Postępująca cyfryzacja infrastruktury krytycznej, do której należą m.in. porty morskie i terminale, wiele operacji ułatwia, ale też każe przywiązywać większą uwagę do kwestii bezpieczeństwa. Branża morska coraz bardziej zwraca uwagę hakerów, co pokazały serie ataków na związane z nią przedsiębiorstwa w ciągu ostatnich kilkunastu miesięcy. O tym, czy mamy się czym martwić, co powinni przedsięwziąć w tej kwestii zarządzający infrastrukturą krytyczną oraz o tym, kim są i jak funkcjonują hakerzy opowiada prof. dr hab. Jan Kreft z Politechniki Gdańskiej, ekspert w dziedzinie wpływu algorytmów na ludzkie życie.

W ciągu ostatnich miesięcy byliśmy świadkami sporej ilości ataków na przedsiębiorstwa gospodarki morskiej. O wielu z nich pewnie nawet nie wiemy. Czy sektor przemysłu jest obecnie atrakcyjnym celem dla hakerów?

Na pewno. W branży morskiej coraz bardziej zaciera się granica między tym, co jest IT, a co nie jest bezpośrednio związane z IT. W zasadzie takiej granicy już nie widzę. Na przykład dźwig też trzeba sterować z zewnątrz, cyfrowo, słowem: systemy komputerowe przenikają każdy aspekt życia biznesowego.

Jak wyglądają takie ataki?

Same sposoby ataków się nie zmieniają, ale jest to o tyle ciekawe, że są one łączone. Jeden z ostatnich ataków w branży morskiej, na Maersk, a także na kilka terminali portowych, był o tyle zaskakujący, że po raz pierwszy połączono na taką skalę ransomware i atak DDoS. To trudna rzecz. Wymaga czegoś więcej niż tylko niewielkiej grupy atakujących. Trzeba sprzęc do tego sporo komputerów. Był to pierwszy znany mi przypadek, w którym do systemów wprowadzono „robaki”, a potem jeszcze dodatkowo zagrożono, że jeśli ofiara nie spełni żądań, to zostanie całkowicie zablokowana. To jest nowa jakość.

Kto odpowiada za ataki? Czy ktoś się do nich przyznaje?

Można takie grupy zidentyfikować, część grup faktycznie się też do ataków przyznaje. Co więcej, czasami prowadzą one własne strony internetowe. W ciągu ostatnich kilku tygodni mamy jednak do czynienia z czymś wyjątkowym w tym świecie. Według mojej najlepszej wiedzy coś takiego wydarzyło się pierwszy raz w historii i ma to pośredni związek z wydarzeniami w Ukrainie. Rzecz dotyczy tzw. grupy Conti. To grupa, która powstała dwa lata temu. Zebranie informacji o nich nie było trudne, bo okazało się, że są obiektem dość szczegółowych badań i analiz, choć nie w Polsce. Conti była grupą z samego topu pośród tych, które zajmują się cyberatakami. Atakowali firmy, które mają przychody na poziomie powyżej 100 mln dolarów. 27 lutego przeżyli jednak największą katastrofę pośród tego typu grup, jaką znam. Dzień wcześniej zadeklarowali, że są po stronie Rosji w wojnie z Ukrainą. Ale grupa była międzynarodowa, w jej szeregach był też członek przyznający się do drugiej strony – do Ukrainy, który na Twitterze stworzył Conti Leaks – coś jak Wiki Leaks – i udostępnił 170 tysięcy dokumentów z wewnętrznych czatów grupy.

Po raz pierwszy ludzie, którzy zajmują się cyberbezpieczeństwem, mają pełny wgląd w historię powstawania, rozwoju, kultury organizacyjnej grupy hakerów – zwykle po tej drugiej stronie mamy do czynienia z mgłą informacyjną.

Co jest w tych dokumentach?

Conti było znane z tego, że zostawiło ślady i przyznało się do ataków na irlandzką służbę zdrowia przed rokiem. Zablokowali cały system. Jego odbudowa kosztowała mnóstwo pieniędzy. Sięgali głównie po sektor finansowy, środowiska naturalnego, prawa i działalności charytatywnej, ale szerzej dali się poznać właśnie przez ataki na szpitale na masową skalę.

