1. Pentagon i NASA, czyli backdoor i sniffer w akcji

Zaledwie piętnastoletni, pochodzący z Miami Jonathan James (alias c0mrade) w 1999 r. wkradł się do prawdopodobnie najlepiej zabezpieczonych systemów na świecie. Udało mu się włamać do komputerów Agencji Redukcji Zagrożeń Obronnych (DTRA), działu Departamentu Obrony Stanów Zjednoczonych, której głównym zadaniem jest analiza potencjalnych zagrożeń dla USA zarówno w kraju, jak i za granicą. Johantan James dokonując swojego najsłynniejszego ataku hakerskiego do włamania użył serwera znajdującego się w Dallas w stanie Wirginia, na którym zainstalował backdoora i za jego pomocą sniffera, który umożliwiał śledzenie całego ruchu sieciowego Agencji Redukcji Zagrożeń Obronnych. Działanie to pozwoliło młodemu hakerowi przechwycić ponad 3000 wiadomości, kilkadziesiąt różnych haseł i loginów używanych w Agencji oraz 10 haseł umożliwiających dostęp do serwerów wojskowych. Dzięki przechwyconym loginom i hasłom już w styczniu 2000 r. udało mu się włamać do NASA. Jego ofiarą padł Marshall Space Flight Center (MSFC), z którego serwerów ukradł oprogramowanie pozwalające na kontrolę wilgotności powietrza i temperatury panujących w części załogowej Międzynarodowej Stacji Kosmicznej. Software wart był 1,7 miliona USD. Atak został jednakże wykryty, co zmusiło organizację do wyłączenia swojej sieci na okres trzech tygodni w celu założenia zabezpieczeń, kosztem 41 tys. USD. W 2000 r. FBI zatrzymało hakera i został skazany. Wiedząc, że nie uniknie odpowiedzialności karnej za swoje działania hakerskie, 18 maja 2008 roku popełnił samobójstwo.

Warto jeszcze wyjaśnić, że backdoor to luka obecna w zabezpieczeniach systemu komputerowego, która pozwala ominąć jego szyfrowanie i inne mechanizmy uwierzytelniania, tworząc tzw. „tylne drzwi” umożliwiające cyberprzestępcom przejęcie pełnej kontroli nad zaatakowanym urządzeniem i jego oprogramowaniem. Natomiast sniffer, to oprogramowanie służące do przechwytywania i ewentualnego analizowania danych przepływających w danej sieci.

2. MafiaBoy – pierwszy największy atak DDoS

W lutym 2000 r. piętnastoletni Michael Calce z Kanady (alias MafiaBoy) przeprowadził atak DDoS na wiele serwisów internetowych, w tym Amazon, CNN, Fifa.com, eBay i Yahoo!. Podejrzewany był też o atak na Outlawnet – dostawcę usług internetowych, jednak nie przyznał się do niego. MafiaBoy użył programu Tribe Flood Network, napisanego przez niemieckiego hakera z Hanoweru o pseudonimie Mixter.

Ten atak uznany został za jeden z najbardziej spektakularnych w dziejach ze względu na fakt, iż był to pierwszy atak DDoS przeprowadzony na tak dużą skalę. Jego ofiarami padły czołowe serwisy internetowe i duże korporacje. Jednocześnie był to pierwszy atak, który odbił się bardzo szerokim echem w środkach masowego przekazu. Straty Yahoo! w ciągu trzech godzin awarii wyniosły 500 tys. USD, ruch w witrynie CNN.com spadł o 95 procent, a ze strony ZDNet praktycznie w ogóle nie dało się skorzystać. Łączne straty poniesione w wyniku ataku wyceniono na 1,7 miliarda USD. Haker został skazany w 2001 r. w wyniku operacji prowadzonej wspólnie przez USA i Kanadę.

