Tak wygląda cyberwojna. Amerykanie ujawniają, jak buszowali w komputerach dżihadystów

Włamywali się na komputery najważniejszych dżihadystów, przejmowali ich prywatne konta, kasowali pliki z serwerów, utrudniali im komunikację, siali między nimi nieufność - tak specjalny zespół amerykańskich cyberżołnierzy skutecznie zdewastował działalność Państwa Islamskiego w internecie. Po trzech latach ujawniono, jak wyglądała operacja.
Zobacz wideo

Wojska cybernetyczne, cyberwojna, wojna w cyberprzestrzeni - to obecnie bardzo popularne koncepcje w świcie wojska i służb specjalnych. Od ubiegłego roku poważniej zajmuje się tym też polski MON, tworząc oddzielne Wojska Obrony Cyberprzestrzeni.

Jednak czym tak naprawdę mają się one zajmować? Osobom nie znającym się na informatyce może to być trudno pojąć. Ujawniony przykład amerykańskiej wirtualnej ofensywy na dżihadystów jest dobrym przykładem, aby pokazać jedną ze sfer, którą zajmują się wojska cybernetyczne. Akcję sprzed trzech lat opisał portal amerykańskiego publicznego nadawcy "NPR".

Uderzenie w czuły punkt

Wirtualne uderzenie na dżihadystów rozpoczęło się pewnego jesiennego dnia w 2016 roku. Operacja nosiła nazwę "Glowing Symphony", czyli "Świecąca Symfonia", co prawdopodobnie jest aluzją do zgranej współpracy kilkudziesięciu cyberżołnierzy siedzących w ciemnym pomieszczeniu przed świecącymi monitorami.

W jednym momencie, na komendę "Ognia!" wypowiedzianą przez głównego pomysłodawcę operacji, owi specjaliści zaczęli się logować do kont i serwerów kilkunastu najważniejszych dżihadystów z organizacji Państwo Islamskie. Zwłaszcza tych, którzy odpowiadali za jej bardzo dynamiczną i skuteczną kampanię propagandową w internecie, napędzającą nowych rekrutów do walki w Syrii, Iraku i do zamachów na Zachodzie.

Po zalogowaniu się do kont od razu zmieniali im hasła, zaczynali szperać w plikach, te najbardziej interesujące przegrywali celem dokładniejszego zbadania na spokojnie i kasowali je z dysków fanatyków. W drugą stronę wgrywali złośliwe oprogramowanie pozwalające potem łatwiej szpiegować dżihadystów.

Na bieżąco odkrywali pozapisywane hasła do kont na innych komputerach, serwerach, forach i w aplikacjach. Operacja szybko zaczęła się na nie rozlewać i zataczać coraz szersze kręgi. Cała sieć komunikacji dżihadystów była przejmowana przez Amerykanów.

Jak opisują anonimowi rozmówcy NPR, pojawiały się momenty pełne napięcia. Jakiś dżihadysta ustawił sobie pytanie bezpieczeństwa przy logowaniu. Ot standardowe: "Jak nazywa się twój zwierzak domowy?"

Cały pokój ucichł. Jesteśmy w kropce i nie możemy iść dalej. Patrzymy po sobie i wszyscy się zastanawiają, co zrobić. Nie ma opcji, żeby to obejść, a bez zalogowania stracimy szansę na rozpracowanie 20-30 dalszych celów.
Nagle wstał jeden z naszych analityków i powiedział: 'Sir, 1-2-5-7'. Odpowiedziałem mu coś w stylu 'że co?' A on niezachwianie powtórzył '1-2-5-7'. Kiedy zapytałem skąd taki pomysł ten odparł: 'Szefie, przyglądałem się aktywności tego gostka przez rok. On używa tej kombinacji do wszystkiego'. No i miał rację. 'Jak nazywa się twój zwierzak domowy?' '1257'. I już, jesteśmy w środku.

Tak kluczowe momenty operacji przeciw ISIS opisywał w rozmowie z NPR anonimowy żołnierz Dowództwa Cybernetycznego USA, skrywający się za imieniem Neil.

Żmudne przygotowania

Droga do tego momentu w pewien nieokreślony dzień jesienią 2016 roku, była bardzo długa. Przygotowania trwały przez ponad rok i na dobre zaczęły się latem 2015 roku. Dżihadyści byli wówczas w środku gwałtownej ofensywy, która zszokowała świat. Pojawiając się pozornie znikąd, w ciągu kilku miesięcy zajęli znaczną cześć Iraku i Syrii, ogłaszając powstanie swojego "kalifatu". Jednym ze znaków szczególnych tych fanatyków była bardzo rozbudowana aktywność w sieci. Tworzyli profesjonalne propagandowe materiały wideo, wydawali swój internetowy magazyn informacyjny, byli aktywni na forach i komunikatorach, utrzymując ciągłą łączność ze swoimi sympatykami na całym świecie. Jako pierwsza organizacja terrorystyczna zamienili internet w swoje narzędzie walki i zrobili to niezwykle skutecznie.

