Rosyjscy hakerzy, prawdopodobnie pracujący na zlecenie władz w Moskwie, wykorzystywali nieznaną dotąd lukę w systemie operacyjnym Windows do szpiegowania m.in. zagranicznych instytucji, w tym polskiej firmy energetycznej - podał we wtorek "The Washington Post". Według Reutersa zaatakowane zostały komputery należące do pracowników NATO, Unii Europejskiej, rządu Ukrainy oraz przedsiębiorstw z sektora energetycznego i telekomunikacyjnego.
Reuters powołuje się na informacje firmy iSight Partners, która zajmuje się m.in. badaniem zagrożeń w cyberprzestrzeni.
W dokumencie poinformowano, że grupa hakerów działa co najmniej od 2009 roku i od tego czasu szpiegowała m.in. instytucje NATO, ukraiński rząd, amerykańskie uniwersytety, jedną z agencji zachodnioeuropejskiego rządu i francuską firmę telekomunikacyjną. Cyberprzestępcy zaatakowali też jedną z polskich firm z branży energetycznej; jej nazwa nie została podana.
Atak na sektor energetyczny
Zapytany o informacje amerykańskiej gazety, rzecznik prasowy największej grupy energetycznej w Polsce - PGE Maciej Szczepaniuk odpowiedział, że spółka nie informuje o posiadanych zabezpieczeniach i nie komentuje sprawy. Zespół prasowy największego producenta i dostawcy gazu w Polsce - Polskiego Górnictwa Naftowego i Gazownictwa poinformował, że w ostatnim czasie firma nie zanotowała żadnych prób cyberataku w stosunku do PGNiG. - Oczywiście, nie wykluczamy, że w przeszłości takie nieskuteczne próby były podejmowane. W przypadku, gdyby takie incydenty miały miejsce, muszą być one monitorowane i zgłaszane odpowiednim instytucjom zgodnie z obowiązującymi procedurami - podał zespół.
Agencja Bezpieczeństwa Wewnętrznego nie odniosła się do informacji "The Washington Post", ale przypomniała, że w ramach swoich zadań rozpoznaje różne rodzaje zagrożeń, w tym w cyberprzestrzeni, godzących w interesy państwa. "Z uwagi na niejawny charakter działań w tym zakresie informacje tego typu nie są podawane do publicznej wiadomości" - zaznaczyło biuro prasowe ABW. Agencja przypomniała, że Rządowy Zespół Reagowania na Incydenty Komputerowe CERT.GOV.PL "stale odnotowuje incydenty dotyczące systemów teleinformatycznych w cyberprzestrzeni RP", a informacje o nich umieszcza w dorocznych raportach. "W przypadku zgłoszenia lub zaobserwowania przez Zespół CERT.GOV.PL zagrożeń w cyberprzestrzeni RP, w tym informacji dotyczących kampanii cyberszpiegowskich, podejmowane są działania w zakresie analizy zagrożeń w kierunku określenia ich skutków i potencjalnej skali oddziaływania, a także informowania zagrożonych podmiotów i instytucji" - zapewniła Agencja Bezpieczeństwa Wewnętrznego.
Hakerzy szpiegują
Nieoficjalnie osoby z firm z sektora paliwowo-energetycznego, z którymi rozmawiała PAP potwierdzają, że co jakiś czas systemy informatyczne są atakowane przez hakerskie grupy. Celem najczęściej są systemy sterowania infrastrukturą, które mają najwyższą klasę zabezpieczeń, a nie dostęp do informacji o firmach. Cytowany w artykule "The Washington Post" dyrektor iSight Partners Stephen Ward powiedział, że "to jest jednoznacznie działalność szpiegowska. (...) Wszystko wskazuje, że te akcje przyniosły korzyść rosyjskim interesom".
Z analizy firmy wynika, że nikt nie wie, jakie dane zostały wykradzione przez hakerów, ale podejrzewa się, że włamywacze szukali informacji na temat ukraińskiego kryzysu oraz technologii energetycznych i telekomunikacyjnych.
