Rusijos programišiams priskiriami įsilaužimai į Prancūzijos televizijos kanalo ir Baltųjų rūmų kompiuterius. Ir ne tik į juos. Vis blogėjant santykiams su Rusija, žvalgybos pareigūnams kelia vis didesnį susirūpinimą tai, kad vis daugiau atakų, kurių kai kurios anksčiau nebuvo išaiškintos, priskiriama Rusijai, skelbia bloomberg.com.
Pavyzdžiui, įsilaužimas į Lenkijos vertybinių popierių biržą, JAV Atstovų rūmus, Vokietijos plieno gamyklą (kuriai padaryta didžiulė žala) ir „New York Times“.
JAV pareigūnai susirūpinę, kad bet koks Rusijos vadovybės bandymas pasinaudoti svarbių infrastruktūrų, tokių kaip pasaulinės biržos, energetinės sistemos ir oro uostai, pažeidžiamumu darant spaudimą Vakarams, gali sukelti didesnio masto konfliktą, teigia du anonimais pageidavę likti asmenys, kurie gerai išmano debatų vyriausybėse užkulisius.
Prieš keletą savaičių susitikę NATO pareigūnai išsakė nerimą dėl staigaus Rusijos įsitraukimo į karą Sirijoje – įskaitant sparnuotųjų raketų panaudojimą – ir pasižadėjo sustiprinti kolektyvinę gynybą, sutelkdami didžiausias bendras pajėgas nuo Šaltojo karo laikų.
Varšuvos birža yra vienas iš suaktyvėjusių kibernetinių atakų pavyzdžių. Programišiai, kurie užpuolė biržą praėjusių metų spalio mėnesį ir sukėlė paniką Vakarų žvalgybos tarnybose, pasiskelbė esantys musulmonų kovotojai, kuriuos supykdė tai, kad Lenkija remia „Islamo valstybės“ bombardavimo kampaniją.
„Tai prasideda, – paskelbė grupuotė internete, dalinimosi bylomis svetainėje „Pastebin“, kuri yra labai populiari kibernetiniame pogrindyje. – Laukite tęsinio! Allahu Akbar!“
Programišiai ne tik pavogė duomenis, bet ir paviešino dešimčių klientų prisijungimo duomenis, tad į biržos sistemas galėjo patekti įvairūs kiti nusikaltėliai, taip sukurdami dar didesnį chaosą.
Tai buvo minios pastangomis įvykdytas sabotažas.
Tačiau jį inicijavo visiškai ne islamistai kovotojai. Jais prisidengę veikė programišiai, siejami su Rusijos vyriausybe, teigia trys asmenys, žinantys įsilaužimo į Lenkijos biržą bylos tyrimo detales.
Šį incidentą lenkų tyrėjai vertina kaip įspėjimą šaliai, kuri yra NATO narė, ir kuri ruošė griežtą aljanso reakciją į Rusijos žingsnius Rytų Ukrainoje.
Įsilaužimas į biržą, kurios atstovai pranešime „Bloomberg News“ pareiškė, kad prekybos platforma nebuvo pažeista, paskatino Lenkijos vadovybę atnaujinti kompiuterių sistemas vyriausybės kabinetuose, finansų sektoriuje ir ligoninėse, pasakė vienas iš paminėtų asmenų.
Kaip ir kitose srityse, rusai, tiesiogiai veikiantys vyriausybės labui arba su jos pritarimu, tikrina kibernetinio mūšio lauko ribas, teigiama JAV žvalgybos agentūrų vertinime. Bendrovės, kurios mėgina panaikinti ar sustabdyti atakų žalą, dažniausiai teigia, kad tai valstybės remiamos atakos, tačiau sunku atskirti, kurias atakas įvykdė žvalgybos tarnybos, o kurias – nusikaltėliai, turintys sudėtingą įrangą ir norintys pelnyti vadovybės malonę.
„Jie paleido karo šunis“, – sako Tokijuje įsikūrusios saugumo tarnybos „Trend Micro“ vyriausiasis saugumo pareigūnas Tomas Kellermannas.
