18 kwietnia 2015 roku firma FireEye poinformowała, że Rosjanie zaatakowali Stany Zjednoczone. Grupa prokremlowskich haktywistów od 13 kwietnia rozpoczęła nową kampanię. Trend Micro podaje, że w ramach Operation Pawn Storm działania są skierowane przeciw NATO i Białemu Domowi. Stoi za nimi grupa trwałego i zaawansowanego zagrożenia nr 28, APT28.

 

Wedle ustaleń FireEye prowadzili już działania wymierzone w Gruzję, organizacje bezpieczeństwa NATO i OSCE a także rządy Środkowej Europy, w tym Polskę. Haktywiści nie używają nazwy kodowej i działają w ukryciu. Ataku dokonali za pomocą animacji flash.

 

Podczas pierwszego kwartału 2015 roku grupa haktywistów APT28 zreorganizowała się. Jak podaje Feike Hacquebord stworzyła nowe serwery kontrolne oraz linki infekujące komputery. Haktywiści wykorzystywali listy elektroniczne. Podszywali się pod firmę gazową Southern Gas Corrido i Open Skies Consultative Commission (OSCC), organizację odpowiedzialną m. in. za kontrolę broni, walkę z terroryzmem, czy promocję gender w Europie. Do OSCC należy m. in. Polska, Ukraina, Turcja, USA, czy Rosja. W spreparowanych wiadomościach odwoływali się m. in. do konfliktu na Krymie. Po kliknięciu odsyłacza zaczynała się procedura instalowania oprogramowania haktywistów. Za jego pomocą zbierali informacje z komputera ofiary.

 

Haktywiści z APT28 w ramach akcji szpiegowskich w lutym 2015 zbierali informacje od użytkowników iPhone, iPada, czy iPoda. Znów 26 stycznia 2015 zaatakowali konta Gmail videoblogerów Bethany Mota, Hanka Greena, Glozell Green, znanych z YouTube m. in. z przeprowadzenia wywiadu z Barackiem Obamą. Na tym działania APT28 się nie kończą. Rosyjscy haktywiści działają na kilku frontach: dostępu do informacji, organizacji wojskowych oraz rządów. Przykładowo w zeszłym roku zinfiltrowali MSZ i MON w Gruzji oraz szkoleniowców powiązanych ze Stanami Zjednoczonymi a odpowiedzialnymi za trening gruzińskiej armii. Uderzyli również w muzułmański Kavkaz Center w Czeczeni.

 

FireEye domniemywa, że wcześniejszy atak na Polskę w 2014 roku zaczął się od wiadomości e-mail o katastrofie malezyjskich linii lotniczych na Ukrainie. Działania polegały na stworzeniu m. in. fałszywego serwera g0v.pl zamiast gov.pl. Tak samo uczynili w przypadku wiadomości kierowanych do Ministerstwa Obrony Narodowej.

 

Wspomniani haktywiści również infiltrowali Łotwę, Litwę i Estonię podczas ćwiczeń NATO Baltic Host 2014. Oprócz tego działali przeciw wojsku Norwegii (Forsvaret), marynarce Pakistanu, ambasadzie UE w Iraku, APEC, Bankowi Światowemu, muzułmańskiej organizacji Hizb ut-Tahir, Office for the Coordination of Humanitarian Affairs - organizacji pomocowej przy ONZ , targom broni oraz bezpieczeństwa Farnborough Airshow 2014, EuroNaval 2014, Eurosatory 2014, Counter Terror Expo. Badali firmę SMi Group związaną z projektem wojskowego satelity komunikacyjnego.

 

Duża część ataków APT28 znajduje się w „podbrzuszu” Rosji i obejmuje pasmo państw od Chin, przez rejon obecnego Państwa Islamskiego po Turcję. Rosyjscy haktywiści odpowiadali także za działania przeciw stronom informacyjnym Zjednoczonych Emiratów Arabskich, Afganistanu, Bułgarii oraz Cypru. Interesowali się również szkołami wyższymi w Iranie i Chorwacji. Przeciw ośrodkom związanym z  obronnością i wojskiem działali w Kanadzie, USA, Wielkiej Brytanii, Armenii, Japonii, Południowej Korei, Pakistanie, Turcji oraz Chile. Byli aktywni również w Department of International Relations and Cooperation Republiki Południowej Afryki oraz organizacji pozarządowej w Ugandzie.

