Przeszło to do historii jako najbardziej destrukcyjny cybersabotaż. Przez jego pryzmat eksperci analizowali później możliwości Rosji w cyberprzestrzeni. A cały świat bał się jej hakerów. 

Ołeh Derewianko, współzałożyciel firmy ISSP z branży cyberbezpieczeństwa i jeden z bohaterów książki "Sandworm. Nowa era cyberwojny i polowanie na najbardziej niebezpiecznych hakerów Kremla" Andy Greenberga, jechał tego dnia na wakacje. Wyjeżdżał z Kijowa na autostradę, żeby dołączyć do rodziny na wsi, na północy Ukrainy.

Wtedy rozdzwonił się jego telefon. W przydrożnej restauracji spędził cały dzień, ostrzegając zszokowanych klientów, żeby szybko odłączali wszystkie komputery od sieci – nawet jakby oznaczało to całkowite zatrzymanie ich przedsiębiorstw. Ale w wielu przypadkach było już za późno. 

Pięć lat później firma Derewianki dalej jest na pierwszej linii frontu cyberwojny z Rosją. Chroni w Ukrainie m.in. spółki odpowiedzialne za infrastrukturę telekomunikacyjną i energetyczną. Rozmawiamy w hotelowej kawiarni w Warszawie, jest 197. dzień wojny.

Piotr Szostak: Minęło ponad sześć miesięcy od początku inwazji. Co się zmieniło na cyfrowym polu konfliktu?

Ołeh Derewianko: Dla nas, z perspektywy operacyjnej, naprawdę nic. Na pierwszym planie są teraz walki konwencjonalne, w których giną ludzie. Wszyscy martwią się bardziej tym, żeby nie spadły im na głowę rakiety, niż że hakerzy mogą włamać im się do komputerów. Ale cyberwojna nigdy się nie kończy. Są tylko jej krótkie momenty odprężenia.

Mówiąc "rosyjscy hakerzy", kogo naprawdę mamy na myśli? Koncesjonowanych cyberprzestępców na zleceniu Kremla?

Rosyjskie służby specjalne i armia mają własne cyberjednostki, wywiad wojskowy GRU ma swoją, wewnętrzną, Federalna Służba Bezpieczeństwa ma swoją. Pracujący w nich agenci prowadzą operacje - albo sami przeprowadzają ataki, albo zlecają niektóre działania niezależnym cyberprzestępcom i ich grupom. Często chodzi tylko o jakiś wycinek, nie o całą akcję, na przykład płacą za dostęp do określonego systemu czy serwera. Później sami pociągają za spust.

Niesławny Sandworm, któremu przypisuje się najpoważniejsze cyberataki na infrastrukturę energetyczną Ukrainy w 2015 i 2016 roku oraz NotPetya, to też oficerowie wywiadu?

To raczej oficjalne cyberwojska Rosji. Na jakimś etapie oczywiście mogli zaangażować prywatnych hakerów, nie wiemy tego do końca. I prawdopodobnie nigdy się nie dowiemy. Możemy tylko na podstawie dowodów analizować techniki ataków. Szukać między nimi powiązań, drobnych podobieństw, na podstawie których można stwierdzić: to zrobili ci sami ludzie. 

Firmy zajmujące się cyberbezpieczeństwem nadają później tym samym grupom różne nazwy, np.  Fancy Bear, APT28, STRONTIUM, grupie odpowiedzialnej za duże ataki phishingowe. Dlaczego?

To public relations, nazwy wymyślone dla prasy. Branża ściga się, kto pierwszy zidentyfikuje i opisze jakichś hakerów, zyskując w ten sposób rozgłos. Podobnie jest z nazwami złośliwego oprogramowania, na przykład Crashoverride, Industroyer [złośliwe oprogramowanie użyte przez Rosjan do ataków na infrastrukturę energetyczną, które w 2015 i 2016 roku odcięły prąd setkom tysięcy ludzi - red.] i tak dalej - to tylko marketingowe bla, bla. Tak naprawdę w ogóle nie dbamy o etykietki, interesują nas konkretne taktyki i narzędzia, po które sięgają służby i cyberprzestępcy.

Rosjanie uchodzili za wirtuozów cyberataków, potrafiących paraliżować infrastrukturę krytyczną. Od pół roku nie widzieliśmy jednak masowych, destabilizujących ataków w Ukrainie. Dlaczego?

To nie do końca prawda. Ataków było mnóstwo, odnotowaliśmy u klientów około 60-procentowy wzrost alertów w naszych systemach. Tylko to nie zawsze przekłada się na liczbę incydentów [zdarzeń, które mogą mieć niekorzystny wpływ na cyberbezpieczeństwo - red.], a co dopiero na skuteczne ataki, które mają na celu destrukcję systemów. Żeby jakiś atak został upubliczniony i szerzej nagłośniony, najczęściej musi być skuteczny z perspektywy przeciwnika. Tym razem w wielu przypadkach te próby nie były skuteczne - udało się powstrzymać na przykład duże ataki na firmy telekomunikacyjne.