Kremliaus atstovas spaudai Dmitrijus Peskovas atmetė kaltinimus, kad atakas įvykdė Rusija.
„Tai visiškai nepagrįsti, dažniausiai absurdiški kaltinimai, – pasakė jis. – Prieš mus taip pat vykdomos atakos, o tai parodo, kad jos gresia visiems. Tam, kad išaiškintume šių atakų kaltininkus ir užkirstume joms kelią, reikia bendradarbiauti tarptautiniu mastu. Deja, mūsų partneriai ne visada elgiasi konstruktyviai šiuo klausimu.“
Galimi apsiskaičiavimai
JAV nacionalinės žvalgybos agentūros direktorius Jamesas Clapperis pareiškė, kad Rusija Amerikai kelia didžiausią kibernetinę grėsmę ir labiau nei bet kada anksčiau siekia patikrinti JAV doktriną, kurioje teigiama, kad destruktyvios kibernetinės atakos gali būti laikomos kariniais veiksmais. Kol kas JAV nepateikė viešos reakcijos į atakas.
Kibernetinė erdvė yra gana kebli kovos arena, nes joje klaidų ir apsiskaičiavimų dažnai pasitaiko net ir įgudusiems profesionalams, tad didėja susirūpinimas, kas nutiks svarbiausiai infrastruktūrai. O Rusija yra viena iš kelių valstybių, kuri, pasak žvalgybos pareigūnų, sugeba sėkmingai paslėpti savo tapatybę kibernetinėje erdvėje, net ir nuo JAV nacionalinės žvalgybos agentūros.
Vis dėlto išpuolių vis daugėja, ir pareigūnams telieka ieškoti būdų, kaip nubrėžti ribas, kurios per pastaruosius 18 mėnesių gerokai nusitrynė.
Praėjusių metų pradžioje rusų programišiai sukėlė pavojų Europoje, kai Vokietijoje įsilaužė į benrovei „ThyssenKrupp“ priklausančios gamyklos aukštakrosnės įrangą, pranešė keturi žmonės, žinantys apie šią ataką. „ThyssenKrupp AG“ yra didžiausia šalies plieno gamykla. Sistemoje rasta kenkėjiška programa iš pradžių buvo susieta su rusų žvalgybine veikla, bet JAV žvalgybos tarnybos tiesiogiai nesusiejo incidento su Rusijos vyriausybe, pasakė vienas iš žmonių, žinančių apie šį atvejį.
„ThyssenKrupp“ atstovas Kilianas Roetzeris paneigė, kad toks išpuolis įvyko, tai paneigė ir visos kitos Vokietijos bendrovės, turinčios aukštakrosnių įrangą. Apie ataką prieš aukštakrosnių įrangą Vokietijos vyriausybė pranešė pernai, tačiau konkrečiai neįvardijo bendrovės.
Balandžio mėnesį ta pati programišių grupuotė, kuri įvykdė išpuolį prieš Varšuvos biržą, įvykdė ataką prieš „TV5Monde“, praneša incidentą tyrusios saugumo tarnybos. Dėl atakų balandžio 8 ir 9 dieną pagrindinis Prancūzijos televizijos tinklas netransliavo jokių programų, o tam, kad sistema būtų visiškai atkurta, prireiks 15 mln. eurų, teigia televizijos tinklo atstovai.
Pagrindinė infrastruktūra
Rusų programišiai sustiprino jėgainių ir aprūpinimo energija tinklų sekimą JAV, Europoje ir Kanadoje, pranešė du šaltiniai, kurie žino apie šią veiklą. Tai provokacinis žingsnis, turint omeny, kad jie kiša nagus prie itin svarbių infrastruktūrų, užtikrinančių gyvenimo kokybę milijonams žmonių.