 

Specjaliści wskazują, że rosyjscy haktywiści opracowali narzędzia do długotrwałej akcji. FireEye dowodzi, że rozpoczęli swą działalność w 2007 roku. Domniemywają, że początki APT28 sięgają 2004. Jak dotąd rosyjscy haktywiści nie wystosowali żadnego manifestu ani deklaracji. Wskutek poszlak takich jak analiza użytego oprogramowania FireEye informuje, że działają w strefie czasowej w jakiej znajduje się Saint Petersburg i Moskwa. Za działalnością na rzecz Putina przemawiają również rosyjskie komentarze znalezione w kodach źródłowych wirusów haktywistów. W odróżnieniu od Anonymous nie podpisują się pod własnymi działaniami oraz nie wydają oświadczeń. Wnioski o ich powiązaniach z Rosja wynikają z analizy użytych narzędzi.

 

W okolicach lat osiemdziesiątych pojawił się odłam haktywizmu zwany Virii. Zajął się opracowywaniem wirusów komputerowych. Grupa APT28 jest przykładem jak rządy szukają sposobów na przejęcia technologii oraz kultury sieciowych komunistów dla własnych celów politycznych. Analizy wskazują, że rosyjscy haktywiści jako bazę wyjściową zastosowali narzędzia poprzednich generacji hakerów i crackerów stojących za Virii. Według FireFly za działalnością Rosji mogą stać różne grupy. Prawdopodobnie określają swoje kampanie za pomocą takich kodów jak rhze, rhdn, mtfs.

 

Równie dobrze za użytą technologią może stać jedna osoba wynajęta przez różne ugrupowania rosyjskich haktywistów. Jedynym śladem wskazującym, że realizują wspólny cel są specyficzne nazwy plików, algorytmy szyfrowania danych oraz struktura użytych narzędzi. Ich umiejętności oceniane są wysoko. W kwietniu 2015 roku odkryli luki w programach przed ich twórcami z Adobe i Microsoft.

 

Na działalności APT28 sytuacja się nie kończy. Symantec wskazuje na działanie rosyjskich haktywistów z DragonFly m. in. w polskim sektorze energetycznym. Początkowo sieciowi komuniści działali przeciw firmom związanymi z obronnością oraz przemysłem lotniczym. Na początku 2013 zainteresowali się sektorem energetycznym Europy oraz Stanów Zjednoczonych. Wprowadzili ataki na producentów oprogramowania odpowiedzialnego za kontrolę przemysłową (ICS) a ściślej systemy SCADA. Za ich pomocą np. steruje się pompami, czy wyłącza urządzenie elektryczne. SCADA pozwala na uzyskiwanie informacji, czy sprzęt działa poprawnie. Innymi słowy mowa o scenariuszu „Blackout” znanym z książki Marca Elsberga. Za pomocą wirusa Havex zaatakowali około tysiąca firm w USA i Europie, w tym systemy odpowiedzialne za transmisje gazu, wody, ropy, elektryczności oraz przesyłu informacji.

 

Działalność APT28 jest bardziej ukierunkowana. Zaprojektowali oprogramowanie o strukturze modułowej. Zyskali tym sposobem elastyczność m. in. zdolność dostosowywania ataku do metod obrony przeciwnika. Działają w ukryciu i realizują misję pozyskiwania informacji dla Rosji bez zbędnego szumu.

 

Akcja przeciw Białemu Domowi nie jest epizodem, ale długofalową praktyką zdobywania informacji strategicznych dla dyplomacji oraz armii Rosji. Rząd Putina wykorzystuje techniki sieciowych komunistów oraz je rozwija. Haktywiści z APT28 w ocenie FireFly i Trend Micro są systematyczni oraz zorganizowani. Prezentują tak zwane kodowanie polityczne, czyli projektowanie i wdrażanie oprogramowania dla realizacji celów państwa.

 

Obok APT28 inni haktywiści walczą o wpływy. W wypowiedzi z 15 kwietnia 2015 Igor Soumenkov z firmy Kaspersky zauważył, że został zapoczątkowany niebezpieczny trend wojen haktywistycznych szpiegów. Sieciowy komunizm zyskał tym samym na znaczeniu w polityce międzynarodowej.

 

Jacek Skrzypacz

 

© WSZYSTKIE PRAWA DO TEKSTU ZASTRZEŻONE. Możesz udostępniać tekst w serwisach społecznościowych, ale zabronione jest kopiowanie tekstu w części lub całości przez inne redakcje i serwisy internetowe bez zgody redakcji pod groźbą kary i może być ścigane prawnie.