Pragnę wyjaśnić, że ataki DDoS (ang. Distributed-Denial-of-Service, czyli „rozproszona odmowa usługi”) skutkują niedostępnością usług. Atakujący wysyła tak dużo zapytań do serwera, gdzie zlokalizowana jest dana aplikacja, że wysyca jego zasoby. Przez to żaden z użytkowników nie jest w stanie dostać się do danej strony internetowej. Widzimy to często w przypadku dużych promocji, kiedy tysiące chętnych rzucają się na limitowaną edycję danego produktu. Hakerzy wykorzystują tu armie komputerów-zombie, nad którymi udało się im przejąć kontrolę za pomocą złośliwego oprogramowania.

3. Państwowa cyberwojna – rosyjski atak DDoS na Estonię

W 2007 r. mieszkańcy Estonii przekonali się, że cyberataki mogą być narzędziem walki pomiędzy dwoma państwami. Decyzja władz stolicy Estonii o przeniesieniu pomnika Armii Czerwonej na obrzeża Tallina rozsierdziła Rosjan, którzy tłumnie manifestowali przed ambasadą Estonii w Moskwie. W międzyczasie nastąpiły fale ataków DDoS, które trafiły do parlamentu estońskiego, banków, ministerstw, gazet oraz innych mediów. W ciągu kilku dni okaleczyły całą gospodarkę, codzienne życie i dystrybucję usług publicznych. Cyberatak dotknął 58 estońskich stron internetowych. Niewielkie państwo bałtyckie zmagało się z problemami przez kilkanaście dni. Usunięcie skutków kosztowało je kilkanaście milionów USD. Wydarzenia z kwietnia i maja 2007 r. nazwano otwartą wojną cybernetyczną.

Ataki te skłoniły organizacje wojskowe na całym świecie do zmiany podejścia do znaczenia bezpieczeństwa sieci. Z tego zdarzenia Estonia wyciągnęła wnioski i obecnie uchodzi za jednego z liderów w zakresie cyberbezpieczeństwa państw. Przykładowo, Centrum Doskonalenia Cyberobrony NATO (CCD COE) zostało założone w 2008 r. i ma siedzibę w Tallinie. Obecnie Estonia znajduje się na czwartym miejscu w National Cyber Security Index i trzecim w Global Cybersecurity Index.

4. Operacja Get rich or die tryin – jak ukraść 170 mln kart kredytowych

W latach 2005-2007 Albert Gonzales z Florydy wraz z dwoma innymi hakerami mieszkającymi na terenie Rosji dopuścił się jednego z największych oszustw w historii Stanów Zjednoczonych a mianowicie ukradł 170 milionów numerów kart kredytowych i debetowych z ponad 250 instytucji finansowych. Przestępcy włamali się do baz danych czterech amerykańskich sieci sprzedaży detalicznej (m.in. 7-Eleven) oraz Heartland Payment Systems, spółki obsługującej płatności kartami kredytowymi. Skradzione dane transferowane były następnie do komputerów znajdujących się na terenie Łotwy, Ukrainy, Holandii oraz kilku amerykańskich stanów. Gonzalez i jego wspólnicy od 2006 r. analizowali systemy firm, z których chcieli ukraść dane. Grupa cyberprzestępców nadała swojej operacji kryptonim „Stań się bogaty lub zgiń, próbując to zrobić” („Get rich or die tryin”).

Ataki wykorzystywały to, co nazywamy „zastrzykami SQL” w celu wykorzystania słabości niezabezpieczonego publicznego lub firmowego WiFi. SQL injection to metoda ataku komputerowego wykorzystująca lukę w zabezpieczeniach aplikacji polegającą na nieodpowiednim filtrowaniu lub niedostatecznym typowaniu danych użytkownika, które to dane są później wykorzystywane przy wykonaniu zapytań (SQL) do bazy danych. Podatne są na nią wszystkie systemy przyjmujące dane od użytkownika i dynamicznie generujące zapytania do bazy danych.

Gonzalez został aresztowany w maju 2008 roku. Policja zabezpieczyła 1,6 mln USD w gotówce.