JAV pareigūnai, pageidavę likti anonimais, tai vertina kaip perspėjimą. „Rusija turi išskirtinių įgūdžių, – sako „Fidelis Cybersecurity“ kibernetinio saugumo viceprezidentas Mike‘as Buratowskis. – Jei jūs juos matote, yra tikimybė, kad toks ir buvo jų sumanymas: Rusijai nieko tokio, kad ją matote, arba ji netgi nori, kad ją matytumėte.“
Rusijos prezidentas Vladimiras Putinas 2012 m. sugrįžęs į prezidento postą ir toliau investuoja lėšas ir žmogiškuosius išteklius į šalies programišių pajėgas, skelbia JAV pareigūnai. „Nors negaliu išduoti detalių, bet Rusijos kibernetinė grėsmė yra daug didesnė, nei manėme anksčiau“, – vasario mėnesį Kongreso komitetui pasakė J. Clapperis.
Vakarams baudžiant Rusiją sankcijomis už agresiją Ukrainoje, Rusijos lyderis pasitelkė ir reguliariąsias, ir nereguliarias kibernetines pajėgas, kurios dabar varžosi dėl išteklių ir apdovanojimų iš Maskvos, sako buvęs JAV gynybos departamento tinklo eksploatavimo specialistas Jasonas Lewisas.
„Jiems puikiai sekasi. Jei darai kažką negero, ir toliau tai darysi“, – sako J. Lewisas, kuris šiuo metu yra vyriausiasis žvalgybos pareigūnas Arlingtone, Virdžinijos valstijoje įsikūrusioje bendrovėje „LookingGlass Cyber Solutions Inc.“
Rusų programišiai puolė Baltųjų Rūmų ir Valstybės departamento elektroninio pašto sistemą, tačiau, pasak specialistų iš vyriausybės ir privačių sektorių, tai maža didelio masto veiklos dalelė.
Ta pati grupuotė, kuri įsilaužė į Varšuvos biržą ir Prancūzijos televizijos stotį, neseniai įsibrovė ir į JAV Atstovų rūmų elektroninio pašto sistemą, tad Rusija gavo prieigą prie JAV įstatymų leidėjų komunikacijos, pranešė šaltinis, žinantis apie šį tyrimą.
Danas Weiseris iš Atstovų rūmų atsisakė komentuoti šią informaciją, pareiškęs, kad informacijos saugumo sistemos viešai neaptarinėjamos.
O liepą ir rugpjūtį JAV vyriausybės agentūras užplūdo kenkėjiškomis programomis užkrėsti laiškai, kuriuos išsiuntė dvi skirtingos rusų programišių grupuotės. Pranešta, kad viena iš šių bangų buvo nukreipta prieš 2000 aukšto rango pareigūnų, tarp jų ne mažiau nei vienas JAV prezidento Baracko Obamos kabineto narys, taip pat ir jų žmonų elektroninio pašto paskyros.
Kitas šaltinis pasakė, kad šie išpuoliai buvo akivaizdžiai matomi, nes laiškų buvo labai daug, be to, jie buvo išsiuntinėti labai aukštiems pareigūnams, tačiau programišių pastangos nebuvo visiškai bergždžios.
Tyrėjai iš Nacionalinio saugumo agentūros ir Šalies saugumo departamento sugaišo šimtus valandų, mėgindami ištaisyti žalą, praneša apie šį išpuolį informuoti šaltiniai.
Ir Nacionalinė saugumo agentūra, ir Šalies saugumo departamentas atsisakė komentuoti šiuos incidentus ir galimą Rusijos kibernetinę veiklą.
Sumanūs programišiai
V. Putinas džiaugiasi akivaizdžiu savo pranašumu prieš priešus kibernetinėje erdvėje. Rusijoje yra didžiausia išmaniausių kibernetinių nusikaltėlių grupuotė visame pasaulyje, ir vyriausybė su dauguma jų palaiko glaudžius ryšius, teigia Federalinis tyrimų biuras ir JAV žvalgybos tarnybos.
„Trend Micro“ sako, kad programišių grupuotę, kuri įsilaužė į Varšuvos biržą, ir kuriai kibernetinio saugumo bendrovės suteikė įvairius pavadinimus – „APT 28“, „Fancy Bear“ ar „Pawn Storm“ – ko gero sudaro geriausi šalies kriminaliniai programišiai. Kai kurių jų gebėjimai geresni net už Rusijos vyriausybės įdarbintų programišių, o po įvykių Ukrainoje jų motyvacija padėti vyriausybei dar labiau sustiprėjo, sako T. Kellermanas.
