Szukamy talentów cybernetycznych. W pozytywnym znaczeniu tego słowa. Nasza akcja jest uwarunkowana potrzebami, jakie armia będzie miała w ciągu kolejnych lat – takim ogłoszeniem rosyjskiego ministra obrony zaczął się zaciąg ludzi, których dziś nie może namierzyć FBI
Rosjanie chętniej przypną mu medal, niż przyprą go do muru – głosi obiegowe powiedzonko pracowników Departamentu Sprawiedliwości USA. Jego bohaterem jest Jewgienij Bogaczew. 33-letni haker, który od dekady zadaje najboleśniejsze ciosy USA, a ostatnio pobił kolejny rekord – za informacje pozwalające go schwytać FBI oferuje 3 mln dol. Takiej nagrody nie wyznaczono dotychczas za żadnego cyberprzestępcę.
Trzy dekady temu Kevin Mitnick był tajemniczym przestępcą, którego trzeba było namierzać za pomocą wozów pelengacyjnych, a śledczy do momentu aresztowania nie wiedzieli, kogo dopadną w mieszkaniu, do którego wkroczą. Dwie dekady temu do środowisk hakerów trzeba było już przenikać: namierzanie bandytów takich jak Max Butler – znany jako „Iceman” – wymagało nawet wieloletniej pracy operacyjnej na forach internetowych dla żyjących „poza systemem” programistów.
Bogaczew z niczym się nie kryje. Na zdjęciach z portali społecznościowych można obejrzeć ostrzyżonego na łyso, nieco zwalistego – bardziej ze względu na zaczątki otyłości niż muskulaturę – 30-latka. Mieszka przy ul. Lermontowa w czarnomorskim kurorcie Anapa w Kraju Krasnodarskim, pod numerem 120, gdzie mieści się nowoczesny apartamentowiec z mieszkaniami wartymi w przeliczeniu po milion złotych. Sama 60-tysięczna Anapa wydaje się być rajem, w którym trudno byłoby zniknąć – miejscowość ma charakter uzdrowiska, w niewielkiej odległości od Krymu i Morza Azowskiego. Letnicy, zwłaszcza ci nieco lepiej sytuowani, lubią tu przyjeżdżać.
Haker wpasowuje się w ten klimat idealnie. Sąsiedzi z Lermontowa wspominają, że kilka lat temu jeździł kilkuletnim volvo z reklamą „Naprawa komputerów” na zderzaku. Agenci FBI twierdzą, że dziś preferuje jeepa grand cherokee, ale to wciąż nie jest w Anapie szczególny luksus. Podobno ma jacht i lubi się nim zapuszczać – od trzech lat – w okolice Krymu. Na zdjęciach Bogaczew demonstruje przed obiektywem pręgowanego kota (sam zresztą jest ubrany w „lamparcią” piżamę), ale w zasadzie bliżej mu do wielkomiejskiego specjalisty niż Blofelda z filmów z Jamesem Bondem. Narzeka, że brakuje mu czasu na rodzinę, mieszka z żoną i – prawdopodobnie – dwójką dzieci. Starsza, dziewczynka, może mieć dziś ok. 12 lat.
Oczywiście jest coś więcej. Bogaczew ma też apartament w Moskwie, może też posiadać mieszkania w całej Europie – ze szczególnym wskazaniem na Francję. Wtajemniczeni twierdzą, że jeszcze kilka lat temu, gdy ruszał z Rosji na wakacje, nie musiał jechać własnym autem ani korzystać na miejscu z wynajętych wozów. Siatka, którą kierował, licząca przynajmniej kilku najbliższych współpracowników plus niedookreśloną grupę współpracowników i słupów, posiadała tyle aut, że dało się wylądować w dowolnym miejscu na kontynencie i korzystać z „firmowego” wozu. Podróże takie miał ułatwiać fakt, że Bogaczew posiadał trzy paszporty – na rozmaite tożsamości, rzecz jasna.
