Nagrody za ujęcie przestępców w Stanach Zjednoczonych mają długą historię, a od orzeczenia Sądu Najwyższego w roku 1873 (Taylor vs. Taintor), łowcy nagród byli traktowani jako część wymiaru sprawiedliwości. W czasach współczesnych niektóre stany zmieniły swoje podejście do tej instytucji, choć wydaje się, że cyberprzestrzeń może dopisać jej zupełnie nowy rozdział.
10 milionów dolarów
4 listopada 2021 roku Departament Stanu Stanów Zjednoczonych ogłosił nagrodę 10 milionów dolarów dla wszystkich, którzy ujawnią informacje związane z atakiem na rurociąg Colonial Pipeline.
Rurociąg ten, mający swój początek w Houston w stanie Texas, dostarcza ropę i gaz do południowo-wschodnich stanów w USA. Atak, do którego doszło 7 maja tego roku nie dotyczył jego części przemysłowej. Zaatakowany został... system bilingowy. To jednak w połączeniu z faktem wcześniejszej kradzieży 100 Gb danych oraz obawą o możliwość penetracji kolejnych systemów, doprowadziło do podjęcia decyzji o zatrzymaniu pracy rurociągu i zapłaty okupu w wysokości 75 bitcoinów (około 4,4 mln dolarów). Od 12 maja zaczęto przywracać ruch rurociągu. Jeśli lepiej się przyjrzeć, można byłoby dojść do wniosku, że nie stało się nic specjalnie dramatycznego. Ale byłoby to mylne wrażenie.
W kolejce po benzynę
Od lat toczy się dyskusja, czy systemy przemysłowe, odpowiadające za dostawę prądu, wody czy paliwa są bezpieczne. Odseparowanie systemów automatyki przemysłowej od systemów IT miało to bezpieczeństwo zapewniać. Tyle, że możliwość takiej separacji szybko okazała się iluzoryczna, a zabezpieczenia systemów przemysłowych jeszcze 10 lat temu nie stanowiły większego problemu dla hakera, mającego podstawowe umiejętności techniczne oraz łatwość do stosowania sztuczek socjotechnicznych.
Wszystkie te słabości wyszły na jaw w procesie odkrywania zagadki wirusa Stuxnet, pierwszego znanego oprogramowania, mającego służyć do rozgrywek międzypaństwowych, w tym przypadku ataku na irańską instalację wzbogacania uranu.
Przypadek Colonial Pipeline pokazał jednak, że atak nie musi być skierowany na instalację przemysłową. Wystarczy zaatakować jeden z krytycznych systemów przedsiębiorstwa – przykładowo system bilingowy – żeby doprowadzić do paniki na rynku, masowego wykupowania paliwa, a w rezultacie gwałtownego wzrostu jego ceny. By doprowadzić do wydania przez prezydenta USA dekretu stwierdzającego stan zagrożenia, celem umożliwienia zwiększenia transportu paliw drogą lądową.
O skali tego zjawiska najlepiej może świadczyć konieczność wydania przez Komisję ds. Bezpieczeństwa Produktów Konsumenckich (CPSC) zaleceń dotyczących nienalewania benzyny do plastikowych toreb czy innych pojemników, nieprzeznaczonych do przechowywania paliw. Nikt nie wydaje takich zaleceń, jeżeli niepokojące zjawiska nie przybierają masowej skali.
Po bitcoinach do celu
Szybka zapłata okupu – w porozumieniu z FBI – połączona została z próbą jego odzyskania. W czerwcu tego roku Departament Sprawiedliwości ogłosił, że odzyskał 63,7 bitcoinów o wartości 2,3 mln dolarów i to w historii zmagań z hakerami należy traktować jako niezwykle imponujące osiągnięcie. Atak przypisano grupie DarkSide działającej z Rosji, która – nie przyznając się do samego ataku – wydała oświadczenie, że jej celem nie jest wywoływanie chaosu, tylko zdobywanie pieniędzy. Jak wynika z danych firmy Elliptic, idzie im to zresztą nieźle – przez rok zebrali około 90 mln dolarów.
To oświadczenie nikogo jednak chyba nie przekona. Można przeboleć kilka milionów dolarów, ale trudno pogodzić się z tym, że grupa rosyjskich hakerów była w stanie zmusić prezydenta Stanów Zjednoczonych do wprowadzenia stanu zagrożenia, a obywateli tego kraju do paniki. Świadczy o tym także wyznaczenie nagrody dwukrotnie wyższej od pobranego okupu.
Najważniejsze wnioski
Z tej całej historii wynika kilka dość podstawowych wniosków, przy czym większość z nich nie jest specjalnie odkrywcza dla osób śledzących te zagadnienia.
Po pierwsze, żeby dokonać skutecznego ataku na infrastrukturę krytyczną, nie trzeba celować w systemy automatyki przemysłowej (warto pamiętać że wirus NotPetya, który spowodował straty przekraczające 10 mld dolarów, był przenoszony przez popularne oprogramowanie księgowe jednej z firm ukraińskich).
Po drugie, płatność okupu za pomocą kryptowalut znacznie utrudnia możliwość wyśledzenia sprawcy, ale przy zaangażowaniu odpowiednich specjalistów, stwarza możliwość odzyskania samego okupu.
Czytaj także: #CyberMagazyn: Król i królowa nadal ci sami. Aktywna cyberobrona coraz bliżej tronu
Po trzecie, pomimo miliardów wydawanych przez Stany Zjednoczone na ochronę przed atakami w sieci, dobrze zorganizowana grupa hakerska, jest w stanie osiągnąć efekt, który w chwili obecnej zapewne jest dokładnie analizowany przez wszystkie państwa zaangażowane aktywnie w budowę swoich arsenałów hackerskich.
Sto pięćdziesiąt lat temu, łowcy nagród w USA byli odpowiedzią na niedomagania ówczesnego wymiaru sprawiedliwości. Niewykluczone, że ogłoszenie nagrody w wysokości 10 mln dolarów będzie pierwszym krokiem do przywrócenia tej instytucji w nowej cyfrowej rzeczywistości. Koniec końców, zamiana czarnego kapelusza na biały może okazać się bardzo korzystna… Przynajmniej od czasu do czasu.
Autor: Ireneusz Piecuch; DGTL Kibil Piecuch i Wspólnicy
Chcemy być także bliżej Państwa – czytelników. Dlatego, jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected]. Przyszłość przynosi zmiany. Wprowadzamy je pod hasłem #CyberIsFuture.