Postępująca cyfryzacja infrastruktury krytycznej, do której należą m.in. porty morskie i terminale, wiele operacji ułatwia, ale też każe przywiązywać większą uwagę do kwestii bezpieczeństwa. Branża morska coraz bardziej zwraca uwagę hakerów, co pokazały serie ataków na związane z nią przedsiębiorstwa w ciągu ostatnich kilkunastu miesięcy. O tym, czy mamy się czym martwić, co powinni przedsięwziąć w tej kwestii zarządzający infrastrukturą krytyczną oraz o tym, kim są i jak funkcjonują hakerzy opowiada prof. dr hab. Jan Kreft z Politechniki Gdańskiej, ekspert w dziedzinie wpływu algorytmów na ludzkie życie.
W ciągu ostatnich miesięcy byliśmy świadkami sporej ilości ataków na przedsiębiorstwa gospodarki morskiej. O wielu z nich pewnie nawet nie wiemy. Czy sektor przemysłu jest obecnie atrakcyjnym celem dla hakerów?
Na pewno. W branży morskiej coraz bardziej zaciera się granica między tym, co jest IT, a co nie jest bezpośrednio związane z IT. W zasadzie takiej granicy już nie widzę. Na przykład dźwig też trzeba sterować z zewnątrz, cyfrowo, słowem: systemy komputerowe przenikają każdy aspekt życia biznesowego.
Jak wyglądają takie ataki?
Same sposoby ataków się nie zmieniają, ale jest to o tyle ciekawe, że są one łączone. Jeden z ostatnich ataków w branży morskiej, na Maersk, a także na kilka terminali portowych, był o tyle zaskakujący, że po raz pierwszy połączono na taką skalę ransomware i atak DDoS. To trudna rzecz. Wymaga czegoś więcej niż tylko niewielkiej grupy atakujących. Trzeba sprzęc do tego sporo komputerów. Był to pierwszy znany mi przypadek, w którym do systemów wprowadzono „robaki”, a potem jeszcze dodatkowo zagrożono, że jeśli ofiara nie spełni żądań, to zostanie całkowicie zablokowana. To jest nowa jakość.
Kto odpowiada za ataki? Czy ktoś się do nich przyznaje?
Można takie grupy zidentyfikować, część grup faktycznie się też do ataków przyznaje. Co więcej, czasami prowadzą one własne strony internetowe. W ciągu ostatnich kilku tygodni mamy jednak do czynienia z czymś wyjątkowym w tym świecie. Według mojej najlepszej wiedzy coś takiego wydarzyło się pierwszy raz w historii i ma to pośredni związek z wydarzeniami w Ukrainie. Rzecz dotyczy tzw. grupy Conti. To grupa, która powstała dwa lata temu. Zebranie informacji o nich nie było trudne, bo okazało się, że są obiektem dość szczegółowych badań i analiz, choć nie w Polsce. Conti była grupą z samego topu pośród tych, które zajmują się cyberatakami. Atakowali firmy, które mają przychody na poziomie powyżej 100 mln dolarów. 27 lutego przeżyli jednak największą katastrofę pośród tego typu grup, jaką znam. Dzień wcześniej zadeklarowali, że są po stronie Rosji w wojnie z Ukrainą. Ale grupa była międzynarodowa, w jej szeregach był też członek przyznający się do drugiej strony – do Ukrainy, który na Twitterze stworzył Conti Leaks – coś jak Wiki Leaks – i udostępnił 170 tysięcy dokumentów z wewnętrznych czatów grupy.
Po raz pierwszy ludzie, którzy zajmują się cyberbezpieczeństwem, mają pełny wgląd w historię powstawania, rozwoju, kultury organizacyjnej grupy hakerów – zwykle po tej drugiej stronie mamy do czynienia z mgłą informacyjną.
Co jest w tych dokumentach?
Conti było znane z tego, że zostawiło ślady i przyznało się do ataków na irlandzką służbę zdrowia przed rokiem. Zablokowali cały system. Jego odbudowa kosztowała mnóstwo pieniędzy. Sięgali głównie po sektor finansowy, środowiska naturalnego, prawa i działalności charytatywnej, ale szerzej dali się poznać właśnie przez ataki na szpitale na masową skalę.