5. Coca-Cola nieodporna na phishing

Atak phishingowy na Coca Colę nastąpił w lutym 2009 r. W tym przypadku zastosowano ukierunkowany phishing przeciwko dyrektorowi firmy, który otrzymał e-mail o temacie „Save power is save money! (from CEO)”, czyli „Oszczędzać prąd to oszczędzać pieniądze (od CEO)”. E-mail jako nadawcę podawał wysoko postawioną osobę w dziale prawnym firmy a w czasie tego ataku Coca-Cola prowadziła kampanię promującą oszczędzanie energii. Dyrektor będący celem ataku otworzył wiadomość i kliknął w link, który miał prowadzić do dalszych informacji na temat programu oszczędzania energii. Ale zamiast tego wczytał na komputer rozmaite złośliwe oprogramowanie, w tym keyloggera, który przez tygodnie zapisywał wszystko, co użytkownik wpisał na klawiaturze zainfekowanego komputera. To włamanie umożliwiło chińskim hakerom dostęp do intranetu firmy i wykradanie danych aż do momentu, kiedy włamanie wykryto na skutek działań FBI — kilka tygodni później. Atak miał miejsce zaledwie kilka dni przed podjętą przez CocaColę — i ostatecznie nieudaną — próbą kupienia za 2,4 miliarda USD jednego z chińskich producentów napojów. Gdyby transakcja ta doszła do skutku, byłaby największym, jak dotąd, nabyciem chińskiej firmy przez podmiot zagraniczny.

Wyjaśnienia powodów, dla których nie doszło do transakcji, są sprzeczne, ale co najmniej jedna firma zajmująca się bezpieczeństwem twierdzi, że stało się to za sprawą wycieku istotnych informacji dotyczących strategii i polityki cenowej, przez co Coca-Cola nie była w stanie negocjować warunków zakupu.

Warto zaznaczyć, że phishing, to oszustwo polegające na wyłudzeniu ważnych danych, takich jak loginy i hasła, numery kart kredytowych, czy numer PESEL, w ramach którego cyberprzestępcy podszywają się pod zaufane instytucje, np. banki, Policję, czy pracowników danej firmy lub ich przełożonych.

6. Stuxnet – jak szpiegować instalacje przemysłowe

Istnieje kilka udokumentowanych przypadków złośliwego oprogramowania wykorzystywanego przez rząd dla osiągnięcia określonego celu militarnego. Jednym z przykładów jest „bomba logiczna” rzekomo wydana przez CIA, a inna to słynny Stuxnet – robak odkryty w 2010 r. Został on specjalnie zaprojektowany do atakowania i infekowania kontrolerów przemysłowych Siemensa, infekując 200 000 komputerów, niszcząc co najmniej 1000 maszyn i likwidując jedną piątą nuklearnych zdolności Iranu.

Stuxnet jest pierwszym znanym robakiem używanym do szpiegowania i przeprogramowywania instalacji przemysłowych. Zawierał on rootkit na system Windows, pierwszy w historii PLC rootkit. Wykorzystywał też wiele luk 0-day. Wirus miał zdolność aktualizacji metodą peer-to-peer. Podstawową formą rozpowszechniania się robaka były zainfekowane podręczne pamięci USB.

Stuxnet po zainstalowaniu w systemie operacyjnym Windows zaczyna przeszukiwać sieć lokalną w poszukiwaniu podłączonych sterowników PLC, które są często używane w różnego rodzaju fabrykach, rafineriach czy elektrowniach. W przypadku znalezienia ściśle określonej konfiguracji sterowników SIMATIC S7-300 oraz S7-400 firmy Siemens następuje jego aktywacja. Wirus wykorzystuje działające na zainfekowanym komputerze oprogramowanie Siemens SIMATIC WinCC/Step 7 (oprogramowanie łączące system SCADA oraz programistyczną stację inżynierską) w celu zmian ustawień sterowników PLC. Robi to w sposób sugerujący, że jego twórcy mieli na celu tylko wybrane kontrolery. Stuxnet atakował głównie konwertery częstotliwości zmieniając częstotliwość prądu, jaki one wysyłały, co doprowadzało do przyspieszenia pracy wirówek gazowych, także w laboratorium nuklearnym Iranu, tym samym doprowadzając do ich uszkodzenia.

