Grudzień 2017 roku. „Nagły atak zimy zaskoczył drogowców”. Śnieg po kolana, na drogach korki, do tego silne ochłodzenie - nic nas w tym nie dziwi, to przecież polska klasyka, taki mamy klimat. Klniemy, i brniemy prze te zaspy do pracy. Jeszcze nie wiemy, że tym razem już drugiego dnia fali mrozu czekają nas prawdziwe problemy. Najpierw w Warszawie, Katowicach i Trójmieście, potem w wielu innych większych i średnich polskich miastach pada sieć energetyczna. Prądu nie ma w całych dzielnicach, a gdy tylko udaje się przywrócić dostawy energii w jednej części miasta, okazuje się, że w drugiej właśnie gaśnie światło. Po dwóch dniach tych zmagań w stolicy dochodzi do serii awarii sieci ciepłowniczej. Przy 10 stopniach mrozu kaloryfery są lodowate. Tymczasem media donoszą o awariach całych bloków w największych polskich elektrowniach.
ZOBACZ TEŻ | Inteligentne miasta celem dla hakerów?
Wybucha histeria, szczególnie widoczna w mediach społecznościowych. Na Twiterze i Facebooku pojawiają się setki wpisów obwiniających za zimowy kryzys wszelkie możliwe władze - od prezydenta po konkretnych miejskich radnych. To samo w komentarzach pod tekstami na największych polskich portalach, to samo w wątkach na najpopularniejszych polskich forach. Wszędzie krążą fejkowe opowieści o znalezionych na poboczach dróg zamarzniętych zwłokach, o ludziach, którzy nie otrzymali pomocy w pozbawionych prądu szpitalach, o rządzie, który „schronił się w bunkrze” i o specjalnym agregacie prądotwórczym podstawionym nocą pod dom Jarosława Kaczyńskiego (są nawet zdjęcia). Jest też mowa o pracownikach służb energetycznych - podobno biorą słone łapówki w zamian za przywrócenie w danym miejscu prądu w pierwszej kolejności. Gwałtownie spada poziom zaufania do instytucji państwa, w wielu miejscach dochodzi do bijatyk miejscowej ludności z energetykami i interweniującą policją. Nikogo nie interesują prawdziwe przyczyny całego kryzysu - wszyscy są wściekli, przerażeni i chcą jak najszybciej uwolnić swoje frustracje.
Industroyer, nowa cyberbroń hakerów z Rosji, został już przetestowany zimą w Kijowie - efektem była wielka awaria sieci energetycznej
Tak, to wszystko może się zdarzyć. Właściwie na Ukrainie już się zdarza. W całym scenariuszu przypadkowy byłby tylko atak zimy. Wszystko inne nie byłoby serią niefortunnych zbiegów okoliczności - tylko skutkiem skoordynowanej fali cyberataków. W rzeczywistości 2017 roku do wywołania takiego kryzysu wystarczą wyłącznie narzędzia informatyczne, które już istnieją. Żołnierze biorący udział w takiej agresji nie muszą nosić mundurów. W dodatku nie muszą wstawać od komputerów.
Przed tygodniem za sprawą Washington Post dowiedzieliśmy się, że rosyjscy hakerzy opracowali cyberbroń, przy której słynny Stuxnet użyty 8 lat temu do skutecznego ataku na irańskie instalacje atomowe, to subtelny zabytek. To Industroyer - funkcjonuje również nazwa CrashOverride - oprogramowanie, za pomocą którego hakerzy związani z rosyjskimi służbami mogą przejąć kontrolę nad procesami przemysłowymi lub nad działaniem sieci energetycznych, gazowych, czy wodociągowych. Istnienie Industroyera potwierdzili eksperci z firm ESET i Dragos. Co więcej, wszystko wskazuje na to, że ta cyberbroń została już użyta.
W grudniu 2016 roku w Kijowie doszło do serii niespodziewanych awarii sieci energetycznej. Cały kryzys trwał dwa dni, między 16 i 17 grudnia. Służby energetyczne miały pełne ręce roboty, gdy tylko udawało się naprawić awarię w jednym miejscu, dochodziło do kolejnej - zupełnie tak, jakby kijowska sieć energetyczna nagle postanowiła się zbuntować przeciw władzy ludzi. W efekcie setki tysięcy mieszkańców stolicy Ukrainy zostały pozbawione dostępu do prądu. Moment był mocno niesprzyjający. Średnia temperatura w grudniu w Kijowie to -0,2 stopnia C, nieco zimniejsze są tylko styczeń (-2,8 st. C) i luty (-1,6 st. C). Awaria od początku była obiektem zainteresowania służb i firm z branży antywirusowej - a już w styczniu uznano ją za cyberatak. Długo jednak nie udawało się w pełni wyjaśnić jego natury.