Conti byli znani z tego, że są bardzo sprawni i niewrażliwi etycznie. Specjalizowali się w atakach ransomware'owych i szacuje się, że zarobili na tym 180 milionów dolarów przez 18 miesięcy – to pokazuje, jaka jest skala działalności. To międzynarodowa grupa, ale rosyjskojęzyczna. Dzięki – jak wspomniałem – temu, że jeden z jej członków się wyłamał, poznajemy ich od środka.
Okazało się, że udostępnił na przykład dwa ostatnie podstawowe kody źródłowe przydatne do cyberataków. I tu ciekawostka: najnowszy kod jest słabszy od poprzedniego – Polacy to zanalizowali i okazało się, że kod wygląda, jakby napisał go jakiś wynajęty, nie bardzo rozgarnięty deweloper. Choć przy okazji należy zwrócić uwagę na niebezpieczeństwo, że ktoś mający dostęp do tego kodu i kierujący się złymi intencjami może go rozwijać.
Wracając natomiast do samej grupy – przeciętne wyłudzenie Conti to około 800 tys. dolarów. Podstawowy komunikat, który wyświetlał się ofiarom, wyglądał amatorsko. Były w nim informacje o tym, że ofiara została zablokowana, pojawiały się żądania i termin ich spełnienia, najczęściej trzy dni. Były i dziwne elementy, na przykład chińskie znaki i, nie wiadomo po co, przycisk do ponownego kodowania. Słowem, wygląda to na amatorszczyznę, choć należy ponownie przestrzec przed pochopnymi interpretacjami.
Grupa liczyła 62 osoby stałych współpracowników plus około 30 doraźnych, łącznie około stu osób. Część z nich nie wiedziała, że pracuje dla „ciemnej strony mocy”. Po prostu wykonywali usługi, za które dostawali od 1400 do 2000 dolarów, zatem relatywnie niewiele. Natomiast ci, którzy negocjowali wyłudzenia, mieli udział z zysków na wysokim poziomie.
Ciekawa była też kultura organizacyjna grupy. Ujawnione czaty pokazują ciekawą hierarchię – menadżerów średniego szczebla, programistów, czyli takich „pszczółek roboczych”, które piszą złośliwy kod, zespół IT, który utrzymuje serwery, ale także np. ich własny HR. Mogło się zatem wydawać, że członkowie grupy byli „zatrudniani” na znanych powszechnie warunkach. Sięgano zatem po otwarte oferty, ale także w darknecie. W kwietniu 2021 na etacie był także dziennikarz, który brał 5 proc. wynagrodzenia za pomoc w wywieraniu presji na ofiary, by płaciły okup. Członkom grupy wypłacano normalne pensje – 1. i 15. dnia każdego miesiąca. Na czatach skarżyli się, że czasami nie mogą wyjechać poza Rosję, bo stamtąd się głównie rekrutowali, często z Petersburga. Myśleli o otworzeniu oddziału w Moskwie. Pisali też inne rzeczy: ktoś się żalił, że brakuje mu ostatnio pieniędzy, ktoś się cieszył, że kupił nowego laptopa Apple, iPhone'a... Conti mieli też listę celów i taryfikator cen. Zżymali się, że ktoś jest leniwy, były też nagrody dla „pracownika miesiąca”.
Gdy ktoś miał jakieś potrzeby finansowe, otrzymywał pomoc. Komuś zachorowała na nowotwór matka; są ślady korespondencji ze wsparciem, był więc jakiś „fundusz socjalny”.
Ich kanałem komunikacji był Rocket Chat, czyli taka odmiana Slacka. Jednocześnie rozmowy w ramach jednej „komórki” prowadziły zwykle cztery osoby, co oznacza, że członkowie grupy się wzajemnie nie znali. Nowo zatrudniony zawsze dołączał do jakiejś grupy, więc znał tylko trzy osoby, itd.
Grupa się rozpadła? Jej członkowie zostali zidentyfikowani?
Dla Conti istnieje w tym momencie kilka zagrożeń. Po pierwsze, że ich tożsamości zostaną ujawnione, co już się dzieje. Po drugie, że po rozpadzie grupy już nikt im nie zaufa i będą odcięci od zleceń.
Conti to tylko ataki na biznes i infrastrukturę krytyczną?