7. Sony Playstation Network – luka w zabezpieczeniach kosztująca prawie 200 milionów USD

W kwietniu 2011 r. należąca do japońskiej marki Sony platforma z grami online i możliwością kupowania gier padła ofiarą dwudniowego ataku syndykatu hakerów LulzSec. Hakerzy wykorzystali lukę w zabezpieczeniach sieciowych, która była od dłuższego czasu dobrze znana, ale mimo to firma Sony nie podjęła prób jej usunięcia. Prawdopodobną przyczyną ataku były praktyki Sony względem prywatności użytkowników i niewłaściwe zabezpieczanie własnych danych. Jeszcze w marcu, po jednej z aktualizacji PlayStation 3, w sieci pojawiły się doniesienia, że Sony zbiera dużo informacji o użytkownikach, w tym m.in. dane sprzętów podłączanych do konsoli, a z drugiej strony – wiele danych przechowuje w sposób niezabezpieczony na swoich serwerach.

Gracze próbujący zalogować się do gry online zostali „uraczeni” komunikatem, że systemy zostały zamknięte z powodu konserwacji. Jednak w rzeczywistości hakerzy systematycznie odblokowywali szyfrowanie bezpieczeństwa Sony, uzyskując dostęp do danych osobowych ponad 77 milionów użytkowników a także wykradli ponad 12 tys. danych pochodzących z kart kredytowych graczy. Serwis nie działał przez niemal miesiąc, ponosząc straty w wysokości 171 milionów USD. To nie wszystko. Sony musiała zapłacić grzywnę za niewystarczające środki bezpieczeństwa oraz wypłacić 15 milionów USD w ramach odszkodowań.

8. Ransomware WannaCry – czyli międzynarodowe szyfrowanie danych

Duża fala cyberataków za pomocą oprogramowania WannaCry miała miejsce w maju 2017 r., kiedy zainfekowanych zostało ponad 300 tys. komputerów w 99 krajach. Przestępcy żądali zapłaty w 28 językach (w tym polskim). Cyberatak opierał się na kryptorobaku ransomware czyli wirusowym oprogramowaniu, które samo powiela się w miarę rozpowszechniania.

Ransomware to oprogramowanie, które blokuje dostęp do systemu komputerowego lub uniemożliwia odczyt zapisanych w nim danych (często poprzez techniki szyfrujące), a następnie żąda od ofiary okupu za przywrócenie stanu pierwotnego. Programy typu ransomware należą do tzw. złośliwego oprogramowania (malware). Najprostsze typy programów typu ransomware jedynie zakładają na system blokadę, stosunkowo łatwą do zlikwidowania dla doświadczonych użytkowników komputera. Bardziej zaawansowane formy oprogramowania typu ransomware stosują natomiast technikę zwaną kryptowirusowym wymuszeniem – szyfrują pliki ofiary, uniemożliwiając tym samym ich normalny odczyt, i żądają okupu w zamian za deszyfrację danych. W prawidłowo przeprowadzonym ataku wymuszeniowym przywrócenie danych bez posiadania klucza deszyfrującego jest praktycznie niemożliwe.

Wannacry atakował słabe i stare systemy operacyjne oznaczone przez NSA, ale zignorowane lata temu. W ciągu kilku dni zainfekowanych zostało tysiące organizacji i firm w tym Departament Usług Zdrowotnych w Wielkiej Brytanii (NHS), Telefónica w Hiszpanii, Fedex, Deutsche Bahn, a w Rosji ponad 1000 komputerów w ministerstwie spraw wewnętrznych, agencji zarządzania sytuacjami kryzysowymi (EMERCOM) oraz w przedsiębiorstwie telekomunikacyjnym MegaFon.