Conti byli znani z tego, że są bardzo sprawni i niewrażliwi etycznie. Specjalizowali się w atakach ransomware'owych i szacuje się, że zarobili na tym 180 milionów dolarów przez 18 miesięcy – to pokazuje, jaka jest skala działalności. To międzynarodowa grupa, ale rosyjskojęzyczna. Dzięki – jak wspomniałem – temu, że jeden z jej członków się wyłamał, poznajemy ich od środka.

Okazało się, że udostępnił na przykład dwa ostatnie podstawowe kody źródłowe przydatne do cyberataków. I tu ciekawostka: najnowszy kod jest słabszy od poprzedniego – Polacy to zanalizowali i okazało się, że kod wygląda, jakby napisał go jakiś wynajęty, nie bardzo rozgarnięty deweloper. Choć przy okazji należy zwrócić uwagę na niebezpieczeństwo, że ktoś mający dostęp do tego kodu i kierujący się złymi intencjami może go rozwijać.

Wracając natomiast do samej grupy – przeciętne wyłudzenie Conti to około 800 tys. dolarów. Podstawowy komunikat, który wyświetlał się ofiarom, wyglądał amatorsko. Były w nim informacje o tym, że ofiara została zablokowana, pojawiały się żądania i termin ich spełnienia, najczęściej trzy dni. Były i dziwne elementy, na przykład chińskie znaki i, nie wiadomo po co, przycisk do ponownego kodowania. Słowem, wygląda to na amatorszczyznę, choć należy ponownie przestrzec przed pochopnymi interpretacjami.

Grupa liczyła 62 osoby stałych współpracowników plus około 30 doraźnych, łącznie około stu osób. Część z nich nie wiedziała, że pracuje dla „ciemnej strony mocy”. Po prostu wykonywali usługi, za które dostawali od 1400 do 2000 dolarów, zatem relatywnie niewiele. Natomiast ci, którzy negocjowali wyłudzenia, mieli udział z zysków na wysokim poziomie.

Ciekawa była też kultura organizacyjna grupy. Ujawnione czaty pokazują ciekawą hierarchię – menadżerów średniego szczebla, programistów, czyli takich „pszczółek roboczych”, które piszą złośliwy kod, zespół IT, który utrzymuje serwery, ale także np. ich własny HR. Mogło się zatem wydawać, że członkowie grupy byli „zatrudniani” na znanych powszechnie warunkach. Sięgano zatem po otwarte oferty, ale także w darknecie. W kwietniu 2021 na etacie był także dziennikarz, który brał 5 proc. wynagrodzenia za pomoc w wywieraniu presji na ofiary, by płaciły okup. Członkom grupy wypłacano normalne pensje – 1. i 15. dnia każdego miesiąca. Na czatach skarżyli się, że czasami nie mogą wyjechać poza Rosję, bo stamtąd się głównie rekrutowali, często z Petersburga. Myśleli o otworzeniu oddziału w Moskwie. Pisali też inne rzeczy: ktoś się żalił, że brakuje mu ostatnio pieniędzy, ktoś się cieszył, że kupił nowego laptopa Apple, iPhone'a... Conti mieli też listę celów i taryfikator cen. Zżymali się, że ktoś jest leniwy, były też nagrody dla „pracownika miesiąca”.

Gdy ktoś miał jakieś potrzeby finansowe, otrzymywał pomoc. Komuś zachorowała na nowotwór matka; są ślady korespondencji ze wsparciem, był więc jakiś „fundusz socjalny”.

Ich kanałem komunikacji był Rocket Chat, czyli taka odmiana Slacka. Jednocześnie rozmowy w ramach jednej „komórki” prowadziły zwykle cztery osoby, co oznacza, że członkowie grupy się wzajemnie nie znali. Nowo zatrudniony zawsze dołączał do jakiejś grupy, więc znał tylko trzy osoby, itd.

Grupa się rozpadła? Jej członkowie zostali zidentyfikowani?