No i rodacy stali za nim murem. – Cóż za utalentowany facet – zachwycał się 23-letni Michaił, sąsiad Bogaczewa z apartamentowca na Lermontowa, gdy reporterzy „Daily Telegraph” pokazali mu zdjęcia hakera i powiedzieli, że spustoszył on konta bankowe setek amerykańskich firm oraz zablokował dziesiątki tysięcy prywatnych komputerów po obu stronach Atlantyku. – Siedząc za biurkiem w domu, włamał się do obozu naszych wrogów – skwitował. – Ale gość – dorzucał taksówkarz Wazgen. – Sądząc po tym, co Amerykanie robią innym, zrobił im coś, co im na dobre wyjdzie – ucinał. W tamtym czasie konflikt o Krym znajdował się w apogeum.
Lucky 12345
Już wtedy Bogaczew był prawdziwą legendą hakerskiego świata. Kariera osobnika posługującego się nickami Lucky 12345, Nu11, slavik czy pollingsoon zaczęła się prawdopodobnie w połowie poprzedniej dekady, lecz tempa nabrała u progu obecnej. Stało się tak za sprawą GameOver ZeuS, botnetu (sieci komputerów zarażonych wirusem) rozwiniętego przez Bogaczewa i kilkuosobową grupę współpracowników, określających się dumnym mianem Business Club.
W apogeum działalności tego specyficznego klubu Bogaczew mógł sterować siecią liczącą nawet do miliona pecetów. W grę wchodziły przede wszystkim prywatne urządzenia, ale też tysiące komputerów w największych firmach, przede wszystkim po drugiej stronie Atlantyku. Dzięki temu Business Club mógł bezkarnie omijać wszelkie zabezpieczenia bankowe, plądrować konta firm – od spółki zajmującej się zwalczaniem pasożytów w Karolinie Północnej przez indiańskie plemię ze stanu Waszyngton po rachunki departamentu policji w Massachusetts. Tylko jeden z serii ataków przyniósł siatce 7 mln dol., na dodatek olbrzymia część ofiar nie zorientowała się – lub zorientowała się po fakcie – że została okradziona.
Dodatkowo grupa informatyków wokół Bogaczewa rozwijała inną, „pionierską” wówczas, metodę przestępczą: ransomware. Innymi słowy, wirus „przejmował” komputer i znajdujące się na nim pliki, a za odblokowanie ich żądał okupu. W wielu przypadkach ofiary ataku płaciły: do dziś oprogramowanie ransomware jest dla speców od bezpieczeństwa IT jednym z najtwardszych orzechów do zgryzienia. Tego zresztą, niestety, wkrótce nie trzeba będzie nikomu tłumaczyć: jak podała w połowie marca firma konsultingowa z branży IT Trend Micro, liczba ataków ransomware wzrosła w 2016 r. o 748 proc. w porównaniu z poprzednim rokiem. A suma okupów wypłaconych przestępcom za odzyskanie dostępu do dokumentów firmowych i zdjęć z wakacji urosła do miliarda dolarów.
Nie wiadomo, ile zajęło Bogaczewowi stworzenie potęgi GameOver ZeuS, zapewne kilkanaście miesięcy. Business Club „pracował” nad zarażaniem kolejnych pecetów dzień i noc. Do czasu, co prawda w czerwcu 2014 r. FBI, we współpracy ze służbami z kilkunastu państw, przeprowadziło szeroko zakrojoną kontrofensywę: Operację Tovar. Za jednym zamachem udało się „wyrwać” z botnetu ok. 300 tys. komputerów, a w ślad za tym poszedł pierwszy akt oskarżenia. Ale za późno, bo Bogaczew był już wówczas wykonawcą zadań dla znacznie potężniejszego zleceniodawcy.