Od czego się zaczęło?

NSA stworzyła „zero-day exploits”. Narzędzia te, służące do wykorzystywania luk w oprogramowaniach, są ogromnym zagrożeniem, jeżeli zainfekują system. Te exploity zostały utworzone przez specjalnie do tego celu przeznaczone Centrum Cyberwywiadowcze CIA. Jak się okazuje Centrum we współpracy z najlepszymi programistami opracowało możliwość włamania się do większości popularnych urządzeń. Można wymienić tu systemy takie jakie iOS, Android, Microsoft Windows oraz urządzenia jak SmartTV firmy Samsung. W praktyce oznacza to, że służby CIA mogą podsłuchiwać kogo chcą i kiedy chcą. W 2016 r. grupa Shadow Brokers ujawnia serię tajnych narzędzi. Po tym jak nikogo nie zainteresowało wykupienie wiadomości jakie w posiadaniu ma grupa, postanowili opublikować kolejną serię exploitów, tym razem zaadresowaną do systemów Windows, w tym EternalBlue. NSA korzystała z exploitów do ataków na banki, systemy SWIFT, do infiltrowania sieci – atakując VPN i firewall. Narzędzia te to: EternalBlue, EternalChampion, EternalRomance, EternalSystem, ExplodingCan.

Program EternalBlue wykorzystał lukę w protokole Microsoft Server Message Block 1.0 (SMBv1) i dzięki niej zyskał dostęp do zdalnego wykonania dostarczonego kodu na komputerze ofiary (użycie Double Pulsar, czyli tak zwanego backdoora). Choć na prośbę NSA Microsoft opublikował łatkę bezpieczeństwa, zanim po raz pierwszy wykorzystano exploit EternalBlue, to przez opieszałość użytkowników i opóźnienia w jej instalacji północnokoreańskiej grupie hakerów sponsorowanych przez tamtejszy rząd udało się wprowadzić do sieci ransomware o nazwie WannaCry.

Zainfekowanym plikom zostało nadane rozszerzenie .WNCRY. By otrzymać do nich dostęp, należało wpłacić około 300 USD w bitcoinach za każdą zainfekowaną stację. Hakerzy stosowali socjotechnikę polegającą na zastraszeniu – cena dwukrotnie wzrastała po trzech dobach, a po upływie tygodnia odzyskanie danych było niemożliwe.

12 maja 2017 r. Marcus Hutchins z Kryptos Logic znalazł próbkę kodu wirusa i ustalił, że oprogramowanie łączyło się z niezarejestrowaną domeną. Hutchins postanowił zarejestrować domenę na siebie, co zatrzymało infekowanie kolejnych komputerów. Do 17 maja łączny okup jaki dostali hakerzy wynosił ponad 79 tys. USD.

Według premier Wielkiej Brytanii Theresy May cyberatak na brytyjską służbę zdrowia spowodował między 12–19 maja odwołanie 19000 spotkań, co kosztowało 20 milionów funtów. Późniejsze koszty zostały wygenerowane na dodatkowe 72 miliony funtów.

9. Petya, atak wiperem powodujący 10 miliardów USD strat

Seria cyberataków przeprowadzonych między 27–28 czerwca 2017 roku wykonana została za pomocą oprogramowania, które udawało ransomware, a tak naprawdę okazało się wiperem, czyli oprogramowaniem służącym do infekowania dysków i wymazywania z nich danych. Cyberprzestępcy stworzyli program szyfrująco-blokujący Petya (inna nazwa: NonPetya). Wędrował on po sieci, szyfrując każde napotkane dane oraz blokując zainfekowane urządzenia. Domagał się bitcoinów o wartości 300 USD w zamian za odszyfrowanie informacji przy czym wpłata okupu była praktycznie niemożliwa. Atakował głównie firmy i agencje rządowe na całym świecie, a nie osoby prywatne, gdyż rozprzestrzeniał się w dużej mierze za pomocą oprogramowania do prowadzenia dokumentacji finansowej a dokładnie programu aktualizującego ukraińskie oprogramowanie księgowe M.E.Doc, co może tłumaczyć wysoki odsetek ataków na Ukrainie. To smutny paradoks — użytkownikom zawsze zaleca się aktualizowanie oprogramowania, ale w tym przypadku to właśnie zmodyfikowany program aktualizujący stanowił punkt zapalny infekcji.