„Šie vaikinai buvo metų metus nejudinami, o dabar jie grįžta atiduoti duoklę“, – sako T. Kellermanas.
Varšuvos biržos pareigūnai sako, kad žala nėra labai didelė. „Varšuvos vertybinių popierių biržos prekybos sistema ir su ja susiję duomenys nenukentėjo“, – pranešime sako biržos atstovė Justyna Rachanska. Tarp sistemų, į kurias buvo įsilaužta – investavimo stimuliatorius ir interneto svetainė, administruojanti biržos perėjimą prie naujos, tobulesnės prekybos sistemos.
Biržos interneto svetainė buvo uždaryta beveik dvi valandas, pasak vieno iš šaltinių, o programišiai per tą laiką iššniukštinėjo apie biržos technines strategijas.
Lenkijos tarptautinė saugumo agentūra pareiškė, kad informacija apie incidentą yra įslaptinta, todėl komentuoti atsisakė.
Kai kurie saugumo ekspertai sako, kad „APT 28“ gali būti specializuotas valstybinės Rusijos saugumo agentūros, Federalinio saugumo tarnybos dalinys.
Ši grupuotė siejama su įsilaužimais į V. Putino oponentų Rusijoje – roko grupės „Pussy Riot“ ir antiteroristinių misijų – kompiuterius. Tokias užduotis paprastai vykdo pagrindinė Rusijos žvalgybos agentūra.
„APT 28“ naudoja ne tik paprastą kriminalinę įrangą. „Google Inc.“ atliktoje vieno iš grupuotės įrankių, žinomo kaip „X-Agent“, analizėje jis aprašomas kaip itin sudėtinga RAT arba nuotolinio administravimo įrankio versija, naudojanti šifravimą ir kitas priemones kartu su JAV įsilaužimo programine įranga.
„Google“ analizė
„Bloomberg News“ gavo kopiją 41 psl. „Google“ analizės, kurioje parodoma, kaip „X-Agent“ naudotojai gali įkrauti įvairius modulius praktiškai bet kuriai įsivaizduojamai misijai, panašiai kaip elitinės Nacionalinio saugumo agentūros komandos naudota RAT įrankius, sako šaltinis, išmanantis tokio pobūdžio programinę įrangą.
Grupė „APT 28“ taip pat siejama su pernai įvykdytu įsilaužimu į „New York Times“, kuris prasidėjo, kai programišiai įsibrovė į asmeninę Vašingtone įsikūrusio nacionalinio saugumo reporterio elektroninio pašto paskyrą ir po to į daugiau nei 50-ies kitų personalo darbuotojų paskyras, sako du šaltiniai, žinantys tyrimo detales.
Programišiams nepavyko patekti į pagrindinį laikraščio tinklą, sako vienas iš šaltinių. Bendrovės atstovė šį incidentą komentuoti atsisakė. Kita grupė programišių iš Rusijos įsilaužė į Baltųjų rumų ir Valstybės departamento sistemas. Šie incidentai buvo atskleisti pernai. Kibernetinio saugumo bendrovė „FireEye“ šią grupę vadina „APT 29“, o kibernetinės žvalgybos bendrovė „ISight Partners“, glaudžiai bendradarbiaujanti su federaline vadovybe, ją vadina „TEMP.Monkeys“ (nes programišiai Baltųjų Rūmų darbuotojams išsiuntinėjo užkrėstus laiškus su vaizdo medžiaga su beždžionėlėmis)
„APT 29“ naudoja vieną iš pažangiausių technologijų, kurią esame matę, – sako „FireEye“ žvalgybos komandos, besispecializuojančios valstybės remiamame šnipinėjime, direktorė Laura Galante. – Tai, kad mes išsamiai aptarinėjame įvairias Rusijos grupes, yra išskirtinis dalykas. Kinijoje visada buvo daug grupuočių. Dabar ir Rusijos grupuotes imame traktuoti panašiai. Per pastaruosius kelerius metus, ypač prasidėjus įvykiams Ukrainoje, išaugęs jų aktyvumas suteikė mums daugiau informacijos, ir mes spėjame, kad tai gali būti valstybės finansuojamos grupuotės.“
Įvertinti motyvus
JAV ir Europos žvalgybos agentūros pastaraisiais mėnesiais bando įvertinti motyvus, kodėl Rusija pastaruoju metu ėmė itin agresyviai elgtis kibernetinėje erdvėje.