Na pasku służb
„Niektórzy przybyli z północy, np. z Petersburga lub z Litwy. Jeden z delegatów przyjechał z Białorusi (...). Pojawiło się mnóstwo Rosjan, nie mówiąc o delegatach z Ukrainy. Trzeba jednak stwierdzić, że Pierwsza Światowa Konferencja Carderów (credit card fraudsters – oszuści „działający” na kartach kredytowych – aut.) miała iście międzynarodowy charakter. Niektórzy z obecnych wywodzili się z Europy Wschodniej, inni przebyli długą drogę znad Zatoki Perskiej, z Kanady i z Ameryki Południowej” – opisuje brytyjski reporter Misha Glenny „konferencję” hakerów, która odbyła się w Odessie w 2002 r.
Życie części środowisk hakerskich tradycyjnie toczyło się wokół podobnych wydarzeń. W tym przypadku dotyczyło stron Carder, które przyciągały mniej lub bardziej sprofesjonalizowanych przestępców z Europy Wschodniej. „Trzy dni pili i śpiewali w rozmaitych lokalach, ale przede wszystkim omawiali kwestie rozwoju strony internetowej CarderPlanet, która powstała niedawno, lecz już zmieniała oblicze cyberprzestępczości na świecie” – pisze Glenny w książce „Mroczny rynek. Hakerzy i nowa mafia”.
„Rozmowy o bardziej poufnym charakterze toczyły się w gronie tylko około piętnastu najważniejszych carderów, którzy spotykali się w małej obskurnej restauracji nad morzem. (...) jeden z mniej znanych delegatów (...) dokonał właśnie za pomocą odpowiedniej aparatury scanningu pomieszczenia i stwierdził, że znajdują się w nim ukryte kamery wideo oraz cyfrowe urządzenia nagrywające. Najprawdopodobniej zainstalowali je agenci SBU, ukraińskiej tajnej policji. A jeżeli wydarzenie monitorowała SBU, to wszystkie informacje znajdą się także w posiadaniu FSB” – opisuje Brytyjczyk. Hakerzy nie wyszli w pośpiechu z restauracji, przeciwnie: demonstracyjnie podkreślili, że jakikolwiek atak przeciw rodzimej infrastrukturze cybernetycznej i bankowości nie wchodzi w grę. „Gdyby rosyjscy cyberprzestępcy zwrócili się przeciwko rosyjskim bankom czy rosyjskiemu biznesowi, cały projekt nie przetrwałby nawet pięciu minut” – kwituje Glenny.
Takie status quo miało przetrwać prawie dekadę: władze na tyle, na ile mogły, obserwowały środowiska hakerskie, ale nie interweniowały, dopóki przestępcy nie uderzali na własnym terytorium – był to zapewne cyfrowy odpowiednik układu, jaki mógł obowiązywać między rosyjskimi służbami a legendarnym handlarzem bronią Wiktorem Butem. W alternatywnym internecie, niedostępnym dla zwykłych zjadaczy chleba – nazywanym Dark Web – rosyjskie służby nie tyle zamykały fora dla hakerów, jak Amerykanie, ile je infiltrowały.
Nowy kurs wyznaczyła zmiana na Kremlu: w listopadzie 2012 r. ministrem obrony został Siergiej Szojgu. Nie było tajemnicą, że jego ambicją jest stworzenie struktury na wzór amerykańskiego US Cyber Command. Nowy szef resortu obrony nie marnował czasu. – Szukam talentów cybernetycznych. W pozytywnym znaczeniu tego słowa – oświadczył na spotkaniu z oficjelami z rosyjskich uczelni wyższych już cztery miesiące po objęciu stanowiska. – Nasze poszukiwania są uwarunkowane potrzebami w zakresie oprogramowania, jakie armia będzie miała w ciągu kilku kolejnych lat – perorował z kolei na innym spotkaniu.
Według rosyjskojęzycznego (choć tworzonego na Łotwie) portalu Meduza w strukturach poszczególnych jednostek wojskowych zaczęły powstawać „szwadrony cybernetyczne”, studenci uczelni technicznych mogli odbyć obowiązkową służbę wojskową w podobnych komórkach, a potem – pozostać w strukturach armii. Wojsko wykupiło też reklamę, która pojawiła się na stronach rosyjskiego odpowiednika Facebooka, portalu VKontakte. „Skończyłeś szkołę, jesteś specjalistą od technologii, jesteś gotowy użyć swojej wiedzy? Dajemy ci taką możliwość” – zachęcała armia.