Dla Conti istnieje w tym momencie kilka zagrożeń. Po pierwsze, że ich tożsamości zostaną ujawnione, co już się dzieje. Po drugie, że po rozpadzie grupy już nikt im nie zaufa i będą odcięci od zleceń.

Conti to tylko ataki na biznes i infrastrukturę krytyczną?

W tej korespondencji jest także ślad tego, że dostali od FSB zlecenie na szukanie wszystkiego, co jest związane ze znanym rosyjskim opozycjonistą Aleksiejem Nawalnym. Przekopywali jakieś dokumenty, wskazywali, co może być ciekawe. Część tej grupy była też wynajmowana do tworzenia fake'ów, prawdopodobnie deep fake'ów, na temat prezydenta Ukrainy Zelenskiego. W dyskusji jest ślad stwierdzenia, że dobrze by było, gdyby go obarczyć jakimiś antysemickimi poglądami.

Analitycy, którzy teraz zajmują się nimi od jakiegoś czasu wnioskują, że Conti byli „trzymani na smyczy”. Najprawdopodobniej zostali wcześniej złapani przez rosyjskie służby, ale dano im ultimatum – pozwolono im działać, ale wykonywali określone prace. Tak było też z grupą, która zaatakowała Maersk która zresztą szybko rozpierzchła, nie istnieje, ale jej członkowie są w innych grupach.

Na koniec tej historii drobna uwaga: Ukraińca, który ujawnił pliki Conti, poszukiwano w Zjednoczonych Emiratach Arabskich, co dobrze ilustruje, jak bardzo ten świat nie ma granic.

Kiedy Conti zostali „rozpruci”, zobaczyliśmy, że tego typu grupy nie są jakoś specjalnie szkolone przez wojsko, czy oddziały cybernetyczne. Są tworzone ad hoc, na potrzeby różnych zadań. Niektóre z nich mają jakiś określony styl działania, korzystają z jakichś konkretnych narzędzi. Poza tym posługują się konkretnymi nazwami, pseudonimami, które ich identyfikują. Wszystko to ma siać strach – gdy bowiem ktoś zobaczy na swoim ekranie wiadomość „Cześć, jesteśmy z Conti”, to włos ma mu się zjeżyć.

Czy z perspektywy przemysłu w ogóle można myśleć o tym, że da się zapewnić organizacji względne bezpieczeństwo, czy to utopia, bo jest to wyścig zbrojeń?

To zawsze będzie wyścig zbrojeń. Można jednak być uzbrojonym lepiej lub gorzej. Myślę, że w średnim kraju europejskim dziennie dochodzi do 50-80 tys. ataków. Jedne branże są bardziej na nie odporne, inne mniej. Branża transportowa, żegluga, raczej nie była nigdy identyfikowana jako warta uderzenia, ale to się zmienia, może dlatego, że branża finansowa się już trochę uodporniła i na więcej ją stać.

Czy w branży żeglugowej zawsze chodzi o pieniądze? Tam są przecież informacje o wielkim znaczeniu gospodarczym.

To prawda. Pamiętam sytuację z koreańskim koncernem zajmującym się energetyką atomową. W tym przypadku wyraźnie chodziło o technologię, nie o pieniądze. Ktoś ich zaatakował, a jego zleceniodawcą był albo konkurent tego koncernu, albo jakiś obcy wywiad.

Był też atak na jedną z azjatyckich stoczni, która budowała okręty podwodne dla jednej z marynarek.

Czasami chodzi zatem o know-how.

Popkultura zaserwowała nam obraz hakera-Janosika: atakuje bogatego, żeby rozdać biednym albo bronic ich interesów. A tutaj mamy zupełnie odwrotny obraz – grupa atakuje infrastrukturę krytyczną.

To naprawdę nie ma nic wspólnego z Robin Hoodem, choć możemy mieć takie wrażenie. To, co robią Anonymous jest popularne, masowe, ale jestem przekonany, że także odwracające uwagę od głównego problemu. Ten zaś jest powszechnie znany: ataki na wrażliwe systemy, sianie paniki, poważanie zaufania.