Według Służby Bezpieczeństwa Ukrainy, na Ukrainie ma miejsce ok. 3000 ataków hakerskich miesięcznie. Zdecydowana większość jest przypisywana hakerom działającym na zlecenie rosyjskich służb. Skala działań ma sporą rozpiętość - od złośliwych wpisów na witrynach lokalnej administracji, po ataki tak bolesne, jak ten na sieć energetyczną w Kijowie.
Dziś już niemal na pewno wiadomo, że w Kijowie miał miejsce rodzaj testu Industroyera. To z pozoru prosta, w rzeczywistości natomiast bardzo wyrafinowana cyberbroń działająca w bardzo specyficznym i nieco trącącym myszką środowisku. Narzędzie pozwala na przejęcie kontroli nad protokołami stworzonymi do zarządzania urządzeniami energetycznymi. Chodzi o protokoły opracowywane nawet kilkadziesiąt lat temu, oczywiście z myślą o działaniu w prostej, zamkniętej sieci - pozbawionej jakiegokolwiek połączenia z Internetem. To sprawiało, że długo uważane były za niemal całkowicie bezpieczne, jeśli chodzi o zagrożenia związane z cyberprzestępczością i działaniami cyberwojennymi.
Industroyer potrafi teoretycznie dość niewiele, bo „tylko” przekazuje proste sygnały przemysłowym przełącznikom i wyłącznikom. Działa w czterech konkretnych standardach sieciowych powszechnie stosowanych w przemyśle i energetyce. Najprawdopodobniej nie infekuje samej sieci przemysłowej, wiadomo natomiast, że jego głównym celem są sterujące nią komputery. Industroyer działa w nich trochę tak, jak każdy inny rodzaj malware, czyli złośliwych programów - instaluje się w sposób niezwykle trudny do wykrycia zarówno przez operatorów, jak i administratorów sieci, następnie łączy ze zdalnym serwerem, z którego odbiera polecenia a następnie je wykonuje. Innymi słowy - staje się backdoorem (w dosłownym tłumaczeniu: „tylnym wejściem” - co całkiem dobrze oddaje znaczenie tego informatycznego pojęcia) do systemu komputerowego fabryki, elektrowni, energetycznej, wodociągowej, czy gazowej sieci przesyłowej. Ten, kto korzysta z tego tylnego wejścia, może przejąć kontrolę albo nad całym systemem, albo przynajmniej nad jego elementami. To zaś całkowicie wystarczy i do prostego wyłączania urządzeń, i do wywołania poważnej awarii niejednego systemu. Za pomocą Industroyera można więc i „zgasić światło” w mieście na 5 minut, i kompletnie sparaliżować sieć energetyczną - doprowadzając do całej serii awarii. Jak? Na przykład za pomocą wyłączenia części stacji przesyłowych i przeciążenia tych pozostałych. Większość „naturalnych” co do przyczyn energetycznych blackoutów cechowały różne wersje efektu domina - awaria jednego z urządzeń pociągała za sobą, zwykle na skutek właśnie przeciążeń, co w efekcie doprowadzało do załamania całej sieci. Dysponując odpowiednią wiedzą na temat struktury sieci i oprogramowaniem takim jak Industroyer cyberżołnierze obcego państwa mogą wywołać podobny efekt domina całkowicie celowo, w dodatku znacznie komplikując całą kombinację awarii.
Industroyer to oprogramowanie dość uniwersalne, zaprojektowane tak, by paraliżować działanie konkretnych, ściśle określonych, procesów przemysłowych lub uderzać w - znów konkretne i ściśle określone - wybrane elementy energetycznych sieci przesyłowych (przekaźniki linii wysokiego napięcia, przepompownie rurociągów itp.). Odpowiednio przygotowany telebot wprowadzony do systemu informatycznego wielkiej fabryki może więc na przykład zablokować tylko jedno urządzenie, ale tym samym posłać w diabły wszystko, co powstało na całej linii produkcyjnej. „Wstrzyknięty” do sieci w elektrowni może ją całą wyłączyć, ale można wyobrazić sobie np. samo wyłączenie np. systemu chłodzenia czy sterowania turbinami - a w efekcie katastrofę. W wypadku elektrowni węglowej efektem byłoby zniszczenie samego obiektu. W wypadku elektrowni jądrowej możliwych skutków lepiej sobie nie wyobrażać.