W
tej korespondencji jest także ślad tego, że dostali od FSB zlecenie na
szukanie wszystkiego, co jest związane ze znanym rosyjskim opozycjonistą
Aleksiejem Nawalnym. Przekopywali jakieś dokumenty, wskazywali, co może
być ciekawe. Część tej grupy była też wynajmowana do tworzenia fake'ów,
prawdopodobnie deep fake'ów, na temat prezydenta Ukrainy Zelenskiego. W
dyskusji jest ślad stwierdzenia, że dobrze by było, gdyby go obarczyć
jakimiś antysemickimi poglądami.
Analitycy, którzy teraz
zajmują się nimi od jakiegoś czasu wnioskują, że Conti byli „trzymani na
smyczy”. Najprawdopodobniej zostali wcześniej złapani przez rosyjskie
służby, ale dano im ultimatum – pozwolono im działać, ale wykonywali
określone prace. Tak było też z grupą, która zaatakowała Maersk która
zresztą szybko rozpierzchła, nie istnieje, ale jej członkowie są w
innych grupach.
Na koniec tej historii drobna uwaga: Ukraińca,
który ujawnił pliki Conti, poszukiwano w Zjednoczonych Emiratach
Arabskich, co dobrze ilustruje, jak bardzo ten świat nie ma granic.
Kiedy
Conti zostali „rozpruci”, zobaczyliśmy, że tego typu grupy nie są jakoś
specjalnie szkolone przez wojsko, czy oddziały cybernetyczne. Są
tworzone ad hoc, na potrzeby różnych zadań. Niektóre z nich mają jakiś
określony styl działania, korzystają z jakichś konkretnych narzędzi.
Poza tym posługują się konkretnymi nazwami, pseudonimami, które ich
identyfikują. Wszystko to ma siać strach – gdy bowiem ktoś zobaczy na
swoim ekranie wiadomość „Cześć, jesteśmy z Conti”, to włos ma mu się
zjeżyć.
Czy z perspektywy przemysłu w ogóle można myśleć o
tym, że da się zapewnić organizacji względne bezpieczeństwo, czy to
utopia, bo jest to wyścig zbrojeń?
To zawsze będzie wyścig
zbrojeń. Można jednak być uzbrojonym lepiej lub gorzej. Myślę, że w
średnim kraju europejskim dziennie dochodzi do 50-80 tys. ataków. Jedne
branże są bardziej na nie odporne, inne mniej. Branża transportowa,
żegluga, raczej nie była nigdy identyfikowana jako warta uderzenia, ale
to się zmienia, może dlatego, że branża finansowa się już trochę
uodporniła i na więcej ją stać.
Czy w branży żeglugowej zawsze chodzi o pieniądze? Tam są przecież informacje o wielkim znaczeniu gospodarczym.
To
prawda. Pamiętam sytuację z koreańskim koncernem zajmującym się
energetyką atomową. W tym przypadku wyraźnie chodziło o technologię, nie
o pieniądze. Ktoś ich zaatakował, a jego zleceniodawcą był albo
konkurent tego koncernu, albo jakiś obcy wywiad.
Był też atak na jedną z azjatyckich stoczni, która budowała okręty podwodne dla jednej z marynarek.
Czasami chodzi zatem o know-how.
Popkultura
zaserwowała nam obraz hakera-Janosika: atakuje bogatego, żeby rozdać
biednym albo bronic ich interesów. A tutaj mamy zupełnie odwrotny obraz –
grupa atakuje infrastrukturę krytyczną.
To naprawdę nie
ma nic wspólnego z Robin Hoodem, choć możemy mieć takie wrażenie. To, co
robią Anonymous jest popularne, masowe, ale jestem przekonany, że także
odwracające uwagę od głównego problemu. Ten zaś jest powszechnie znany:
ataki na wrażliwe systemy, sianie paniki, poważanie zaufania.
Co
powinni robić dyrektorzy, prezesi, osoby odpowiadające za
bezpieczeństwo w portach, terminalach i innych instytucjach, żeby spać w
miarę spokojnie i nie obawiać się ataków?