Przestępcy zdobywali te informacje m.in. z treści e-maili. Za ich pomocą infekowali też komputery, aby mieć dostęp do gromadzonych tam plików.
Zdaniem firmy operacja trwa od kilku lat, ale hakerzy dopiero w sierpniu zaczęli wykorzystywać lukę w systemie Windows do zdobywania informacji.
Analitycy przekonują, że Microsoft wiedział o błędzie w swoim oprogramowaniu i pracował nad załataniem dziury. Koncern ma wdrożyć automatyczną aktualizację do Windowsów w ciągu kilku najbliższych dni.
Badacze z iSight są przekonani, że za włamaniami stoją hakerzy z Rosji, bo w kodzie oprogramowania znaleźli ślady używania języka rosyjskiego. Przemawiają za tym także wybrane przez nich cele. - W atakowanych celach widzimy silne powiązania z rosyjskimi interesami - mówi John Hulquist z iSight.
Zainfekowany rząd
Firma przyznaje wprawdzie, że wskaźniki techniczne nie wskazują na powiązania hakerów z rosyjskim rządem. Jednak Hulquist stwierdził, że wierzy, iż hakerzy byli wspierani przez struktury państwowe, bo byli upoważnieni do szpiegowania, a nie do cyberprzestępstw.
Analitycy z iSight twierdzą, że mają dowody na to, iż niektóre systemy komputerowe rządu Ukrainy zostały zainfekowane. Nie potrafią jednak określić skali i potwierdzić, na które konkretnie urządzenia włamali się hakerzy.
Alarmowali
Ich zdaniem jest wysokie prawdopodobieństwo, że zainfekowane zostały kolejne komputery, bo hakerzy stosowali nieznaną wcześniej metodę ataku. - Pozwala ona na złamanie praktycznie wszystkich znanych obecnie zabezpieczeń - mówi Drew Robinson, starszy analityk z iSight. iSight poinformował również, że zaalarmował osoby, które zdaniem firmy padły ofiarami hakerów, ale te odmówiły współpracy.
Rosja w przeszłości zaprzeczała, że wspiera i czerpie korzyści z tego typu aktywności. Jednak przedstawiciele amerykańskiego wywiadu utrzymują, że możliwości rosyjskich hakerów są bardzo duże. - Możliwe, że ich aktywność się zwiększyła w związku z konfliktem na Ukrainie. Jednak jak intensyfikujesz swoje działania, rośnie też możliwość ich wykrycia - powiedział "WP" anonimowy pracownik amerykańskich służb specjalnych.
Firma iSight Partners zaczęła monitorować działalność grupy SandWorm (czerw - nawiązanie do powieści "Diuna" Franka Herberta) pod koniec 2013 roku. Analitycy firmy zaobserwowali, że cyberprzestępcy wykorzystują w swoich atakach błąd typu 0day. Tego typu błąd może wystąpić w każdym oprogramowaniu lub systemie operacyjnym. Zwyczajowo przyjmuje się, że w przypadku wykrycia tego błędu powiadamia się producenta oprogramowania czy systemu operacyjnego, aby dać mu czas na opublikowanie poprawek. Zdarza się jednak czasami, że informacja o błędzie nie jest w ogóle publikowana i producent dowiaduje się o niej dopiero wtedy, gdy jest ona wykorzystywana do ataków. Według analityków iSight Partners grupa cyberprzestępców wykorzystała błąd typu 0day, na który podatne są wersje systemu operacyjnego Windows, od Vista Service Pack 2 po 8.1. Na ten błąd nie jest podatny system Windows XP. Jak czytamy w raporcie firmy błąd jest poważny, bo wystarczy tylko otwarcie odpowiednio przygotowanego dokumentu na komputerze ofiary i atakujący może zainstalować złośliwe oprogramowanie. W raporcie podano, że do ataku wykorzystywany był dokument PowerPoint; jest to oprogramowanie firmy Microsoft, które pozwala przygotować prezentacje graficzne.
Microsoft przygotował już aktualizacje swojego oprogramowania blokujące możliwość ataku.
Autor: msz,mn,kwoj / Źródło: reuters, pap
Źródło zdjęcia głównego: sxc.hu