Cyfrowe wojny

Choć cyberterroryzm i cyberwojna od lat biją w oczy z nagłówków gazet i serwisów informacyjnych, eksperci pozostawali sceptyczni. Przez ostatnią dekadę stworzono dziesiątki analiz marginalizujących zagrożenie komputerowymi atakami. Dowodzono, że nikt tego jeszcze nie zrobił, a temat wylansowały media. Przełom nastąpił w 2010 r., gdy irańską infrastrukturę atomową zaatakował wirus Stuxnet. Szybko pojawiły się spekulacje, że taki program, okrzyknięty najbardziej zaawansowanymi wirusem w historii, mógł powstać tylko na zlecenie służb wywiadowczych.

Przez lata eksperci popełniali błąd postrzegając terroryzm jako działania motywowane politycznie i owocujące stratami w ludziach. Tymczasem nie brak było przykładów na to, że złamane systemy informatyczne mogą stać się skutecznym narzędziem destrukcji.

W marcu 2000 r. Australijczyk Vitek Boden wykorzystując skradzione oprogramowanie i dostęp do Internetu wypuścił do rzeki milion litrów trujących ścieków, zmuszając okolicznych mieszkańców do ewakuacji. Nie był terrorystą, tylko byłym pracownikiem szukającym zemsty na lokalnej administracji, jednak jego działania pokazały, że zdeterminowany przestępca jest w stanie wywołać katastrofę przemysłową. Nic nie stoi więc na przeszkodzie, aby podobne działania podjął agent wywiadu.

Według byłego członka amerykańskiej Rady Bezpieczeństwa Narodowego, Thomasa C. Reeda, CIA dokonała ego już 18 lat wcześniej. Podczas jednej z operacji wywiadowczych umieszczono bombę logiczną w oprogramowaniu, na które polował rosyjski wywiad. Miała się ona zamienić w jeden z największych fajerwerków w dziejach świata, gdy sterowany wadliwym oprogramowaniem system rurociągów eksplodował z mocą trzech kiloton trotylu.

Był to prawdopodobnie pierwszy w historii atak na systemy SCADA (Supervisory Control And Data Acquisition), kierujące praca uradzeń przemysłowych. Oczywiście można by zwalić winę na niewiedzę KGB o nieznanym wcześniej zagrożeniu jakim był cybersabotaż, gdyby nie analogiczna wpadka Iranu z zeszłego roku. Instalacje atomowe tego kraju stały się wówczas celem najbardziej wyrafinowanego komputerowego szkodnika, jaki kiedykolwiek został stworzony: wirusa Stuxnet. Zanim jednak do niego przejdziemy, warto zadbać o umieszczenie ataku na irańskie instalacje atomowe w odpowiednim kontekście.

Hacktywizm

Rozprzestrzenianie wirusów w Sieci bywa także formą demonstracji politycznej. Takie działania nazywa się hacktywizmem.

Robak WANK z 1989 r. to pierwszy znany przykład hacktywizmu, czyli w tym przypadku cybersabotażu o podłożu politycznym.

Robak WANK z 1989 r. to pierwszy znany przykład hacktywizmu, czyli w tym przypadku cybersabotażu o podłożu politycznym.

Australijscy hakerzy już w 1989 r. zainfekowali komputery NASA robakiem WANK, aby uniemożliwić start promu kosmicznego Atlantis, który miał wynieść sondę kosmiczną Galileo. Misja wywoływała protesty grup radykalnych ekologów, ponieważ sonda być zasilana paliwem atomowym. Powstrzymać startu się nie udało, ale oczyszczanie sieci NASA z wirusa i tak trwało wiele tygodni.

W 2007 r. rosyjscy hacktywiści zablokowali atakami DDoS estońskie witryny rządowe. Rok później powtórzyli to podczas konfliktu z Gruzją. Podobny atak na rządowe witryny Iranu spontanicznie przeprowadzili internauci z całego świata podczas zeszłorocznych zamieszek w Iranie, a walkę z "wrogimi" witrynami prowadzą wciąż przeciwnicy organizacji walczących z piractwem.

Cyberszpiegostwo

Pomiędzy hacktywistami a cyberterrorystami są jeszcze cyberszpiedzy. Operacjami tego rodzaju zajmują się całe zespoły profesjonalistów mających do dyspozycji te same narzędzia co internetowi oszuści lub spamerzy, ale wykorzystujący je do celów wywiadowczych.

