Kto stał za masowym cyberatakiem? Podejrzenia padają na Rosję

Ukraina była "pacjentem zero" globalnej epidemii, która objęła firmy i instytucje w ponad 60 krajach świata - w tym w Polsce - i sparaliżowała działania takich gigantów jak Maersk, największa firma logistyczna świata. Atak rozpoczął się we wtorkowe popołudnie i objął systemy wielu kluczowych ukraińskich organizacji: firmy i sieci energetyczne, sieci komórkowe, banki, media, a także kijowskie metro oraz lotnisko Boryspol. Złośliwe oprogramowanie pojawiło się również w komputerach w administracji rządowej, o czym na Twitterze informował wicepremier Pawło Rozenko.

Nie chodziło o pieniądze

Początkowe oznaki wskazywały na to, że był to atak z użyciem metody ransomware, podobnej do niedawnego wirusa Wannacry, który 6 tygodni wcześniej zainfekował setki tysięcy komputerów na całym świecie. Ransomware to programy, który szyfrują zawarte na komputerze dane i żądają okupu za ich odszyfrowanie. Nowy wirus miał skorzystać z tej samej wykrytej przez amerykańskie służby (i upublicznionej później przez hakerów) "dziury" w systemie Windows. Przypominał też użyty już raz przez cyberprzestępców w 2016 roku wirus Petya.

Jednak głębsza analiza pokazała, że była to prawdopodobnie tylko przykrywka dla innych celów. Świadczyć o tym mógł m.in. fakt, że metoda pobierania okupu była pełna dziur i niespójności, zaś podany przez autorów ataku email, kluczowy element dla otrzymania przez kryminalistów pieniędzy, został szybko zablokowany przez właściciela serwisu. Jak zauważają eksperci, sprawcy musieli się tego spodziewać - co wskazuje, że pieniądze nie były ich prawdziwym celem. Tym bardziej, że na operacji hakerzy zarobili jedynie ok. 10 tysięcy dolarów.

"To z pewnością nie jest program zaprojektowany, by zarabiać na nim pieniądze. Jest po to, by szybko się rozprzestrzeniać i czynić szkody pod przykrywką ransomware" - napisał w analizie jeden z szanowanych badaczy bezpieczeństwa, znany pod pseudonimem The Grugq.

Podobnego zdania jest dr Łukasz Olejnik, konsultant ds. cyberbezpieczeństwa i autor bloga Prywatnik.pl.

- Fakt, że niektóre z mechanizmów tego narzędzia są zaprojektowane lepiej niż inne, może zastanawiać. Wiadomo, że robiła to bardzo zdolna grupa - mówi w rozmowie z WP. - Po eksperymencie z WannaCry wiadomo też, że cyberataki ransomware o takiej skali niekoniecznie muszą być bardzo dochodowe. Historycznie projektanci ransomware nie zawsze decydowali się też na rozwiązania "idealne" - dodaje.

Prawdziwym celem Ukraina?

Co mogło być prawdziwym celem hakerów? To pytanie, które zadają sobie wszyscy badający sprawę. I nie mają definitywnej odpowiedzi.

- To głośny i globalny atak. Wywołuje wręcz pewnego rodzaju chaos. Wykradanie informacji najlepiej robi się po cichu - mówi Olejnik.

Inni sugerują możliwy motyw polityczny. Według specjalistycznego portalu ZaufanaTrzeciaStrona, celem ataku była prawdopodobnie Ukraina, zaś infekcja pozostałych firm i organizacji na całym świecie była jedynie efektem ubocznym ataku. Wskazywać może na to strategiczny charakter zaatakowanych ukraińskich instytucji. Co więcej, metodą ataku było zhakowanie systemu automatycznych aktualizacji ukraińskiego programu MeDoc powszechnie używanego do prowadzenia księgowości na Ukrainie.

- Do tej pory nie znamy innych wektorów ataku, a szuka ich wielu ekspertów na całym świecie - mówi WP Adam, szef portalu ZaufanaTrzeciaStrona.

Jak wyjaśnia, do rozprzestrzenienia się wirusa poza Ukrainę mogło dojść ze względu na używanie ukraińskiego programu przez zagraniczne firmy prowadzące działalność w tym kraju. W ten sposób prawdopodobnie doszło do zarażenia sieci takich firm jak transportowy gigant Maersk.

Podejrzenia padają na Rosję

Obranie na cel Ukrainy rzuca cień podejrzeń na Rosję jako sponsora. Rosyjscy hakerzy od długiego czasu prowadzą intensywną cyberkampanię przeciwko ukraińskiej infrastrukturze, czego rezultatem było m.in. poważna awaria sieci energetycznej zimą tego roku. Według ekspertów, Ukraina stała się wręcz laboratorium doświadczalnym dla rosyjskich hakerów, a celem ich ataków były już właściwie wszystkie ukraińskie instytucje i elementy infrastruktury krytycznej. Według ukraińskiej firmy Information Systems Security Partners, celem obecnego ataku mogło być zainstalowanie "backdoorów", czyli dodatkowych luk w ukraińskich systemach, które Rosjanie mogliby wykorzystać w przyszłych atakach.

Jednym z elementów przeczących tej wersji jest jednak fakt, że ofiarą ataku padły też rosyjskie firmy i banki, w tym strategicznie ważny naftowy gigant Rosnieft. Na to wskazywał m.in. Aleks Gostev, główny ekspert rosyjskiej firmy Kaspersky Lab.

Nie wszystkich to przekonuje. Jak wskazuje The Grugq, sprawa Rosnieftu tylko potęguje podejrzenia dotyczące rosyjskiego autorstwa ataku. Państwowa spółka była bowiem jedynym znanym celem ataku, który szybko poradził sobie z infekcją.

"To ciekawe, że [Rosnieft] był tak słabo zabezpieczony, że został zarażony - szczególnie że nie był połączony z MeDoc - ale jednocześnie jego zabezpieczenia były tak dobre, że firma była w stanie zaradzić infekcji (która nie rozprzestrzeniła się, mimo faktu że jest w stanie zająć 5000 komputerów w mniej niż 10 minut). To cud!" - ironizuje ekspert.

Inni spekulują, że atak na rosyjskie firmy naftowe mógł w istocie być osobnym atakiem, lub ukraińską odpowiedzią na rosyjskie działania. Na to dowodów jednak na razie nie ma.

Pewne jest jedno: niezależnie od celu, straty i chaos spowodowany cyberatakiem są ogromne. I każą jeszcze więcej uwagi poświęcić na ochronę przed hakerami.

- Skala i zasięg ataku są globalne. Ofiarami padły elektrownie, w tym ta w Czernobylu, organizacje rządowe, globalne i lokalne firmy logistyczne. Jest też wiele ofiar w Polsce. Byłby to dobry test dla unijnej Dyrektywy NIS w sprawie bezpieczeństwa sieci i informacji, ale nie jest ona jeszcze wdrożona - mówi WP Olejnik. - Wyzwanie dotyczy jednak kompleksowej strategii. Cyberataki dotykają przecież wrażliwych obszarów infrastrukturalnych czy nawet społecznych - zaznacza.