Nie powiem nic
nowego – katalog podstawowych zasad, które pozwalają lepiej spać, jest
znany od dłuższego czasu. Gdybym miał dzisiaj coś podpowiedzieć, to
odwołałbym się do niego. To banalne kwestie: kopie zapasowe,
fragmentacja całego systemu, żeby system nie był „płaski”, a
zintegrowany pionowo, segmentacja dostępu do sieci, czyli naprawdę
oszczędne delegowane uprawnień. Innymi słowy, żeby każdy nie miał
dostępu wszędzie. CISCO sugeruje na przykład, żeby stworzyć „pola ziemi
niczyjej”, żeby atak odbijał się od – jak to nazywają – „strefy
zdemilitaryzowanej”. Oczywiście nie można także wierzyć we wszechmoc
antywirusów. Wiem, że wszystko to jest czasochłonne i kosztowne, ale nie
ma innych rozwiązań. W organizacji, która zatrudnia mnóstwo ludzi, i
atak przechodzi przez pocztę mailową, zawsze jest ktoś, kto kliknie. Nie
ma zatem stuprocentowej obrony. Ale te podstawowe standardy
bezpieczeństwa powinny być spełnione. To jest elementarz dla instytucji
publicznych, dla firm, uczelni wyższych.
Często ignorujemy
też podstawowe reguły. Politykom wyciekają maile z Gmaila, telewizja
filmuje panią urzędnik, która ma do monitora przyklejoną karteczkę z
hasłami...
Uczymy się tego bezpieczeństwa. Bodaj w 2017
roku Niemcy zatrudniły pierwszych 13 tys. osób w „armii
cyberbezpieczeństwa”. My dopiero rozpoczynamy. Jesteśmy o kilka lat
opóźnieni, aczkolwiek w różnych organizacjach wygląda to bardzo różnie: w
świadomych bywa bardzo dobrze. Z drugiej strony, Conti nie zaatakują
przysłowiowego warzywniaka, tylko kogoś wrażliwego z punktu widzenia np.
łańcucha dostaw. Warto też sobie uświadomić skalę zagrożeń. Żyjemy w
czasach, w których – gdyby komuś bardzo zależało i nie miał żadnych
zahamowań – można wykoleić wszystkie pociągi w kraju poprzez cyberataki.
Proszę sobie teraz odnieść to zagrożenie do działania portów lotniczych
i portów morskich. Na szczęście taka „cyberwojna” to ostateczność, choć
zasięgu współczesnych państw agresorów.
Przed kilkoma laty w Stanach Zjednoczonych hakerzy zaatakowali gazociąg. Spowodowało to kłopot w dostawach surowca.
To był prywatny biznes, który kierował się oszczędnością – zaoszczędzili na zabezpieczeniach.
W
gospodarce morskiej też jest dużo prywatnych przedsiębiorstw narażonych
na ataki. Komu można bardziej zaufać – prywatnym firmom, czy państwowym
instytucjom?
Nie ma normy. Wspomniana administracja
publiczna szpitali irlandzkich okazała się wrażliwa. Nie ma bezpiecznego
zamku, są natomiast koszty ochrony i koszty ataku.
Czy nasz pęd do cyfryzacji nie naraża nas? Czy dla bezpieczeństwa nie lepiej zostawić paru rzeczy na papierze?
Proszę
sobie wyobrazić internet jako wielki zasób danych. Crawlery Google
szperają na poziomie 5-6 proc. tych zasobów. Cała reszta to nie tylko
darknet, ale też zamknięte silosy różnych firm, korporacji, instytucji
publicznych, które chronią swoje zasoby lepiej lub gorzej. Jest ich
mnóstwo. Pomysł, żeby cofnąć te współczesne rozwiązania obronne do
czasów przedcyfrowych jest uroczy z punktu widzenia gimnastyki
intelektualnej, ale to się po prostu nie zdarzy. Na pewno jednak
konsekwencją współczesnych zmagań w jest fakt, że zwróciliśmy uwagę na
elementy bezpieczeństwa, obok których wcześniej przechodziliśmy
obojętnie. Mówię o tym w kontekście indywidualnego odbiorcy, na przykład
dyrektora czy prezesa firmy. Przytoczę panu ile, według aktualnego
cennika, kosztuje na przykład zniszczenie czyjejś reputacji. Żeby
wykupić miesięczną kampanię z fałszywymi informacjami na dany temat,
które będą ukazywać się raz w tygodniu i będą promowane przez 50 tys.
retwittów oraz 100 tys. odwiedzin, żeby je uwiarygodnić, plus cztery
powiązane ze sobą filmy na YouTube, plus serwis 500 komentarzy dziennie w
sekwencji 400 negatywnych, 80 neutralnych, 20 pozytywnych, plus 200
tys. followersów, którzy powiedzą „a to łajdak”, plus 12 tysięcy
komentarzy z fałszywymi opowieściami o obiekcie – za wszystko to trzeba
zapłacić wedle jednej ofert 11,5 tys. dolarów.