Co powinni robić dyrektorzy, prezesi, osoby odpowiadające za bezpieczeństwo w portach, terminalach i innych instytucjach, żeby spać w miarę spokojnie i nie obawiać się ataków?

Nie powiem nic nowego – katalog podstawowych zasad, które pozwalają lepiej spać, jest znany od dłuższego czasu. Gdybym miał dzisiaj coś podpowiedzieć, to odwołałbym się do niego. To banalne kwestie: kopie zapasowe, fragmentacja całego systemu, żeby system nie był „płaski”, a zintegrowany pionowo, segmentacja dostępu do sieci, czyli naprawdę oszczędne delegowane uprawnień. Innymi słowy, żeby każdy nie miał dostępu wszędzie. CISCO sugeruje na przykład, żeby stworzyć „pola ziemi niczyjej”, żeby atak odbijał się od – jak to nazywają – „strefy zdemilitaryzowanej”. Oczywiście nie można także wierzyć we wszechmoc antywirusów. Wiem, że wszystko to jest czasochłonne i kosztowne, ale nie ma innych rozwiązań. W organizacji, która zatrudnia mnóstwo ludzi, i atak przechodzi przez pocztę mailową, zawsze jest ktoś, kto kliknie. Nie ma zatem stuprocentowej obrony. Ale te podstawowe standardy bezpieczeństwa powinny być spełnione. To jest elementarz dla instytucji publicznych, dla firm, uczelni wyższych.

Często ignorujemy też podstawowe reguły. Politykom wyciekają maile z Gmaila, telewizja filmuje panią urzędnik, która ma do monitora przyklejoną karteczkę z hasłami...

Uczymy się tego bezpieczeństwa. Bodaj w 2017 roku Niemcy zatrudniły pierwszych 13 tys. osób w „armii cyberbezpieczeństwa”. My dopiero rozpoczynamy. Jesteśmy o kilka lat opóźnieni, aczkolwiek w różnych organizacjach wygląda to bardzo różnie: w świadomych bywa bardzo dobrze. Z drugiej strony, Conti nie zaatakują przysłowiowego warzywniaka, tylko kogoś wrażliwego z punktu widzenia np. łańcucha dostaw. Warto też sobie uświadomić skalę zagrożeń. Żyjemy w czasach, w których – gdyby komuś bardzo zależało i nie miał żadnych zahamowań – można wykoleić wszystkie pociągi w kraju poprzez cyberataki. Proszę sobie teraz odnieść to zagrożenie do działania portów lotniczych i portów morskich. Na szczęście taka „cyberwojna” to ostateczność, choć zasięgu współczesnych państw agresorów.

Przed kilkoma laty w Stanach Zjednoczonych hakerzy zaatakowali gazociąg. Spowodowało to kłopot w dostawach surowca.

To był prywatny biznes, który kierował się oszczędnością – zaoszczędzili na zabezpieczeniach.

W gospodarce morskiej też jest dużo prywatnych przedsiębiorstw narażonych na ataki. Komu można bardziej zaufać – prywatnym firmom, czy państwowym instytucjom?

Nie ma normy. Wspomniana administracja publiczna szpitali irlandzkich okazała się wrażliwa. Nie ma bezpiecznego zamku, są natomiast koszty ochrony i koszty ataku.

Czy nasz pęd do cyfryzacji nie naraża nas? Czy dla bezpieczeństwa nie lepiej zostawić paru rzeczy na papierze?