Robak stosował trzy różne metody rozprzestrzeniania: lukę EternalBlue (znanej z ataku WannaCry), lukę EternalRomance i udziały sieciowe w systemie Windows przy użyciu skradzionych poświadczeń ofiary (odbywa się to za pomocą narzędzia w postaci pakietu typu Mimikatz, które wyodrębnia hasła oraz zwykłych narzędzi, takich jak PsExec i WMIC). Po zaszyfrowaniu plików i rozprzestrzenieniu się robak próbował uniemożliwić uruchomienie systemu Windows (modyfikując główny rekord rozruchowy), a po wymuszonym restarcie komputera szyfrował plik MFT (Master File Table) na dysku systemowym. To działanie uniemożliwiało uruchomienie systemu Windows, a zatem korzystanie z komputera.

Pierwsza o serii ataków poinformowała Ukraina oraz Maersk. Najbardziej ucierpiały na tym firmy takie jak: koncern farmaceutyczny Merck, spółka FedEx TNT Express, francuska firma budowlana Saint-Gobain, producent żywności Mondelez, Reckitt Benckiser oraz rosyjska spółka naftowa Rosnieft.

Jak szacują eksperci, w wyniku działań robaka przedsiębiorstwa na całym świecie poniosły łączne straty w wysokości do 10 miliardów USD.

Nie wiadomo czy robak miał tylko siać zniszczenie (autorzy ataku uzyskali w lipcu 2017 r. 10 tys. USD w portfelu bitcoinów) czy  miał na celu odwrócenie uwagi od innych (potajemnych) ataków, które zostały przeprowadzone w tym samym czasie.

10. Atak ransomware – Colonial Pipieline vs. DarkSide

W maju 2021 r. amerykańska Colonial Pipeline – największy operator rurociągów w USA dostarczający 45 proc. paliwa na wschodnim wybrzeżu – padła ofiarą ataku ransomware przeprowadzonego przez rosyjską grupę hakerską DarkSide. Pod kontrolą firmy znajduje się rurociąg o długości prawie 9 tys. kilometrów, którym transportowana jest ropa, benzyna oraz paliwo lotnicze. Rurociąg łączy rafinerię w Zatoce Meksykańskiej i te w położone w Teksasie z odbiorcami na wschodnim wybrzeżu. W przypadku Colonial Pipeline nie dość, że firma została zmuszona do zamknięcia części swoich systemów, to jeszcze zgodziła się na zapłacenie około 5 mln USD w zamian za odszyfrowanie przejętych informacji.

Podsumowanie

Podsumowując, do przeprowadzenia największych ataków hakerskich były wykorzystywane różne metody, od backdorów, snifferów, wstrzykiwania kodu, poprzez ataki phishingowe oraz typu ransomware. Ataki te pokazały jak groźne i niebezpieczne są luki w kodzie oprogramowania.

Straty spowodowane przez ataki hakerskie wycenione zostały ma miliardy USD, a techniki przeprowadzonych ataków, choć stale modyfikowane, wciąż są wykorzystywane przez hakerów na całym świecie. Jak pokazują badania, liczba cyberataków wzrasta rok rocznie o kilkadziesiąt procent. Co cztery lata organizacja OWASP podaje jakie ataki hakerskie były w minionym okresie najczęstsze. I o tym właśnie będzie kolejny artykuł!

Autor: Michał Mamica