Przychodzą do biura na 9. Tworzą złośliwe aplikacje i exploity do przeprowadzania ataków typu zero-day (znaczenie tych terminów wyjaśnimy za chwilę). Działają w zorganizowanej strukturze - dział hakerów po jednej stronie, dział programistów po drugiej, planowanie medialnej dywersji jeszcze gdzie indziej.
Włamują się, zarażają, przejmują kontrolę. Kończą o godzinie 17. Właśnie taki obraz działania APT 28, jednej z najgroźniejszych grup hakerskich powiązanej z Kremlem, wyłania się z raportów firmy FireEye specjalizującej się w cyberbezpieczeństwie.
Rosyjska grupa ma zresztą wiele nazw. Fancy Bear (z ang. "dziwaczny niedźwiedź"), Pawn Storm, Sofacy Group - to tylko niektóre przewijające się w raportach.
Równie groźną groźną cyfrową armią dysponuje Korea Północna. Dziennikarze agencji "Bloomberg: dotarli do osoby, która zdradziła jej sekrety. Mężczyzna od lat mieszkający w Chinach jest jednym z setek hakerów rozesłanych przez Pjongjang po całej Azji i szpiegujących zlecenie reżimu Kima.
Ich zadaniem jest kradzież sekretów firm, szukanie słabych punktów w infrastrukturze bezpieczeństwa, ale przede wszystkim zdobywanie milionów. Pieniądze "zarobione" na wyłudzaniu pieniędzy trafiają do stłamszonej sankcjami centrali. Hakerzy, którzy mają wolną rękę w działaniach, mogą zatrzymać dla siebie dziesięć procent "prowizji".
Cyfrowa armia powstała w Korei Północnej jeszcze na zlecenie Kim Dzong Ila. Kiedy do władzy doszedł jego syn, obecnie rządzący Kim Dzong Un, e-armia dostała zadania znacznie ambitniejsze niż tworzenie mało przydatnych w Korei stron rządowych.
Mieszkający w Chinach haker przełamuje mit elitarnych, świetnie wyszkolonych ekspertów. Twierdzi, że w przypadku Korei Północnej cyfrową armię tworzyła zbieranina amatorów, którzy doświadczenie i umiejętności dopiero zdobywali.
Korea Północna, choć oficjalnie temu zaprzecza, według informatora, do którego dotarli dziennikarze, zrobi dla pieniędzy wszystko. To tylko potwierdza tezy ekspertów, którzy od lat twierdzą, że za przeróżnymi atakami typu ransmoware, których celem jest wymuszanie na ofiarach wpłacenie okupu, stoją właśnie Koreańczycy z północy.
To oni są zresztą oskarżani o najpoważniejszy tego typu atak w ostatnim czasie, czyli stworzenie WannaCry. Co ciekawe, złośliwy wirus, który w zeszłym roku zaraził kilkaset tysięcy komputerów, paraliżując wiele fabryk i urzędów, o prywatnych maszynach nie wspominając, powstał dzięki wyciekowi z NSA. Przestępcy wybrali narzędzie stworzone przez amerykańskich ekspertów, które służyło do automatycznego i szybkiego rozprzestrzeniania się w sieci i "doczepili' do niego moduł ransomware. Wypuszczenie takiej hybrydy w kilku miejscach sieci musiało spowodować katastrofę.
Cyfrowa armia jest coraz bardziej istotna i każde szanujące się mocarstwo musi ją mieć. Nawet Polska ma ambicje stworzenia specjalnego oddziału cyfrowych żołnierzy. Nic więc dziwnego, że hakerzy coraz częściej działają na zlecenie rządów i agencji.
Po co krajom tacy "żołnierze"? Rosja oskarżana jest o ataki na zagraniczne sieci energetyczne, infekowanie routerów na całym świecie, wpływanie na wyniki wyborów. Korea Północna hakerów używa do zarabiania pieniędzy i zdobywania informacji. Hakerzy działający na zlecenie mocarstw mają pomagać w przejmowaniu kontroli nad światem.
Jak hakerzy wykorzystują reklamy do włamywania się na komputer Źródło: Heimdal Security
Nawet najbardziej wyrafinowane oprogramowanie nie zadziała, jeśli haker nie oszuka ofiary. Dlatego sporą część aktywności grup takich jak APT28 zajmuje przygotowanie sprofilowanych akcji phishingowych. Hakerzy tworzą kopie wybranych stron, serwisów, usług. Dzięki danym z wywiadu wiedzą do jakich osób mają skierować fałszywe e-maile. Kiedy uda się już podsunąć taką stronę ofierze, a ta się do niej zaloguje, droga do dalszej inwigilacji i infekcji jest otwarta.