Žvalgybos specialistai sako, kad įsilaužimas į „TV5 Monde“ galėjo būti užmaskuota antiteroristinė operacija. Kaip ir Varšuvos biržą užpuolę programišiai, ir šie pasiskelbė esantys islamistai kovotojai, „kibernetinis kalifatas“, ir tokiu būdu galbūt siekė aptikti kitus programišius, kurie iš tiesų turi tokių tikslų.
Per paskutinius 18 mėnesių rusų programišiai sustiprino įvairių energetinių sistemų sekimą Šiaurės Amerikoje ir Europoje, ir renka informaciją apie svarbiausias sistemas, į kurias įsilaužus galima būtų padaryti daugiausiai žalos, teigia kibernetinio saugumo agentūros.
Vokietijos aukštakrosnės sistemoje po įsilaužimo taip pat buvo rasta kenksminga programinė įranga, vadinama „Havex“, teigia šaltiniai, susipažinę su tyrimo duomenimis.
Fizinė žala
Plieno aukštakrosnės įrangos ataka yra retas pavyzdys, kaip su kompiuterių pagalba galima pakenkti fiziškai. Tai stipri politinė užuomina Vokietijos vyriausybei.
Programišiai įsilaužė į aukštakrosnę valdantį kompiuterį ir jame įdiegė kenkėjišką programą, kuri privertė aukštakrosnę perkaisti ir išsilydyti, pasakė trys šaltiniai, susipažinę su incidentu, ir Vokietijos Federalinis informacinio saugumo biuras, kuris 2014 m. lapkričio mėnesį atskleidė informaciją apie atakas, tačiau nesusiejo jų su Rusija. Įranga buvo labai smarkiai apgadinta, teigiama Federalinio saugumo biuro ataskaitoje.
Saugumo specialistai iš pradžių svarstė, kad šią žalą galėjo netyčia padaryti programišiai, kurie bandė surinkti duomenis apie tai, kaip veikia aukštakrosnė, bet vėliau aptiko duomenų, kurie nurodė, jog žala padaryta tyčia.
2013 metų pabaigoje ar 2014 pradžioje programišiai į aukštakrosnės kompiuterius prisiuntė užkrėstų laiškų, kenkė ir darbuotojams, sako privačios saugumo bendrovės specialistas, žinantis šio išpuolio detales. Tada jie rado interneto kabelį, kuris buvo nuvestas iki gamyklos grindų ir prie jo prisijungė.
Galiausiai jie įsilaužė į skaitmeninės aukštakrosnės valdymo įrangą ir sugadino temperatūros jutiklių ir dujų kontrolės variklių sistemą. Nuotoliniu būdu sugadino aukštakrosnės išsijungimo funkciją. Visas procesas truko ne vieną savaitę.
Sistemoje palikti skaitmeniniai pėdsakai iškart nurodė Rusiją, tačiau nebūtinai pačią jos vyriausybę, teigiama JAV žvalgybos ataskaitoje, kurią pacitavo šaltinis, susipažinęs su analize.
Tai, kad daugiau nei po metų buvo įvykdyta „TV5Monde“ ataka, parodo, kad tokie išpuoliai bus vykdomi ir toliau, jei JAV ir kitos šalys nesugalvos, kaip veiksmingai reaguoti, sako „ISight Partners“ žvalgybos tarnybos, kurios specializacija – kibernetinio šnipinėjimo grėsmė – vadovas Johnas Hultquistas.
„Tai, kad reikalai šioje srityje vis prastėja, atskleidžia daug veiksnių, – sako J. Hultquistas. – Šiais laikais nebeapsiribojama vien žvalgybos duomenų rinkimu. Programišiai darosi vis agresyvesni.“