Nie wystarczy też samo dobre złośliwe oprogramowanie w rękach hakerów. Liczy się mnóstwo czynników: gruntowny rekonesans, stopień przygotowania przeciwnika, jego szybkość reakcji i tak dalej. Malware to tylko broń.

Broń?

Istotne jest, jak z niej korzystasz, jak uzbrojony jest twój przeciwnik. Malware jest jak wyrzutnia rakiet Javelin. To potężna broń, z której możesz zestrzelić helikopter, ale musisz jeszcze do tego wystarczająco blisko podejść. Przyczaić się, ukryć na przykład w lesie, później precyzyjnie wycelować i strzelić.

Z cyberoperacjami jest podobnie: przygotowujesz się, robisz rozpoznanie, starasz się nie zostać wykrytym w systemie przeciwnika, a później odpalasz malware, które na przykład wywoła przepięcia w sieci energetycznej i uszkodzi jej kluczowe komponenty.

Cała sztuka nie polega tylko na tym, co robi twoje złośliwe oprogramowanie, ale też jak i którędy wprowadzisz je do systemu, rozprzestrzenisz dalej.

Eksperci przeszacowali skuteczność Rosjan w cyberprzestrzeni?

Bardziej niedoszacowali przygotowania Ukrainy. Może myśleli, że po tylu latach ciągle będziemy bezbronni. Kiedy w 2015 roku i rok później Rosjanom udało się odciąć prąd, żadna z zaatakowanych przez nich firm energetycznych nie miała działu do spraw cyberbezpieczeństwa z prawdziwego zdarzenia. Nie mieli specjalistów, podstawowych narzędzi do wykrywania ataków ani ustalonych procedur na wypadek tego typu zdarzeń. Teraz było zupełnie inaczej.

Podczas ataku z grudnia 2015 roku na przedsiębiorstwo energetyczne Prykarpattyaoblenergo Rosjanie użyli malware'u BlackEnergy, wyłączając prąd w obwodzie iwanofrankiwskim. Dwa miesiące wcześniej wykorzystali przecież ten sam program, kiedy zhakowali firmę StarLight Media. To był dokładnie taki sam atak. Ale przez to, że nie było na miejscu odpowiednich ludzi i procesów, jak firmy mogły się wymienić tymi informacjami?

Dochodzenie w StarLight Media zajęło około czterech miesięcy, żeby prześledzić dokładnie, sekwencja po sekwencji, co się stało. Cztery miesiące później można było już to udostępnić innym firmom, bo malware był przecież jeszcze kilka razy wykorzystywany. Ale nie było wtedy ustalonych mechanizmów do wymiany, dzielenia się informacjami. 

Problem polega też na tym, że techniczne informacje o atakach: co i jak się wydarzyło, to prywatne informacje zaatakowanych firm, które nie mają obowiązku udostępniać ich nikomu. Często nie robią tego też dlatego, że podczas prób ataków hakerzy mogli dowiedzieć się czegoś więcej o ich systemach i nie chcą podawać im na tacy, ile wiedzą.

A przed NotPetya w 2017 roku można było się jakoś zabezpieczyć?

Z jakich exploitów [programów wykorzystujących błędy w innych programach - red.] korzystał NotPetya?

Przede wszystkim z EternalBlue [exploit opracowany przez amerykańską Narodową Agencję Bezpieczeństwa, upubliczniony przez grupę hakerów The Shadow Brokers - red.].

Microsoft wypuścił łatkę chroniącą przed EternalBlue w marcu 2017 roku Więc to, że ten atak wywołał tyle zniszczeń, nie wzięło się tylko z tego, że NotPetya był tak wyrafinowany i genialnie napisany.

Wszystkie firmy, które straciły dane i komputery, zaniedbały podstawową higienę cyberbezpieczeństwa. Nie załatały na czas swoich systemów operacyjnych, miały przestarzałe windowsy, nierzadko hasła dostępu zapisane na kartkach przyklejonych do monitora. Widzieliśmy to nawet w działach IT.

Oczywiście w tej grze zawsze ktoś znajdzie dziurę w zabezpieczeniach, nie da się w pełni ochronić systemu. Statystycznie na tysiąc linijek kodu programu średnio jest jedna luka. I nie mam tu na myśli tandetnego kodu, ale taki napisany poprawnie. Czyli w systemie Windows, mającym 30 mln linijek kodu, będzie jakieś 30 tysięcy luk. Oczywiście nie wszystkie będą krytyczne i możliwe do wykorzystania, ale tu wiele będzie zależało od umiejętności atakujących.

Czyli?

Od tego, na ile potrafią te luki wykorzysta, czy ominą inne zabezpieczenia, jak głęboko się dostaną, czy później będą potrafili poruszać się niezauważeni po systemie. Jeśli atakowana instytucja czy firma nie ma wykwalifikowanych ludzi do obrony i procesów, to wejdą jak w masło. 