Specjaliści z ESET i Dragos uznali Industroyera za oprogramowanie o wyjątkowo wysokiej zdolności do „maskowania się” w systemach komputerowych. Industroyer ma być niezwykle trudny do wykrycia, za to łatwy w obsłudze z punktu widzenia zdalnego operatora.
Trudno powiedzieć, czy Industroyer może równie łatwo wymknąć się spod kontroli. Takie przypadki już znamy Powstanie narzędzia zdolnego do infekowania sieci przemysłowych samo w sobie nie jest nowością. Najsłynniejszym takim narzędziem był (albo i jest) Stuxnet - robak opracowany przez amerykańskie i izraelskie służby w jednym celu: sabotowania irańskich zakładów wzbogacania uranu w elektrowni Busher. Współpraca amerykańskiej NSA i izraelskiej Jednostki 8200 (odpowiedzialnej za działania cyberwojenne) zakończyła się stworzeniem komputerowego wirusa, którego działanie miało doprowadzić do fizycznego uszkodzenia uranowych wirówek w Busher. Stuxnet miał uaktywniać się tylko w wypadku wykrycia dwóch bardzo specyficznych wersji sterowników przemysłowych firmy Siemens - występujących tylko w irańskich zakładach atomowych. Następnie miał zmieniać ich konfigurację, by przyspieszać pracę wirówek powyżej wartości krytycznych, doprowadzając w ten sposób do ich fizycznego uszkodzenia.
Udało się - jednak nie bez pewnych skutków ubocznych. Według początkowych założeń Stuxnet miał „interesować się” tylko i wyłącznie systemem komputerowym elektrowni Busher. Ale coś - do dziś nie wiadomo dokładnie co - choć podejrzenia dotyczą tu głównie modyfikacji jednej z wersji wirusa dokonanych przez jednostkę 8200, poszło nie tak.
Zamiast - tak jak początkowo zakładano - „zamknąć” się w elektrowni Natanz Stuxnet rozprzestrzeniał się więc, jak na klasycznego wirusa przystało, infekując dziesiątki tysięcy komputerów na całym świecie. Dla większości z nich był kompletnie niegroźny - wszak miał uaktywniać się tylko w wypadku wykrycia jednego z dwóch ściśle określonych typów przekaźników. Zdaje się jednak, że znalazł je w miejscach, w których się ich nie spodziewano - właśnie zmodyfikowanemu Stuxnetowi przypisuje się spowodowanie awarii w fabrykach w kilku krajach Azji.
Amerykańskim i izraelskim hakerom nie przeszkadzało to jednak wykorzystywać kolejnych wersji wirusów przeciw irańskiemu programowi atomowemu. Do legendy przeszło wyłączenie w 2012 roku za pomocą wirusa i narzędzia Metasploit elektrowni w irańskim Natanz. Zatrzymaniu urządzeń miało towarzyszyć odtworzenie z zakładowych głośników utworu AC/DC na pełny regulator. Stuxnet stał się częścią całej „rodziny” komputerowych robaków, do której zalicza się m.in. takie narzędzia jak Flame i Duqu.
Łącznie programowi Stuxnet i jego następcom przypisuje się wyłączenie około 20 procent z pięciu tysięcy wirówek pracujących na potrzeby irańskiego programu nuklearnego. Miało to spowolnić jego postępy o co najmniej 6 miesięcy. Zarazem jednak Stuxnet i jego kolejne wersje stały się obiektem studiów hakerów na całym świecie - całkiem niewykluczone, że gdzieś w tych studiach można szukać korzeni Industroyera. W prostej linii Industroyer to prawdopodobnie wynik szeroko rozumianej ewolucji narzędzia używanego przez rosyjskich hakerów przeciw Ukrainie, Polsce i NATO już w 2014 roku - czyli oprogramowania Black Energy. Z pomocą kolejnej wersji tego narzędzia, być może stanowiącej stadium bezpośrednio poprzedzające Industroyera udało się rosyjskim hakerom przeprowadzić atak, który pozbawił w 2015 roku prądu ok. 225 000 mieszkańców zachodniej Ukrainy.