Ale oficjalna kampania forsowana i firmowana przez Szojgu była zwieńczeniem działań, jakie rosyjskie służby prowadziły od kilku dobrych lat. Portal Meduza sugeruje, że hakerzy w służbie Kremla testowali już swoje możliwości kilka lat wcześniej na państwach Europy Wschodniej – należy się domyślać, że chodzi np. o cyberataki na Estonię w 2007 r. Jednak z punktu widzenia strategicznych interesów wywiadu wyłączenie infrastruktury w innym państwie jest operacją tyle spektakularną, ile bezużyteczną. Pozwala może sprawdzić własne możliwości, ale też pokazuje je innym, ma więc bardziej charakter demonstracji siły niż operacji o realnych konsekwencjach. I to raczej na tych drugich skupiała się Moskwa.
Tu ponownie wkracza Bogaczew. Jak twierdzi amerykańska firma Fox-IT, komputery wchodzące w skład GameOver ZeuS ok. 2011 r. zaczęły dostawać nowe polecenia: najwyraźniej administratorów sieci interesowały już nie tylko hasła dostępu do kont bankowych, dane kart kredytowych czy dostęp do serwerów firm, ale też dokumenty i korespondencja na tematy geopolityczne.
W 2013 r. prezydent USA Barack Obama decyduje o wsparciu rebeliantów w Syrii dostawami broni. GameOver ZeuS zaczyna szukać w swoim botnecie plików zawierających frazę „dostawa broni” w rozmaitych wariantach. Pojawiają się też wyszukiwania haseł „rosyjski najemnik”, „kaukaski najemnik”. Pierwsze miesiące 2014 r., jeszcze przed zajęciem Krymu – botnet szuka dokumentów mogących pochodzić z komputerów ukraińskiej służby bezpieczeństwa SBU. Pojawiają się zapytania dotyczące konkretnych osób w ukraińskim establishmencie, administratorzy sieci skrupulatnie przeczesują też informacje na temat Ukrainy powstające na komputerach urzędników i polityków w Turcji i Gruzji. Przez niemal rok – od marca 2013 do lutego 2014 r. – pojawiają się wyszukiwania anglojęzyczne: GameOver ZeuS jest przeczesywana poszukiwaniami haseł „Top secret” (Ściśle tajne) czy „Department of Defense” (Departament Obrony). – Trudno się dziwić, oni mieli w swojej sieci mnóstwo zainfekowanych komputerów – podsumowywał lakonicznie Brett Stone-Gross, ekspert z branży cyberbezpieczeństwa z Uniwersytetu Santa Barbara w Kalifornii. – Jest bardzo prawdopodobne, że wśród nich były urządzenia należące do osób pracujących dla rządu USA – ucina.
Hakerski zasób kadrowy
Operacja Tovar z lata 2014 r. i oficjalny status osoby ściganej przez FBI w niczym nie umniejszają potencjalnej wartości Bogaczewa dla Kremla – w końcu nie liczy się jeden botnet, ale umiejętność tworzenia nowych. A poza tym wystawiony przez USA list gończy za Szczęściarzem 12345 jest tylko potwierdzeniem jego umiejętności. Zastępca Szojgu w resorcie gen. Oleg Ostapenko w wywiadzie dla „Rossijskiej Gaziety” zasugerował, że wojsko mogłoby przygarnąć kryminalistów. – Z punktu widzenia użycia ich naukowego potencjału jest o czym rozmawiać – stwierdził.
