W czerwcu 2017 roku w Ukrainę uderzył kasujący dane robak NotPetya rosyjskiej grupy hakerów Sandworm. Zaszyty w popularnym oprogramowaniu księgowym malware sparaliżował firmy i agencje rządowe. Zamienił dziesiątki tysięcy komputerów, bankomatów i urządzeń z niezaktualizowanym systemem Windows w elektrośmieci. Samodzielnie kopiował się i rozprzestrzeniał na cały świat, powodując szkody szacowane na 10 miliardów dolarów.

Przeszło to do historii jako najbardziej destrukcyjny cybersabotaż. Przez jego pryzmat eksperci analizowali później możliwości Rosji w cyberprzestrzeni. A cały świat bał się jej hakerów. 

Ołeh Derewianko, współzałożyciel firmy ISSP z branży cyberbezpieczeństwa i jeden z bohaterów książki "Sandworm. Nowa era cyberwojny i polowanie na najbardziej niebezpiecznych hakerów Kremla" Andy Greenberga, jechał tego dnia na wakacje. Wyjeżdżał z Kijowa na autostradę, żeby dołączyć do rodziny na wsi, na północy Ukrainy.

Wtedy rozdzwonił się jego telefon. W przydrożnej restauracji spędził cały dzień, ostrzegając zszokowanych klientów, żeby szybko odłączali wszystkie komputery od sieci – nawet jakby oznaczało to całkowite zatrzymanie ich przedsiębiorstw. Ale w wielu przypadkach było już za późno. 

Pięć lat później firma Derewianki dalej jest na pierwszej linii frontu cyberwojny z Rosją. Chroni w Ukrainie m.in. spółki odpowiedzialne za infrastrukturę telekomunikacyjną i energetyczną. Rozmawiamy w hotelowej kawiarni w Warszawie, jest 197. dzień wojny.

Piotr Szostak: Minęło ponad sześć miesięcy od początku inwazji. Co się zmieniło na cyfrowym polu konfliktu?

Ołeh Derewianko: Dla nas, z perspektywy operacyjnej, naprawdę nic. Na pierwszym planie są teraz walki konwencjonalne, w których giną ludzie. Wszyscy martwią się bardziej tym, żeby nie spadły im na głowę rakiety, niż że hakerzy mogą włamać im się do komputerów. Ale cyberwojna nigdy się nie kończy. Są tylko jej krótkie momenty odprężenia.

Mówiąc "rosyjscy hakerzy", kogo naprawdę mamy na myśli? Koncesjonowanych cyberprzestępców na zleceniu Kremla?

Rosyjskie służby specjalne i armia mają własne cyberjednostki, wywiad wojskowy GRU ma swoją, wewnętrzną, Federalna Służba Bezpieczeństwa ma swoją. Pracujący w nich agenci prowadzą operacje - albo sami przeprowadzają ataki, albo zlecają niektóre działania niezależnym cyberprzestępcom i ich grupom. Często chodzi tylko o jakiś wycinek, nie o całą akcję, na przykład płacą za dostęp do określonego systemu czy serwera. Później sami pociągają za spust.

Niesławny Sandworm, któremu przypisuje się najpoważniejsze cyberataki na infrastrukturę energetyczną Ukrainy w 2015 i 2016 roku oraz NotPetya, to też oficerowie wywiadu?

To raczej oficjalne cyberwojska Rosji. Na jakimś etapie oczywiście mogli zaangażować prywatnych hakerów, nie wiemy tego do końca. I prawdopodobnie nigdy się nie dowiemy. Możemy tylko na podstawie dowodów analizować techniki ataków. Szukać między nimi powiązań, drobnych podobieństw, na podstawie których można stwierdzić: to zrobili ci sami ludzie.