Proszę sobie wyobrazić internet jako wielki zasób danych. Crawlery Google szperają na poziomie 5-6 proc. tych zasobów. Cała reszta to nie tylko darknet, ale też zamknięte silosy różnych firm, korporacji, instytucji publicznych, które chronią swoje zasoby lepiej lub gorzej. Jest ich mnóstwo. Pomysł, żeby cofnąć te współczesne rozwiązania obronne do czasów przedcyfrowych jest uroczy z punktu widzenia gimnastyki intelektualnej, ale to się po prostu nie zdarzy. Na pewno jednak konsekwencją współczesnych zmagań w jest fakt, że zwróciliśmy uwagę na elementy bezpieczeństwa, obok których wcześniej przechodziliśmy obojętnie. Mówię o tym w kontekście indywidualnego odbiorcy, na przykład dyrektora czy prezesa firmy. Przytoczę panu ile, według aktualnego cennika, kosztuje na przykład zniszczenie czyjejś reputacji. Żeby wykupić miesięczną kampanię z fałszywymi informacjami na dany temat, które będą ukazywać się raz w tygodniu i będą promowane przez 50 tys. retwittów oraz 100 tys. odwiedzin, żeby je uwiarygodnić, plus cztery powiązane ze sobą filmy na YouTube, plus serwis 500 komentarzy dziennie w sekwencji 400 negatywnych, 80 neutralnych, 20 pozytywnych, plus 200 tys. followersów, którzy powiedzą „a to łajdak”, plus 12 tysięcy komentarzy z fałszywymi opowieściami o obiekcie – za wszystko to trzeba zapłacić wedle jednej ofert 11,5 tys. dolarów.

Tanio.

Po takim ataku nikt się nie pozbiera. Firma z Rosji proponowała niedawno głosy w głosowaniu z gwarancją nieujawniania IP. Koszt jednego głosu – 1,5 rubla. To jak za darmo. Chce pan kupić kampanię społecznego protestu w Unii Europejskiej? W tej chwili kosztuje około 60 tys. dolarów. Są to realni ludzie, którzy stoją na ulicy i trzymają transparenty. Chce pan kupić sztorm twittów, żeby system zidentyfikował zainteresowanie kimś lub czymś? To rząd wielkości 20-30 tys. euro. Albo oferta z Chin: likwidacja słowa kluczowego – 16 tys. dolarów, zablokowanie firmy i żądanie opłat za usunięcie blokady – 1,5 tys. dolarów.

1,5 tys. dolarów to dla kogoś, kto chciałby się pozbyć biznesowego konkurenta, praktycznie nic. To wszystko pokazuje, że tak naprawdę wszystko się może zdarzyć.

Może nie wszystko, ale w istocie wszystkim po ciemnej stronie mocy zależy, żebyśmy się bali. To wojna psychologiczna. A jednak ten świat cyberzła to nadal margines. Głośny, wykorzystywany przez różne organizacje, ale wciąż margines. W tym płynnym środowisku gdy jedni trafiają do więzienia, przychodzą w ich miejsce inni.
Jednocześnie ten wielki ruch spotyka się z olbrzymim ruchem crowdsourcingu obrony. „Armia internetowa” w Ukrainie, ministerstwo zarządzane przez 34-latka, który zajmuje się dzisiaj organizowaniem mnóstwa ludzi na całym świecie, zajmuje się obroną i atakiem. To wielkie społeczne wzmożenie bardzo pobudza wyobraźnię i jest niezwykłym przykładem tego, co dobrego może się zdarzyć w sieci. Aczkolwiek przestrzegałbym przed jednoznacznym identyfikowaniem tego starcia jako pojedynek dobra ze złem, bo – podobnie jak w „realu” – motywy są różne. Dobro i zło jest może i dość klarownie tu ułożone, ale i szara strefa jest spora.

Załóżmy, że jakaś instytucja nadzorująca infrastrukturę krytyczną odkryła, że była celem ataku. Co powinna zrobić? Jak zareagować? Dzwonić pod 112 i powiedzieć „zaatakowali nas hakerzy”?

Administrator, specjalista cyberbezpieczeństwa na pewno wie, z kim ma się skontaktować. Nie znam jednak dobrej odpowiedzi na ogólne pytanie „co robić?”. Poza tym trudno uczyć się na poszczególnych przykładach, bo mało kto chwali się tym, że został zaatakowany.

To dobrze czy źle? Lepiej powiedzieć publicznie o tym i ostrzec potencjalnych klientów, których dane mogły zostać wykradzione, czy działać po cichu, żeby uniknąć złego PR-u?