Eksperci podchwycili tę melodię. „Były już przypadki, kiedy cyberprzestępcy zostali aresztowani, ale nie skończyli w więzieniu” – komentował na łamach dziennika „The New York Times” Dmitrij Alperowicz, współzałożyciel firmy IT CrowdStrike, która jako pierwsza wskazała rosyjskich hakerów jako sprawców ataku na komitet wyborczy Partii Demokratycznej w ubiegłorocznej kampanii prezydenckiej w USA. Ba, zgodnie z tą narracją kolejne pozwy za Atlantykiem są jak branżowa nagroda: metaforycznie rzecz ujmując, następnego dnia w drzwiach poszukiwanego hakera stają rekruterzy FSB lub rosyjskiej armii.
I jest w kim wybierać. Bogaczew nie jest bowiem jedynym hakerem poszukiwanym przez FSB. Nie mniejszą od niego sławą (choć nagroda mniejsza – 100 tys. dol.) cieszy się Aleksiej Bielan – autor ataku na serwery Yahoo. Cztery lata młodszy od Bogaczewa łotewski Rosjanin charakteryzuje się blond fryzurą na wzór niegdysiejszych fanów rocka zza żelaznej kurtyny i talentem nieustępującym w niczym najsłynniejszemu mieszkańcowi Anapy. Do 2013 r., kiedy zaczęli go szukać amerykańscy śledczy (za włamania m.in. do Zappos – sklepu marki należącej do Amazona, czy Scribd, wirtualnej biblioteki), Bielan żył i działał z terytorium Grecji, choć miał też podobno bezpieczne azyle w Tajlandii i na Malediwach. Gdy zaczęto go szukać, zniknął – i już z ukrycia przeprowadził atak na Yahoo, umożliwiając agentom FSB wgląd do zawartości interesujących ich kont poczty elektronicznej.
Choć zaangażowany politycznie, Bielan nie zapomina o interesach – w ramach kolejnego włamania na serwery Yahoo tak zmienił mechanizm wyszukiwarki, żeby każdy użytkownik szukający leków wspierających erekcję natrafiał w pierwszej kolejności na linki wiodące do stron określonego producenta. Ten z kolei za każde takie przekierowanie wypłacał hakerowi prowizję. Może nie jest to rozmach Bogaczewa, ale liczy się umiejętność omijania zabezpieczeń najpotężniejszych firm technologicznych świata. Zdaniem specjalistów z branży Bielan przebywa dziś na terytorium Rosji.
Potencjalny zasób kadrowy cyberKremla zapewne wzmocnili także członkowie najsłynniejszej z rosyjskich grup hakerskich: Anonymous International – „haktywiści” z tej grupy mogli co prawda rozdrażnić władze włamaniem na konto na Twitterze premiera Dmitrija Miedwiediewa czy opublikowaniem korespondencji kilku relatywnie poważnych graczy na tamtejszej scenie politycznej. Jednocześnie ich najważniejsze dokonania obejmują ujawnianie dokumentów i przecieków dotyczących polityków i instytucji z krajów zachodnich.
W odwodzie są też hakerzy z grup Koobface (anagram słowa Facebook), Przytulny Miś (angielskie tłumaczenie Fancy Bear) czy New World Hackers. Pierwsi zasłynęli ze stworzenia robaka, który rozprzestrzeniał się na stronach portali społecznościowych, kusząc użytkowników wezwaniami typu „Sprawdź, co X pisze o Tobie w swoich wiadomościach”. Naiwni bezwiednie instalowali program, który potem uruchamiał na ich kontach bankowych system mikropłatności. Druga grupa stoi za atakiem na komitet wyborczy amerykańskich demokratów w zeszłym roku, trzecia zasłynęła choćby przejęciem konta stacji ABC News na Twitterze.
Do tego można by też dorzucić kilku innych „mentorów” rosyjskiej sceny hakerskiej. Nie wiadomo, gdzie dziś przebywa Władimir Lewin, który w połowie lat 90. „wyprowadził” z kont w Citibanku ponad 10 mln dol. Pod koniec dekady na wolności może się też pojawić Władislaw Chorochorin: ten haker przez osiem lat prowadził w sieci specyficzny sklep, gdzie można się było zaopatrzyć w dane użytkowników kart kredytowych. Śledczy dopadli go w 2010 r. we Francji, a podczas procesu w Stanach bronił go znany prawnik z Nowego Jorku Arkadij Buch, który przekonywał sędziów, że Chorochorin dorobił się, prowadząc salon dilerski Tesla Motors w Moskwie.
