebowym czarnym rynku Hydra – oczywiste jest, że takie miejsce w cyberprzestrzeni (mogące być największym na świecie) nie mogłoby powstać w żadnym innym kraju. Oprócz tego, że Hydra jest miejscem pośrednictwa dla handu narkotykami, to dzięki niej zbudowano sieć kanałów prania brudnych pieniędzy dla hakerów, które to kanały są trudne w użytkowaniu przez internautów nie będących Rosjanami.

Średni czas życia i działania rynku w ramach dark webu, czyli stron internetowych kupna i sprzedaży, funkcjonujących w ramach szyfrowanej i zanonimizowanej sieci takiej jak Tor – wynosi ok. 8 miesięcy (szacunki z 2018 roku). Taki czarny rynek najczęściej załamuje się pod wpływem oszustw, pada ofiarą działań organów ścigania lub jest likwidowany przez konkurencję. To prawdziwa dżungla, gdzie zarówno kupujący jak i sprzedający przywykli do przechodzenia w nowe miejsca. Wyjątki wśród darkwebowych czarnych rynków jeśli chodzi o czas funkcjonowania, są ekstremalnie rzadkie.

Tymczasem Hydra jest wyjątkiem od wszystkich wyjątków. Założono ją w 2015 roku, a już rok później obroty na Hydrze wyniosły 9,4 mln dol. W 2020 roku obroty sięgnęły 1,4 mld dol. i wciąż rosną. Dane te pochodzą z raportu firmy zajmującej się cyberbezpieczeństwem Flashpoint oraz firmy analizującej rynek kryptowalut Chainalysis. Ta ostatnia firma szacuje, że Hydra odpowiada za ponad 75 proc. dochodów czarnego rynku na świecie.

Cały ten obrót jest w kryptowalutach. Chainalysis ocenia, że udział przepływów w bitcoinie z nielegalnych działań wynosi zaledwie 1 proc. Ale jak pisze ta firma w „Crypto Crime Report” z 2021 r., „pierwszą rzeczą, która się wyróżnia, jest to, że Rosja ma nieproporcjonalnie duży udział w funduszach rynku darknet, co jest głównie zasługą Hydry”. Nic dziwnego, w końcu w Moskwie oraz w innych rosyjskich miastach Hydra jest miejscem, gdzie można kupić narkotyki, określane jako „ukryte skarby” i chowane przez zarabiających tysiące dolarów młodych ludzi na ławkach w parku, pod drzewami czy na dnie skrzynek pocztowych.

Nielegalny rynek tak duży i tak stary jak Hydra, z konieczności musi być całym ekosystemem. Rodzi to duże zapotrzebowanie na usługi prania brudnych pieniędzy, co może być wykorzystywane do legalizacji dochodów z innych niż handel narkotykami rodzajów cyberprzestępczości.

Chainalysis i Flashpoint opisują główną zmianę praktyk obchodzenia się z pieniędzmi, jaka zaszła na rynku Hydra w 2018 roku. Otóż aby móc wypłacić swoje pieniądze z Hydry, sprzedawcy muszą zamienić je na rosyjskie ruble przy pomocy określonej grupy lokalnych sprzedawców. To raczej nie uszczęśliwiało sprzedawców i według raportu, niektórzy handlarze narkotykami preferują dziś rozliczenia w gotówce, poza Hydrą, a pieniądze zakopują, podobnie jak „narkotykowe skarby”. Ale według raportu Flashpoint-Chainalysis, opieranie się na lokalnych usługach oraz rublach sprawia, że proceder prania brudnych pieniędzy na rynku Hydra jest „trudny, prawie niemożliwy do wyśledzenia”.

To oczywiście sprawia, że finansowa infrastruktura Hydry staje się bardzo wartościowa dla wszelkiej maści lokalnych cyberprzestępców. W raporcie „Crypto Crime” Chainalysis pojawia się studium przypadku rosyjskiego brokera cyberwalut, który otrzymał 265 mln dol. w kryptowalutach odkąd stał się aktywny – być może przypadkowo – w 2018 roku. Duża część tych środków pochodziła z Hydry, ale część pochodziła z różnych form cyberprzestępstw typu ransomware i scam. Pozarynkowy broker pomagał też swoim klientom zamieniać nielegalnie uzyskane bitcoiny na gotówkę.

Amerykański Departament Sprawiedliwości poinformował, że udało mu się odzyskać część środków z okupu, jaki zapłacono hakerom po ataku na Colonial Pipeline, ale zanim udało się odzyskać bitcoiny, sprawcy ataku mogli już przekonwertować część środków na ruble, wykorzystując kanały wyrosłe wokół rynku Hydra.

Ochrona Hydry to tajemnica poliszynela?

W jakiejkolwiek rozmowie o rynku Hydra jego ochrona jest tajemnicą poliszynela. Rosja Władimira Putina w coraz większym państwem policyjnym, które skoncentrowała dużą władzę w rękach organów ścigania. Jednak Hydra dobrze prosperuje – tak dobrze, jak mało który czarny rynek w internecie, o ile w ogóle jakiś. Twórcy Hydry początkowo mogli mieć cel międzynarodowej ekspansji, ale wygląda na to, że zarzucili ten plan, przynajmniej czasowo. Widocznie w Rosji czują się bezpiecznie. Ich oparcie o infrastrukturę finansową rubla jest na to dowodem. Zacytujmy Flashpoint i Chainalysis:

„jak dotąd Hydrze udało się unikać kontroli organów ścigania i działań konkurencji. Być może jest to przypadek, a może wskazuje to, że rynek Hydra jest bardziej odporny na wahania geopolityczne i wysiłki organów ścigania. Im dłużej Hydra działa bez poważniejszych problemów, tym bardziej realistyczna staje się ta druga opcja, a jedynym prawdopodobnym wyjaśnieniem stają się regionalne korzyści finansowe dla interesariuszy tego systemu”.

To ostrożny sposób na wyrażenie twierdzenia, że Hydra ma potężnych protektorów na samym szczycie rosyjskiego establishmentu. Rosja wielokrotnie zaprzeczała jakimkolwiek oficjalnym powiązaniom z cyberatakami. Jednak, jak zauważają Flashpoint i Chainalysis, skala fenomenu rynku Hydra w Rosji byłaby niemożliwa do osiągnięcia bez jakiejś formy półoficjalnego wsparcia.

Rosja posiada niewiele międzynarodowych i konkurencyjnych firm z branży technologicznej, ale ma już sporo talentów informatycznych, w tym osoby żądne przygód. Wyjątkowy amalgamat korupcji, wiedzy specjalistycznej i postawy geopolitycznej sprawiającej, że każdy atak na zachodnie instytucje jest użyteczny dla Rosji – wszystko to czyni z Rosji głównego gracza w przestrzeni cyberprzestępczości. Zaraz po Ukrainie jeśli chodzi o przyjmowanie kryptowalut, Rosja buduje kompetencje technologiczne w obszarze, w którym inne kraje nie mają odwagi tego robić.

Czy Putin może coś z tym zrobić? Prawdopodobnie to niewłaściwe pytanie. Jak dotąd bowiem, prezydent Rosji nie ma prawdziwej motywacji, aby prowadzić represje wobec rynku Hydra, szczególnie, jeśli nielegalny biznes miałby stać się transparentny. Groźba działań odwetowych ze strony USA nie jest wystarczająco przekonująca dla Putina. Jeśli rynki Hydry zostaną zaatakowane i zniszczone, to inni zajmą jej miejsce. Nic bowiem nie jest tak odporne, jak dark web.