Przestępcy działają na dwa sposoby. Tworzą fałszywy, ale zbliżony do oryginalnego, adres internetowy i liczą na nieuwagę ofiary. W innym wariancie "wstrzykują" złośliwy element strony, taki jak chociażby fałszywa reklama wykorzystująca luki w oprogramowaniu, która staje się furtką do komputera ofiary.
Hakerzy są bezsilni bez odpowiednich narzędzi. O tym jak wielki arsenał mają w swoich zasobach dowiedzieliśmy się dzięki kompromitacji NSA. Amerykańska agencja specjalizująca się w wywiadzie sama padła ofiarą cyberataku. Ktoś wykradł z jej siedziby kilkadziesiąt specjalistycznych narzędzi służących do inwigilacji.
Na amerykańskich służbach zemściły się oszczędności na kadrach i ignorowanie procedur. Okazało się bowiem, że tajne narzędzia na świecie zostały przejęte, bo pracownik NSA posługiwał się prywatnym laptopem. Skopiował na niego katalog zawierający największe sekrety amerykańskiego wywiadu.
Narzędzia wykradzione z NSA Fot. za Niebezpiecznik.pl
W 186 megabajtach danych znalazły się liczne skrypty, kody źródłowe i exploity (wykorzystujące błąd w oprogramowaniu). Narzędzia wykorzystywały wiele nieznanych nikomu luk (tzw. luki zero-day). Nie wie o nich nawet producent danego sprzętu czy oprogramowania. A skoro nie wie, to nie może ich załatać. Hakerzy istnienie takiej luki trzymają w tajemnicy, uzyskując dostęp do urządzeń i sieci.
Największym wyzwaniem dla grup działających na zlecenie mocarstw jest infekowanie maszyn, które są odcięte od internetu, posiadają własną, wydzieloną sieć. Przykładem tego typu wirusa jest Stuxnet. Stworzony przez służby amerykańskie miał jeden cel: zniszczyć wirówki wykorzystywane przez Iran do wzbogacania uranu.
Stuxnet atakował kontrolery, które sterowały pracą wirówek. W sposób niezauważalny dla inżynierów przyspieszał obroty w urządzeniach w takim stopniu, by doszło do fizycznych uszkodzeń.
Przez długi czas wydawało się, że Stuxnet przedostał się do irańskich komputerów za pomocą napędu USB. Ktoś po prostu miał przemycić go do w odpowiednie miejsce i podłączył do komputera. Odcięcie od internetu i wydzielenie z sieci niewiele w tym wypadku pomogło.
Stuxnet miał precyzyjne zadanie: zniszczyć irańskie wirówki służące do wzbogacania uranu Fot. Gazeta/Google
Bardziej dogłębne śledztwo wykazało jednak, że pierwsza wersja wirusa Stuxnet została stworzona dosłownie na godziny przed wykryciem pierwszej infekcji. Ekspertów skłoniło to do wniosku, że złośliwy kod musiał przedostać się w sposób inny niż infekcja USB. Jako pośredników użyto irańskich firm zajmujących się automatyką. Wykorzystują one ten sam rodzaj sterowników, jakie używane są w wirówkach do wzbogacania uranu.
Haker to określenie, które czasami źle się kojarzy. Bywa, że słowo to jest używane jako zamiennik dla cyberprzestępcy. Tymczasem haker to osoba, która ma dużą wiedzę i umiejętności informatyczne. Hakerzy mają swój kodeks i ambicje do znajdowania wyjątkowych i oryginalnych rozwiązań. Te związane z bezpieczeństwem to tylko część z nich. Przełamywanie zabezpieczeń nie jest ani główną ani jedyną domeną hakerów.
Można ich zresztą dzielić na tych, którzy noszą "białe kapelusze" i "czarne kapelusze". Ci pierwsi działają w pełni legalnie, nie wyrządzają szkód, a kiedy uda im się znaleźć lukę w jakimś systemie, postępują według procedur, których celem jest usunięcie zagrożenia. "Czarne kapelusze" działają poza prawem. Luki, które znajdą zachowują dla siebie, wykorzystują do działań przestępczych albo sprzedają je, nie za bardzo przejmując się tym, co ktoś zrobi z odkrytymi przez nich lukami.
Spotkanie Donalda Trumpa z przywódcą Korei Północnej nie powinno uśpić naszej czujności. Podobnie jak przewidywane przez ekspertów spotkanie z Władimirem Putinem. Oba kraje nie zrezygnują tak szybko ze swoich politycznych ambicji.
Korea Północna dalej będzie infekować komputery w celu kradzieży milionów dolarów a Rosja pewnie nie raz spotka się z oskarżeniami o wpływanie na wyniki wyborów w innych krajach, tak jak miało to miejsce w przypadku wyborów w USA i Brexitu.