Część rosyjskich hakerów stara się zresztą znaleźć legalne zatrudnienie w branży, tak jak zrobił to niegdyś Kevin Mitnick. Igor Kłopow – który jako 24-latek próbował (całkiem skutecznie, choć do czasu) naciągać najbogatszych Amerykanów. Wraz z grupą rozbijających się po świecie luksusowymi autami i nocujących w najlepszych hotelach współpracowników Kłopow „zarobił” w ten sposób 1,5 mln dol. Byłoby więcej, gdyby nie spowodowana kompletną nieostrożnością i lekkomyślnością wpadka. Kłopow jest już na wolności i wraz z Buchem współzakładali firmę CyberSec, zajmującą się – jakżeby inaczej – bezpieczeństwem w sieci.
Informacja to rodzaj broni
„Biorąc pod uwagę wydarzenia, Rosja zaatakuje najprawdopodobniej amerykański sektor telekomunikacyjny lub krytyczną infrastrukturę IT” – przekonuje na stronach portalu Quartz Nicole Softness z Uniwersytetu Columbia. Według niej Kreml w swoich działaniach hakerskich unika celów, które mogłyby doprowadzić do militarnego kontruderzenia: na tej liście są sektory obronności, energetyczny, służby zdrowia, chemiczny czy nuklearny. Ze względów prestiżowych relatywnie bezpieczne przed zmasowanym atakiem są też sektory finansowy, rolniczy i przemysłowy.
Co innego jednak telekomunikacja, gdzie można wywołać stosunkowo niegroźny, ale za to spektakularny kryzys – wyobraźmy sobie miliony ludzi, które nie potrafią się dodzwonić do bliskich czy współpracowników przez cały dzień. Zagrożone mogą być też prywatne biznesy, zwłaszcza te najsilniejsze, o symbolicznym znaczeniu dla amerykańskiej gospodarki, a także oparte na najnowocześniejszych rozwiązaniach, jak np. IoT (internet of things, internet rzeczy) czy przechowywaniu danych w chmurze. Teoretycznie w takiej sytuacji wydatki na cyberobronność powinny być priorytetem – ale już administracja Obamy prosiła o 19 mld dol. na ten cel (biznes już kilka lat temu wydawał czterokrotnie więcej na zabezpieczenia), decyzja zaś nie zapadła do dziś.
Softness sugeruje równie twardą odpowiedź na taki atak, wskazuje słabości rosyjskiego systemu – m.in. znajdujący się wciąż w powszechnym użyciu w administracji system Windows XP – a nawet doradza co bardziej spektakularne cele ataku, z wyłączeniem zasilania w elektrowni nuklearnej włącznie. Przypomina też, że w listopadzie ubiegłego roku amerykańscy hakerzy mieli spenetrować rosyjskie wojskowe systemy IT.
Political fiction – tak chyba można określić rozważania amerykańskiej publicystki i badaczki. Spektakularny atak, demonstrujący możliwości rosyjskich hakerów może się przydarzyć Estonii, może Polsce czy jakiemuś państwu skandynawskiemu. W przypadku Ameryki prędzej można się spodziewać dyskretnego ataku na serwery gigantów, jak Microsoft, Facebook czy Apple, w poszukiwaniu informacji czy kompromatów, czy ewentualnego przecieku wykradzionych dokumentów do WikiLeaks niż jakiejś ogólnokrajowej awarii wywołanej przez Bogaczewa lub któregoś z jego „kolegów po fachu”. – Informacja jest dziś rodzajem broni – miał spuentować kilka lat temu jeden z rosyjskich generałów. To w tej krótkiej frazie zawiera się istota zagrożenia.
