Cyberwojna o wybory w USA już trwa. Wojsko i Microsoft atakują Rosjan

W ciągu kilku ostatnich tygodni amerykańskie wojsko uderzyło w grupę rosyjskich hakerów. Najprawdopodobniej był to atak wyprzedzający, przed potencjalną próbą zaszkodzenia wyborom w USA. Później na jeszcze większą skalę do akcji wkroczył Microsoft. Wszyscy działają z obawy, że wobec napiętej sytuacji w USA, jakiekolwiek zakłócenie wyborów może wywołać konflikt wewnętrzny.

Do tej pory skrytą operację wymierzoną w hakerów opisały "Washington Post" i "New York Times". Ma się ona rozwijać od końca września. Działania wojska zostały wychwycone przypadkiem, kiedy cywilni eksperci zaczęli realizować swoją operację wymierzoną w hakerów.

Podwójne, nieskoordynowane, uderzenie

Celem jest botnet TrickBot, czyli zarządzana przez grupę hakerów sieć tysięcy, a może milionów, zainfekowanych komputerów (botów). Ich właściciele nawet o tym nie wiedzą, ale są skrycie wykorzystywane na przykład do masowego rozsyłania zainfekowanych emaili do innych komputerów i sieci. Przy ich pomocy dokonywane są zazwyczaj kradzieże danych czy próba wymuszenia okupu. Operatorzy TrickBot oferują też możliwości swojego systemu innym przestępcom, "wynajmując" swoje boty.

Według ekspertów ten konkretny botnet jest jednym z kilku obecnie najważniejszych i najlepiej działających. We wrześniu za jego pośrednictwem miało zostać przeprowadzonych zdecydowanie najwięcej ataków na sektor usług publicznych w USA. Największą ofiarą była sieć 250 szpitali firmy Universal Health Services, której pracownicy przez pewien czas całkowicie stracili dostęp do swojej sieci informatycznej.

Twórcami i właścicielami TrickBot ma być grupa "mieszkańców Europy Wschodniej". Najpewniej Rosjan. Powiązania rosyjskiego światka cyberprzestępców z rosyjskimi służbami bezpieczeństwa, są natomiast czymś pewnym. Choć nie ma dowodu, że TrickBot wykonuje zlecenia Kremla, to Amerykanie poważnie się tego obawiają. Z tego powodu wzięli go na cel.

W poniedziałek Microsoft we współpracy z szeregiem firm zajmujących się zwalczaniem cyberprzestępców, między innymi Symantec, dokonały ataku na sieć serwerów zarządzających TrickBot. Było to bezprecedensowe zagranie. Microsoft zdobył pozwolenie sądowe na takie działanie, wobec używania przez cyberprzestępców opatentowanego oprogramowania. Dzięki temu koncern mógł wymusić na firmach wynajmujących serwery, wyłączenie tych wykorzystywanych skrycie przez TrickBot. Przedstawiciele Microsoft twierdzą, że do takiego zagrania popchnęła ich obawa o to, co może się stać podczas wyborów w ich kraju.

- Wyobraź sobie, że choćby cztery, czy pięć, okręgów wyborczych jest atakowanych przez TrickBot w dniu wyborów. To by było jak dolanie benzyny do i tak już nieprawdopodobnie gorącej dyskusji na temat tego, czy te wybory są w ogóle ważne, czy nie - powiedział w rozmowie z "New York Times" Tom Burt, jeden z dyrektorów Microsoft, który miał nadzorować operację ataku na TrickBot. - To byłaby wielka afera, która nigdy by się nie skończyła. I to byłoby wielki sukces dla Rosjan. Korki od szampana strzelałyby pewnie do końca roku - dodał.

Efekt mało spektakularny, ale podobno istotny

Temat rosyjskiej ingerencji w wybory, jest w USA bardzo żywy od wyborów prezydenckich w 2016 roku, w których zmierzyła się Hillary Clinton i Donald Trump. Amerykańskie służby po fakcie oficjalnie stwierdziły, że rzeczywiście hakerzy działający na zlecenie rosyjskich służb oraz agencje prowadzące kampanie dezinformacji i destabilizacji, aktywnie wpływały na przebieg kampanii wyborczej i wyborów. Celem było osłabienie szans Clinton i pogłębienie podziałów w amerykańskim społeczeństwie.

Obecnie jednym z najgorętszych tematów, w kontekście nadchodzących wyborów, jest kwestia sprawnego i zgodnego z zasadami głosowania listownego. Trump ostro ją atakuje, sugerując, że to idealne pole do oszustw i nadużyć. Robi to, ponieważ to wyborcy jego rywala, są bardziej skłonni z niej skorzystać. Zrodziło to jednak dyskusję, czy w razie przegranej Trump będzie chciał uznać wynik wyborów, czy też będzie go podważał. Podczas pierwszej debaty prezydenckiej pod koniec września, odmówił jasnej deklaracji w tej sprawie. Gdyby podczas wyborów doszło do problemów spowodowanych przez TrickBot, mogłyby one dodatkowo rozchwiać sytuację.

Najpewniej z tego powodu do akcji wkroczyło wojsko. Przeprowadzając swoją operację, cywilni eksperci odkryli, że serwery TrickBot próbował unieszkodliwiać przed nimi ktoś inny. Miało to mieć miejsce na przełomie września i października. Według "Washington Post", było to US Cyber Command (Dowództwo Cybernetyczne USA), wojskowa służba odpowiedzialna za działania w cyberprzestrzeni. Rok temu opisywaliśmy, jak atakowała sieć dżihadystów. Gazeta nie podała żadnych szczegółowych informacji na temat tego, jak wyglądał obecny atak na TrickBot. Poza tym, że celem również były serwery służące do zarządzania siecią botów.

Oba ataki, zarówno wojska jak i cywili, nie doprowadziły do trwałego zniszczenia TrickBot. Nikt nawet nie miał nadziei, że coś takiego się stanie. Po ostatnim ataku w wykonaniu firm cywilnych przestępcy mieli w ciągu doby odbudować strukturę swojej sieci. Siła botnetów tkwi w ich zdecentralizowanej naturze i możliwości szybkiego zastępowania straconych serwerów. Chodziło raczej o czasową dezorganizację działania i podkopanie siły marki. TrickBot znajduje w darknecie wielu chętnych na swoje usługi, ponieważ w domyśle gwarantuje wysokie bezpieczeństwo. Jeśli pojawi się co do tego wątpliwość, to klienci odpłyną, obawiając się ewentualnej wpadki.

Jest prawdopodobne, że przed nadchodzącymi wyborami Amerykanie będą przeprowadzać kolejne ataki na TrickBot. Być może również na inne botnety i narzędzia cyberprzestępców, które mogą posłużyć do prób ingerencji w wybory. - Rosyjscy cyberprzestępcy są prawdopodobnie większym zagrożeniem dla naszej kluczowej infrastruktury, niż ich wywiad - stwierdził w rozmowie z "NYT" John Hultquist, ekspert zajmującej się cyberbezpieczeństwem firmy FireEye.

Zobacz wideo