Wiele z ataków na rządowe komputery w USA, Wielkiej Brytanii i Niemczech przypisuje się wojskowym hackerom z Chin. Tworzą oni takie grupy jak "Titan Rain", która działa najprawdopodobniej od 2003 r. i ma na koncie włamania do komputerów NASA czy korporacji Lockheed Martin. Podobnie jak twórcy zwykłych wirusów, także cyberszpiedzy tworzą sieci zainfekowanych komputerów. Wykryta w 2009 r. sieć GhostNet składała się z ok. 1,3 tys. komputerów z ponad 100 krajów, zawierających dane o dużym znaczeniu politycznym, militarnym i handlowym. Niemal 30% wchodzących w jego skład maszyn znajdowało się w placówkach dyplomatycznych.

Robak Stuxnet - początek nowej ery

Kolejnym stadium rozwoju tego rodzaju działań w Sieci jest cybersabotaż i terroryzm. Do niedawna można było ignorować to zagrożenie, ale sytuacja zmieniła się za sprawą wykrycia w połowie zeszłego roku robaka internetowego Stuxnet.

Zdaniem ekspertów jest to najbardziej zaawansowany szkodnik w historii złośliwego oprogramowania. Można to ocenić po tym, jak duże zasoby były potrzebne do jego stworzenia, które Mikko Hypponen z firmy F-Secure ocenia na kilka lat czasu i milionów dolarów budżetu. Są to sumy będące poza zasięgiem hacktywistów i amatorów.

To co przykuło uwagę specjalistów to fakt, że Stuxnet wykorzystywał aż cztery wcześniej nie upublicznione luki w zabezpieczeniach, aby dotrzeć do komputerów połączonych z systemami kierowania procesami przemysłowymi SCADA.

Zwykli cyberprzestępcy z reguły chowają wiedzę o takich niezałatanych jeszcze dziurach na lepszą okazję, wykorzystując je tylko w razie konieczności. Większość domowych komputerów i tak ma różne niezałatane luki, więc te nieujawnione publicznie pełnią rolę jokera w pokerowej talii, gdy zamkną się wcześniej wykorzystywane furtki.

Mapa aktywności robaka Stuxnet w trzecim kwartale 2010 r. Wyraźnie widać wzmożoną aktywność na terenie Iranu. Źródło: McAfee.

Mapa aktywności robaka Stuxnet w trzecim kwartale 2010 r. Wyraźnie widać wzmożoną aktywność na terenie Iranu. Źródło: McAfee.

W wypadku Stuxnet ktoś wyłożył za jednym zamachem aż cztery najwyższe karty, co się wśród zwykłych przestępców po prostu nie zdarza. Znalezienie ich musiało wymagać gigantycznych nakładów pracy i dużej wiedzy, co w przypadku normalnych szkodników nie opłaca się ze względu na wysokie koszta.

Jednak gdy ucichły już stonowane wyrazy podziwu wyrażane przez analizujących robaka ekspertów, pojawiła się jeszcze większa niespodzianka. Robak nie zawierał typowej "głowicy bojowej", która w wypadku przestępców ściąga oprogramowanie spisujące numery kart kredytowych, otwiera drzwi innym szkodnikom lub reklamuje fałszywe oprogramowanie.

Tak jak oprogramowanie podrzucone niegdyś Rosjanom, złośliwy kod przenoszony przez robaka ingerował w procesy przemysłowe sterowane za pomocą komputera. Co więcej, nie był to wirus mieszający we wszystkich zainfekowanych systemach. Jego kod dowodził, że celem były bardzo konkretnie maszyny produkowane przez firmę Simens i jej irańskiego konkurenta. Szkodliwy kod aktywował się przy specyficznych parametrach pracy, charakterystycznych tylko dla wirówek wzbogacających uran. Poprzez stosunkowo drobne zmiany prędkości ich pracy drastycznie zmniejszał jakość ostatecznego produktu uniemożliwiając wykorzystanie go przy produkcji broni atomowej.

Trudno w tym momencie ocenić, jak długo Stuxnet pracował niezauważony. Jednak nawet wykryty, wciąż stanowi zagrożenie, jako że regularnie pojawiają się jego nowe mutacje. A jego twórcy prawdopodobnie nie ograniczyli się tylko do działań w cyberprzestrzeni, gdyż szef irańskiego zespołu walczącego z infekcją wirusa zginął w zamachu 29 listopada 2010 roku.


Zobacz również