Amerykańskie wojsko i służby dobrze o tym wiedziały, ale nie wiedziały z początku jak sobie z tym poradzić. Brakowało doświadczenia w walce z takim zjawiskiem. Przeprowadzano standardowe dotychczas operacje zlokalizowania, zaatakowania i wyłączenia na przykład jednej strony, forum, serwera czy komunikatora, ale dżihadyści natychmiast pojawiali się w innym miejscu. Takie ograniczone ataki szybko okazały się nie mieć sensu.

Postanowiono więc połączyć siły Dowództwa Cybernetycznego USA i Narodowej Agencji Bezpieczeństwa. Utworzono cywilno-wojskową Grupę Zadaniową ARES i zaczęto przygotowania do operacji "Glowing Symphony", która miała być czymś innym. Czymś kompleksowym i o dotychczas bezprecedensowej skali. Na wstępie trzeba było ściągnąć odpowiednich ludzi. I to wielu. Sięgnięto więc po rezerwistów pracujących w sektorze IT.

Dzięki wzmocnieniu w postaci zmobilizowanych cywilów, zaczęto bardzo dokładnie śledzić aktywność dżihadystów w sieci. - Świat wirtualny jest ściśle powiązany z ludźmi. Z ich nawykami. Z tym, jak się w sieci poruszają, jak nazywają swoje konta, w jakich porach dnia są aktywni, jakie aplikacje lubią mieć na swoich smartfonach. Czy klikają na wszystko, co dostaną mejlem, czy są bardzo ostrożni w swoim działaniu? To wszystko trzeba śledzić i zbadać. Nie tylko linie kodu - opisuje Neil.

Najprostsze metody są najbardziej skuteczne

Na takim żmudnym śledztwie członkowie Grupy Zadaniowej ARES spędzili większą część roku. Ich wytężona praca przyniosła efekt. Neil opisuje, że w pewnym momencie zdał sobie sprawę, iż cała prężna działalność dżihadystów w sieci opiera się na dokładnie 10 kluczowych kontach i serwerach. To był mózg całej operacji. Szybko powstał więc plan włamania się na nie, a potem pójścia "z prądem" do kolejnych kont, serwerów i użytkowników, którzy otrzymywali informacje z "mózgu".

- Każde konto, każdy adres IP, każda domena, każde konto w banku, każde konto mejlowe, no po prostu było tam wszystko. Nie byli dość ostrożni. Poszli na łatwiznę i zarządzali tym wszystkim, korzystając z dziesięciu kont i serwerów. Ba, nawet kupowali przez nie rzeczy na serwisach aukcyjnych, przelewali pieniądze i przesyłali sobie pomiędzy nimi pliki. Wiedzieliśmy, że jeśli zdołamy to przejęć, to przejmiemy wszystko - opisywał.

Skupiono się więc na uzyskaniu dostępu do tych dziesięciu kont i serwerów. Głównym narzędziem Amerykanów było to najprostsze - mejle z podpiętym złośliwym oprogramowaniem. W końcu któryś z dżihadysta kliknął na coś, na co nie powinien, i umożliwił dostęp do jednego z kluczowych kont. Potem stopniowo poszło z górki. Amerykanie zaczęli ostrożnie poruszać się w zamkniętej sieci dżihadystów i stopniowo wkradali się na kolejne kluczowe konta i serwery. Na razie jednak tylko obserwowali, lokalizowali najcenniejsze pliki, ewentualnie ukrywali złośliwe oprogramowanie i tworzyli wygodne furtki na przyszłość.

Wszystko było przygotowaniem do tego jednego kluczowego momentu jesienią 2016 roku, kiedy Neil wypowiedział komendę "Ognia!".

Radość z niszczenia 

Rozmówcy NPR twierdzą, że "Świecąca Symfonia" była kompletnym sukcesem. Dzięki długim i żmudnym przygotowaniom, cyberżołnierze w ciągu minut przejęli kluczowe konta i serwery a potem dzięki zdobytym na nich informacjom rozlali się po sieci dżihadystów. Zanim ci w ogóle się zorientowali co się dzieje, cała ich internetowa aktywność została zdewastowana. Stracili wszystko co do tej pory stworzyli a Amerykanie buszowali nie tylko po ich serwerach, ale też prywatnych komputerach i smartfonach.