Tanio.
Po
takim ataku nikt się nie pozbiera. Firma z Rosji proponowała niedawno
głosy w głosowaniu z gwarancją nieujawniania IP. Koszt jednego głosu –
1,5 rubla. To jak za darmo. Chce pan kupić kampanię społecznego protestu
w Unii Europejskiej? W tej chwili kosztuje około 60 tys. dolarów. Są to
realni ludzie, którzy stoją na ulicy i trzymają transparenty. Chce pan
kupić sztorm twittów, żeby system zidentyfikował zainteresowanie kimś
lub czymś? To rząd wielkości 20-30 tys. euro. Albo oferta z Chin:
likwidacja słowa kluczowego – 16 tys. dolarów, zablokowanie firmy i
żądanie opłat za usunięcie blokady – 1,5 tys. dolarów.
1,5
tys. dolarów to dla kogoś, kto chciałby się pozbyć biznesowego
konkurenta, praktycznie nic. To wszystko pokazuje, że tak naprawdę
wszystko się może zdarzyć.
Może nie wszystko, ale w
istocie wszystkim po ciemnej stronie mocy zależy, żebyśmy się bali. To
wojna psychologiczna. A jednak ten świat cyberzła to nadal margines.
Głośny, wykorzystywany przez różne organizacje, ale wciąż margines. W
tym płynnym środowisku gdy jedni trafiają do więzienia, przychodzą w ich
miejsce inni.
Jednocześnie ten wielki ruch spotyka się z olbrzymim
ruchem crowdsourcingu obrony. „Armia internetowa” w Ukrainie,
ministerstwo zarządzane przez 34-latka, który zajmuje się dzisiaj
organizowaniem mnóstwa ludzi na całym świecie, zajmuje się obroną i
atakiem. To wielkie społeczne wzmożenie bardzo pobudza wyobraźnię i jest
niezwykłym przykładem tego, co dobrego może się zdarzyć w sieci.
Aczkolwiek przestrzegałbym przed jednoznacznym identyfikowaniem tego
starcia jako pojedynek dobra ze złem, bo – podobnie jak w „realu” –
motywy są różne. Dobro i zło jest może i dość klarownie tu ułożone, ale i
szara strefa jest spora.
Załóżmy, że jakaś instytucja
nadzorująca infrastrukturę krytyczną odkryła, że była celem ataku. Co
powinna zrobić? Jak zareagować? Dzwonić pod 112 i powiedzieć
„zaatakowali nas hakerzy”?
Administrator, specjalista
cyberbezpieczeństwa na pewno wie, z kim ma się skontaktować. Nie znam
jednak dobrej odpowiedzi na ogólne pytanie „co robić?”. Poza tym trudno
uczyć się na poszczególnych przykładach, bo mało kto chwali się tym, że
został zaatakowany.
To dobrze czy źle? Lepiej powiedzieć
publicznie o tym i ostrzec potencjalnych klientów, których dane mogły
zostać wykradzione, czy działać po cichu, żeby uniknąć złego PR-u?
Ludzie,
który się zajmują cyberbezpieczeństwem, wiedzą co się dzieje. Czasami
nawet artykuły, w których czytamy o atakach, są oparte na informacjach z
innych źródeł, nie bezpośrednio od ofiar ataków.
Ale np. Maersk czy Bureau Veritas opublikowały informacje po tym, jak zostały zaatakowane.
I
bardzo dobrze zrobiły. To najlepsza taktyka z punktu widzenia dobra
publicznego. Jeśli wydarzy się coś dużego, to musi oddziaływać na
wyobraźnię tych, którzy może zajmują się cyberbezpieczeństwem. Nawet
jeśli specjaliści od IT wolą zanurzyć się w TikToka i nie przykładają
się zbytnio do obowiązków. Informacja o cyberataku ze strony dużej
firmy, to ostrzeżenie dla innych.