Ale jeśli ma sensowny dział cyber, dużo będzie zależało od tego, jak szybko jej ludzie zareagują. Na ile dokładnie zbadają dany atak. Mieliśmy niedawno klienta, któremu tymczasowo udało się odeprzeć atak, ale hakerzy zachowali dostęp do pewnych partii jego systemu. Klient powinien był przeprowadzić techniczne dochodzenie, sprawdzić odpowiednio głęboko, jak się włamali, co atakujący później robili, przeanalizować wszystkie anomalie w systemie i tym podobne. 

Nie zrobili tego?

Z braków kadrowych. Kilka tygodni później musieli mierzyć się ze znacznie większymi szkodami. Hakerzy często po włamaniu czekają miesiącami i działają po cichu, etapami. Robią jeden krok i czekają, zanim wykonają następny, żeby nie zostać wykrytym. Nawet jeśli obronisz się przed złośliwym oprogramowaniem, które uruchomią, możesz ich nie powstrzymać, bo na przykład utworzyli mnóstwo nowych kont z uprawnieniami administratora, o których nie masz pojęcia.

Dlatego nie możemy też lekceważyć Rosji. Przez lata udowodnili, że są biegli w cyberszpiegostwie. Potrafią infiltrować systemy - nie tylko w Ukrainie, ale na całym świecie - przyczajać się w nich i kamuflować, wykradać dane i przeprowadzać groźne sabotaże. 

No i celem ich ataków nie jest też sama destrukcja i destabilizacja systemów.

Niektórzy eksperci uważają, że w cyberwojnie chodzi przede wszystkim o długoterminowe pozyskiwanie wrażliwych informacji o wrogu niż o sianie zniszczenia. Głośne ataki to bardziej hałas, szum, który ma odwracać uwagę od tych naprawdę wyrafinowanych.

Poniekąd mają rację, bo nie słyszałem, żeby na przykład Chińczycy próbowali niszczyć zachodnie systemy. Jedyne, na czym im zależy, to ukrycie się i wykradanie po cichu własności intelektualnej, danych, pomysłów, kodu programów. 

Ale też ataki takie, jak blackouty w 2015 i 2016 roku czy NotPetya, poza realnymi szkodami mają coś komunikować światu.

Sprawiać wrażenie, że Rosjanie w cyberprzestrzeni wydają się trochę więksi niż w rzeczywistości?

To część tej gry. Odstraszanie przeciwnika. Wyobraź sobie, że możesz: a) przeznaczyć dziesiątki, nawet setki milionów dolarów, żeby przeprowadzić operację taką jak Stuxnet [wyrafinowany robak amerykańsko-izraelski, który w 2010 roku uszkodził irańskie wirówki jądrowe do wzbogacania uranu - red.] lub b) wydać znacznie mniej, ale sprawić, że twoi wrogowie uwierzą, że dysponujesz potężną cyberbronią i możesz jej w każdej chwili użyć.

Czyli zasłony dymne, lustra.

Cyberataki są często wykorzystywane jako narzędzia operacji informacyjnych. To łatwiejsze i tańsze. Pamiętasz na przykład atak z lutego na stronę naszego ministerstwa spraw zagranicznych?

Hakerzy zamieścili wtedy na niej groźbę w kilku językach, że Ukraińcy mają "bać się i czekać na najgorsze".

Tego typu atak nie czyni większych szkód. Nie zniszczyli przecież danych, nie sparaliżowali infrastruktury. Strona została sprawnie przywrócona do działania. Ale było to elementem wojny informacyjnej. Miało wytworzyć w społeczeństwie poczucie niepewności i strachu. Zasiać chaos, poczucie, że rząd traci kontrolę. Kiedy zwykli obywatele widzą, że nie działa witryna ważnego ministerstwa i czytają taki komunikat, myślą: Aha, już nas zhakowali, są w systemie i mogą robić, co tylko zechcą.

Niektórzy myślą, że pewnie nie pracuje już samo ministerstwo. To przede wszystkim operacja psychologiczna.

Jak postrzegasz działania hakerów Anonymous przeciwko Rosji? Ich ataki były dotkliwe, czyniły realne szkody czy raczej powodowały bardziej straty wizerunkowe?

Myślę, że to też część wojny informacyjnej. Adresatem ataków Anonymous jest raczej szersza publika - rosyjskie społeczeństwo, które może pomyśleć: Hakują nas, wcześniej walczyli z ISIS, dyktatorami i pedofilami w sieci, więc teraz to my jesteśmy ci źli?

Kiedy Anonymous włamują się na chwilę do rosyjskiej telewizji, wysyłają komunikat do Rosjan, ma on zasiać w głowach wątpliwości na zasadzie: Czyli nie jesteśmy tak silni w cyberprzestrzeni? Może służby jednak nie potrafią nas ochronić?