Ludzie, który się zajmują cyberbezpieczeństwem, wiedzą co się dzieje. Czasami nawet artykuły, w których czytamy o atakach, są oparte na informacjach z innych źródeł, nie bezpośrednio od ofiar ataków.

Ale np. Maersk czy Bureau Veritas opublikowały informacje po tym, jak zostały zaatakowane.

I bardzo dobrze zrobiły. To najlepsza taktyka z punktu widzenia dobra publicznego. Jeśli wydarzy się coś dużego, to musi oddziaływać na wyobraźnię tych, którzy może zajmują się cyberbezpieczeństwem. Nawet jeśli specjaliści od IT wolą zanurzyć się w TikToka i nie przykładają się zbytnio do obowiązków. Informacja o cyberataku ze strony dużej firmy, to ostrzeżenie dla innych.

Czy płacić? To zależy od rozmaitych kosztów, poza tym problem polega na tym, że najczęściej na zapłatę są dwa lub trzy dni. Czasami to zbyt krótko, by zgromadzić odpowiednie środki. A później cena rośnie.

Colonial Pipeline Company, operator gazociągu w Stanach Zjednoczonych, zapłaciła okup. Została skrytykowana przez służby, ale środowisko biznesowe stwierdziło, że dobrze zrobiła – kwota, którą przelała napastnikom była o wiele mniejsza niż potencjalne straty.

Myślę, że w szeregach takich grup jak Conti są także „aktuariusze”, którzy zastanawiają się jaki koszt dana firma mogłaby ponieść, gdyby nie zapłaciła, i do niej dostosowują wysokość okupu. To taki osobliwy świat analityków biznesu.

Czy polski przemysł się w ogóle interesuje cyberbezpieczeństwem?

O tak. Wiem, że świadomość rośnie, choć nie jestem pierwotnym źródłem tej informacji. Wiem jednak, że tak się dzieje od dłuższego czasu, choćby dzięki takim atakom jak Pietia i Not Pietia, albo aktywności Conti. Bo w istocie mamy do czynienia z obosiecznym mieczem – hakerzy kreują swoją markę, ale marka działa także jak pożar, na który wszyscy patrzą z daleka analizując swoje zabezpieczenia przeciwogniowe i zastanawiając się, czy pożar przyjdzie też do nas. Zatem w świecie biznesowym, paradoksalnie także w polityce, świadomość rośnie szybko. Proszę zobaczyć jaki jest efekt „maili Dworczyka”, ilu ludzi od razu zakodowało swoją pocztę? Myślę, że wielu. Taka była ich funkcja edukacyjna.

Ciekawe, czy po ataku na niektóre europejskie terminale inne stwierdziły, że muszą usprawnić zabezpieczenia.

Część pewnie tak, część nie. Nie jesteśmy doskonali.

Zarządzający infrastrukturą krytyczną są prawnie zobowiązani do organizacji ćwiczeń, mających na celu sprawdzanie bezpieczeństwa służb, usprawnianie ich współpracy i procedur. Czy można sobie wyobrazić takie ćwiczenia w zakresie cyberbezpieczeństwa?

Tworzenie zabezpieczeń przed atakami na tym właśnie polega. Testuje się jakieś rozwiązania na „żywym organizmie” danych. A tych na świecie nie brakuje. Korespondencja Conti też mówi o tym, że w taki sposób trenują hakerzy.

Koszty współczesnego biznesu rosną i niestety będą w tej dziedzinie rosły dalej. Dobre, nowoczesne oprogramowanie jest kosztowne. Ale to też pokazuje jak bardzo świat jest od niego uzależniony. Dlatego być może najważniejszym wydarzeniem w tej branży w kontekście wydarzeń w Ukrainie jest wycofanie Microsoftu i Apple z Rosji.

W jaki sposób może się to odbić na cyberbezpieczeństwie?

To się okaże za 2-3 miesiące, gdy coraz pilniejsza będzie potrzeba kolejnych aktualizacji i będą one trudniej dostępne, a pod ręką nie będzie odpowiednich specjalistów, bo mamy do czynienia masowym ich odpływem z Rosji. A hakerzy atakują przede wszystkim stare, niezaktualizowane oprogramowanie.