Czy płacić? To zależy od
rozmaitych kosztów, poza tym problem polega na tym, że najczęściej na
zapłatę są dwa lub trzy dni. Czasami to zbyt krótko, by zgromadzić
odpowiednie środki. A później cena rośnie.
Colonial
Pipeline Company, operator gazociągu w Stanach Zjednoczonych, zapłaciła
okup. Została skrytykowana przez służby, ale środowisko biznesowe
stwierdziło, że dobrze zrobiła – kwota, którą przelała napastnikom była o
wiele mniejsza niż potencjalne straty.
Myślę, że w
szeregach takich grup jak Conti są także „aktuariusze”, którzy
zastanawiają się jaki koszt dana firma mogłaby ponieść, gdyby nie
zapłaciła, i do niej dostosowują wysokość okupu. To taki osobliwy świat
analityków biznesu.
Czy polski przemysł się w ogóle interesuje cyberbezpieczeństwem?
O
tak. Wiem, że świadomość rośnie, choć nie jestem pierwotnym źródłem tej
informacji. Wiem jednak, że tak się dzieje od dłuższego czasu, choćby
dzięki takim atakom jak Pietia i Not Pietia, albo aktywności Conti. Bo w
istocie mamy do czynienia z obosiecznym mieczem – hakerzy kreują swoją
markę, ale marka działa także jak pożar, na który wszyscy patrzą z
daleka analizując swoje zabezpieczenia przeciwogniowe i zastanawiając
się, czy pożar przyjdzie też do nas. Zatem w świecie biznesowym,
paradoksalnie także w polityce, świadomość rośnie szybko. Proszę
zobaczyć jaki jest efekt „maili Dworczyka”, ilu ludzi od razu zakodowało
swoją pocztę? Myślę, że wielu. Taka była ich funkcja edukacyjna.
Ciekawe, czy po ataku na niektóre europejskie terminale inne stwierdziły, że muszą usprawnić zabezpieczenia.
Część pewnie tak, część nie. Nie jesteśmy doskonali.
Zarządzający
infrastrukturą krytyczną są prawnie zobowiązani do organizacji ćwiczeń,
mających na celu sprawdzanie bezpieczeństwa służb, usprawnianie ich
współpracy i procedur. Czy można sobie wyobrazić takie ćwiczenia w
zakresie cyberbezpieczeństwa?
Tworzenie zabezpieczeń przed
atakami na tym właśnie polega. Testuje się jakieś rozwiązania na „żywym
organizmie” danych. A tych na świecie nie brakuje. Korespondencja Conti
też mówi o tym, że w taki sposób trenują hakerzy.
Koszty
współczesnego biznesu rosną i niestety będą w tej dziedzinie rosły
dalej. Dobre, nowoczesne oprogramowanie jest kosztowne. Ale to też
pokazuje jak bardzo świat jest od niego uzależniony. Dlatego być może
najważniejszym wydarzeniem w tej branży w kontekście wydarzeń w Ukrainie
jest wycofanie Microsoftu i Apple z Rosji.
W jaki sposób może się to odbić na cyberbezpieczeństwie?
To się okaże za 2-3 miesiące, gdy coraz pilniejsza będzie potrzeba kolejnych aktualizacji i będą one trudniej dostępne, a pod ręką nie będzie odpowiednich specjalistów, bo mamy do czynienia masowym ich odpływem z Rosji. A hakerzy atakują przede wszystkim stare, niezaktualizowane oprogramowanie.
Fot główne: DepositphotosIdą zmiany w Porcie Gdynia. Demontaż Bühlera na Nabrzeżu Indyjskim
Zmiany w Chińsko-Polskim Towarzystwie Okrętowym S.A. "Chipolbrok"
Unimot przygotowuje dodatkową infrastrukturę importową dla LPG
W Baltimore otwarto trzecią, tymczasową trasę w pobliżu zniszczonego mostu
MI przygotuje projekt rozporządzenia ws. planu zagospodarowania przestrzennego wód portu morskiego w Dziwnowie
Port Elbląg liczy na większy przeładunek