Samo cyberuderzenie w infrastrukturę energetyczną czy przemysłową - całkowicie możliwe za sprawą narzędzi takich jak Industroyer to jednak nie wszystko. Cyberwojna toczy się być może przede wszystkim o nasze umysły. Chodzi nie tylko o to, byśmy boleśnie odczuli skutki ewentualnej cyberagresji, ale i uwierzyli w to, co na temat jej przebiegu i przyczyn ma nam zostać wdrukowane do głów. Zarówno doświadczenia wojny na Ukrainie, jak i cała kampania wojny informacyjnej prowadzonej w Europie, pokazują, że działania w tej sferze są dla Kremla absolutnym priorytetem.
Tu kłania się świeżo opublikowany raport „Computational Propaganda in Poland: False Amplifiers and the Digital Public Sphere” opracowany w ramach The Computational Propaganda Research Project uniwersytetu w Oxfordzie. Naszym krajem zajął się w ramach tego projektu badawczego Robert Gorwa. Analizie zostało poddanych 50 tysięcy wpisów pochodzących z 10 000 kont na polskim Twitterze. Wyniki są ponure - aż 1/3 całego tego ruchu to działania fikcyjnych kont - w dużej mierze stworzonych z myślą o politycznej propagandzie. Autor raportu wspomina nawet o firmie, z właścicielem której się skontaktował, która prowadzi ok. 40 tysięcy profili na polskim Twitterze i Facebooku - wszystkie służą budowaniu postaw i nastrojów internautów na zlecenie partii politycznych. Rozróżnienia ilościowego w raporcie brak, ale za znaczną część polityczno-społecznego trollingu w polskiej sieci odpowiadają podobne firmy - tyle, że znajdujące się pod kontrolą rosyjskich biznesmenów powiązanych ze służbami.
Industroyer znany również pod nazwą Crash Override to nowe narzędzie informatyczne pozwalające na przejęcie przez hakerów kontroli nad procesami przemysłowymi lub działaniem sieci energetycznych, gazowych czy wodociągowych. Z pomocą Industroyera można doprowadzić do rozległych awarii w przemyśle lub energetyce.
Rosyjska aktywność w polskim Internecie podlega schematom widocznych w wielu innych krajach europejskich. Wpisy rosyjskich trolli koncentrują się na kilku rodzajach treści - przede wszystkim liczą się te antyunijne, antyimigranckie oraz wzmacniające postawy nacjonalistyczne - tu polskie realia niemal dokładnie pokrywają się z głośnymi i publikowanymi niemal w całości raportami niemieckiego wywiadu albo czeskiego Centrum Przeciwko Terroryzmowi i Zagrożeniom Hybrydowym czy z obserwacjami zajmujących się tą tematyką think-tanków takich jak węgierski Political Capital Institute. Co ciekawe, aktywność rosyjskich trolli można odnotować między innymi także w wątkach „antyszczepionkowych” czy związanych z różnego rodzaju teoriami spiskowymi. W Polsce szczególnie mocny jest jeszcze wątek antyukraiński. Wszystkie te obszary zainteresowań rosyjskiej propagandy sieciowej coś łączy - to sfery, w których da się destabilizować nastroje społeczne, podważać zaufanie do państwa i jego służb, negować sprawność zarówno instytucji krajowych, jak i europejskich.
Operatorzy fikcyjnych kont z Rosji nie próbują oczywiście w polskiej sieci tworzyć własnych „baniek społecznościowych”, ich aktywność koncentruje się zawsze tam, gdzie istnieje naturalne poparcie dla którejś z wymienionych wyżej idei. Ich zadaniem jest eskalowanie emocji, swoiste dolewanie benzyny do ognia, radykalizowanie nastrojów. To wszystko doskonale przydaje się w „codziennej walce”, której celem jest destabilizowanie europejskich społeczeństw. Jeszcze cenniejsze byłoby jednak w obliczu realnego kryzysu -wykorzystanie prawdziwego strachu i zagrożenia wielokrotnie potęgowałoby osiągane już dziś efekty.
Niestety, może być jeszcze gorzej - badanie według tej samej metodologii jak w wypadku Polski oxfordzki The Computational Propaganda Research Project przeprowadził również w rosyjskim internecie. Tam fałszywki to aż połowa ruchu - tyle tylko, że służą nie do atomiazowania społeczeństwa, ale jego jednoczenia - poprzez odbijanie echem propagandy władzy.
Dołącz do nas na Facebooku!
Publikujemy najciekawsze artykuły, wydarzenia i konkursy. Jesteśmy tam gdzie nasi czytelnicy!
Kontakt z redakcją
Byłeś świadkiem ważnego zdarzenia? Widziałeś coś interesującego? Zrobiłeś ciekawe zdjęcie lub wideo?