- Przez następne pięć czy sześć godzin to było jak strzelanie do kaczek. Czekaliśmy na to tak długo i widzieliśmy tam tyle okropnych rzeczy, że byliśmy ogromnie szczęśliwi mogąc to wszystko zniszczyć - opisywał Neil. - Kiedy sięgasz przez swój komputer do sieci organizacji terrorystycznej, kiedy jesteś tak blisko nich, kiedy w pewnym sensie dotykasz czegoś, co jest ich i co stworzyli wielkim nakładem czasu i środków tylko po to, aby zrobić krzywdę tobie i twoim bliskim, to odczuwasz trudne do opisania emocje. To my mieliśmy kontrolę - dodawał.

Po tej pierwszej nocy operacja wkroczyła w drugą fazę. Przez następne miesiące i lata Amerykanie koncentrowali się na maksymalnym uprzykrzaniu życia dżihadystom i sianiu między nimi nieufności. Fanatycy oczywiście próbowali odbudować swoją aktywność w sieci, ale wojsko i wywiad USA miały tyle wiedzy na ich temat, że mogły to skutecznie torpedować. Według rozmówców NPR, fanatycy byli na ciągłym podsłuchu, "znikały" im pliki, nie mogli się nagle zalogować do swoich kont, sieć działała im w żółwim tempie, zaskakująco szybko wyładowywały im się telefony, nie otrzymywali wiadomości, które mieli otrzymać, albo w ich treści "ktoś" gmerał zmieniając kluczowe informacje, a w przygotowanym z mozołem filmiku propagandowym przez noc pojawiały się dziwne kadry, których nie powinno tam być.

Rozmówcy NPR twierdzą, że po sześciu miesiącach od początku aktywnej fazy operacji, działalność internetowa dżihadystów była cieniem tego, co wcześniej. Propagandowe filmiki i magazyn internetowy przestały się pojawiać. Zerwana została łączność z sympatykami. Wygasła aktywna rekrutacja w mediach społecznościowych. Zniknęły strony rekrutacyjne. Podobnie jak aplikacja na smartfony samozwańczej agencja informacyjnej Państwa Islamskiego.

Amerykanie grożą wirtualną pięścią

Zespół Zadaniowy ARES ma do dzisiaj zajmować się dżihadystami, choć ci są już ogólnie cieniem swojej potęgi sprzed kilku lat. Ich tak zwane Państwo Islamskie zostało zniszczone. Z niegdyś potężnych bojówek pozostały jedynie niedobitki ukrywające się na pustyniach. Wielu fanatyków rozproszyło się jednak po świecie, a naśladowcy działają w wielu państwach. Zagrożenie zmieniło się, ale nie zniknęło. Jest więc czym się zajmować.

Sukces ARES i "Świecącej Symfonii" ma być źródłem inspiracji dla amerykańskich działań w cyberprzestrzeni. Według doniesień medialnych działa podobna grupa skupiona na Rosji, nazywana "Russia Small Group". Miała między innymi włamać się do sieci zarządzającej przesyłem energii elektrycznej w Rosji i umieścić tam złośliwe oprogramowanie. Spekuluje się, że była to przestroga wobec Rosjan, którzy sami są bardzo aktywni w sieci i prowadzą działania przeciw USA. Podobnie szeroko zakrojoną walkę w cyberprzestrzeni prowadzą Chińczycy.

Amerykanie przez lata nie mówili praktycznie nic na temat swoich możliwości w sferze wirtualnej. Wszystko było objęte tajemnicą. Teraz jednak ujawniono historię ataku na ISIS i "przypadkiem" wyciekł opis ataku na rosyjską infrastrukturę. W rozmowie z NPR nowy dowódca Dowództwa Cybernetycznego USA generał Paul Nakasone otwarcie zapowiedział, że wirtualne ataki na USA będą spotykały się z odpowiedzią. - Jeśli na przykład Rosjanie spróbują manipulować przy wyborach w 2020 roku, to zapłacą za to. Jest ważne, aby Amerykanie zrozumieli, że tak jak w powietrzu, na lądzie, morzu i w kosmosie, tak samo w cyberprzestrzeni nasze państwo jest silne - stwierdził generał.

Nagła otwartość wojsk i służb USA w ocenie ekspertów rozmawiających z NPR, ma być sposobem na odstraszanie rywali. Przez lata amerykańska aktywność w cyberprzestrzeni była tak tajna, że właściwie nikt nie zdawał sobie sprawy z tego, iż ona jest. Powstało przekonanie, że w tej dziedzinie to Chiny czy Rosja są potęgą, a o USA jakoś było cicho. Teraz najwyraźniej Waszyngton chce to zmienić.