Una dintre aceste grupări poartă numele de Sandworm şi este responsabilă pentru NotPetya, una dintre cele mai distrugătoare arme cibernetice din istoria modernă.
Henrik Jensen, un administrator IT de la firma Maersk unul dintre cei mai mari operatori maritimi din lume, cu 76 de porturi şi peste 800 de nave pregătea un update software pentru cei 80.000 de angajaţi ai companiei când calculatorul său s-a resetat, aparent din senin. Jensen a întors capul, curios dacă şi alţi colegi se confruntă cu aceeaşi problemă, şi a văzut că toate ecranele afişează acelaşi mesaj. Jensen şi colegii săi aveau să descopere, în doar câteva momente, că staţiile lor de lucru erau blocate în mod ireversibil, după cum relatează un articol al publicaţiei americane Wired.
Dimensiunea crizei devenea evidentă în toate departamentele Maersk; în mai puţin de treizeci de minute, angajaţii împânziseră holurile, alergând dintr-o cameră în alta şi avertizându-şi colegii să se deconecteze de la reţeaua principală înainte ca unităţile să fie afectate. În acelaşi timp, zeci de tehnicieni dădeau buzna în săli de conferinţe şi deconectau toate laptopurile.
Deconectarea întregii reţele globale a Maersk a durat ceva mai mult de două ore. La finalul procesului, toţi angajaţii primiseră ordin să închidă calculatorul sau laptopul şi să îl lase pe birou.
În jurul orei 15, un director al companiei a intrat în biroul în care se aflau Jensen şi colegii săi şi le-a spus să se ducă acasă. Reţeaua era atât de puternic afectată, încât nici cei de la departamentul IT nu puteau face nimic.
Rădăcinile unui atac devastator
În cartierul Podil din Kiev, pe o stradă din apropierea unei autostrăzi, îşi desfăşura activitatea o mică afacere de familie. Compania de software Linkos Group realiza actualizări pentru un program de contabilitate extrem de popular în rândul cetăţenilor. Serverele deţinute de companie, prin care se lansau respectivele actualizări, au fost punctul de plecare a celui mai devastator atac cibernetic din istorie.
Codul dezvoltat de cei de la Sandworm a avut ca scop principal răspândirea rapidă. „Până în prezent, NotPetya rămâne malware-ul (codul maliţios – n.red.) cu cea mai rapidă viteză de propagare“, le-a explicat celor de la Wired Craig Williams, director în cadrul Cisco, una dintre primele companii care au analizat NotPetya. „În secunda în care ai realizat ce se întâmplă, datele tale sunt deja pierdute.“
NotPetya este un tip de virus care cere o anumită sumă de bani, ameninţând că în caz contrar va şterge anumite informaţii sau documente aflate pe serverele companiilor vizate.
Creatorii NotPetya s-au folosit de două erori descoperite anterior: în primul rând, ei au utilizat EternalBlue, un program realizat de Agenţia Naţională de Securitate a Statelor Unite (NSA) şi care ajunsese în mâinile publicului în urma unei breşe. EternalBlue exploata vulnerabilităţile dintr-un protocol Windows, permiţând hackerilor să facă orice cu datele dintr-un calculator după instalarea unui anumit program. În al doilea rând, cei de la Sandworm au folosit Mimikatz, un soft creat cu scopul de a scoate în evidenţă mai multe probleme ale sistemelor de operare.
Microsoft lansase o actualizare de Windows înainte de atac, care bloca accesul prin EternalBlue, dar combinarea celor două softuri le-a permis hackerilor să dezvolte un malware aproape imposibil de oprit.
NotPetya îşi luase numele de la un alt program maliţios, Petya, care funcţiona pe acelaşi sistem. Cei de la Sandworm nu aveau însă intenţia de a da înapoi accesul: orice încercare de a plăti pentru răscumpărarea datelor era inutilă.
Lansarea NotPetya a fost un act clar de terorism cibernetic, unul cu efecte mult mai grave decât anticipaseră, probabil, creatorii săi. În câteva ore de la apariţia sa, codul s-a răspândit în toată Ucraina şi în mii de alte calculatoare din lumea întreagă. A blocat activitatea a sute de multinaţionale precum Maersk, TNT Express, gigantul farmaceutic Merck sau compania franceză de construcţii Saint-Gobain. Malware-ul a ajuns chiar şi înapoi în Rusia, afectând compania petrolieră de stat Rosneft. Fiecare incident a generat costuri de milioane de dolari.
Pagubele totale s-au ridicat la peste 10 miliarde de dolari, potrivit unui calcul al Casei Albe confirmat de reprezentanţi ai Departamentului de Securitate Internă.
Pentru a înţelege amploarea atacului cu NotPetya, este utilă o comparaţie cu WannaCry. Sute de mii de terminale din companii şi instituţii publice din întreaga lume au fost lovite în luna mai 2017 de ameninţarea WannaCry, care folosea o vulnerabilitate prezentă în majoritatea versiunilor sistemului de operare Windows. Atacatorii au exploatat aceeaşi vulnerabilitate (EternalBlue) care ar fi fost folosită în scopuri de spionaj de către agenţii guvernamentale pentru a livra victimelor diverse ameninţări informatice. Incidentul a fost mult mai puternic mediatizat, deşi pagubele totale au fost de aproximativ 4-5 miliarde de dolari.
„Deşi nu vorbim de pierderi de vieţi, NotPetya a fost echivalentul folosirii unei bombe nucleare pentru a obţine o mică victorie tactică“, a spus Tom Bossert, expert în securitate cibernetică şi care ocupa, la momentul atacului, funcţia de consilier al preşedintelui american Donald Trump.
Ucraina a fost aproape complet paralizată de atac: NotPetya a lovit patru spitale, şase furnizori de energie electrică, două aeroporturi, 22 de bănci, ATM-uri, sisteme de plată cu cardul şi majoritatea agenţiilor guvernamentale. „Sistemul de stat era mort“, a descris incidentul Volodimir Omelyan, ministrul ucrainean pentru infrastructură.
Potrivit unor oficiali din Ucraina, 10% din toate calculatoarele din ţară au fost afectate de NotPetya.Ca urmare a incidentului, oficiali din SUA şi Marea Britanie au anunţat că vor emite o alertă în legătură cu aceste atacuri cibernetice, considerându-le parte a unei campanii de spionaj care în viitor ar putea fi folosită pentru operaţiuni ofensive. „Atunci când observăm astfel de activităţi cibernetice nocive, indiferent că vin din partea Kremlinului ori a altor entităţi statale negative, le respingem“, a declarat Rob Joyce, coordonatorul pentru securitate cibernetică al preşedinţiei SUA. Guvernele celor două ţări le-au cerut victimelor atacurilor să semnaleze orice activitate dăunătoare, pentru a se înţelege mai bine impactul campaniei cibernetice.
Încă „nu avem o perspectivă completă asupra scopului atacurilor cibernetice“, a explicat Jeanette Manfra, un oficial din cadrul Departamentului pentru Securitatea Internă. „Ar putea fi poziţionate softuri pentru a fi folosite în perioade tensionate“, a atras atenţia şi Ciaran Martin, directorul Centrului Naţional pentru Securitate Cubernetică al Marii Britanii, explicând că au fost vizate „milioane de computere“. Acesta a mai explicat că autorităţile monitorizează de un an aceste activităţi, subliniind că este vorba de o campanie amplă, care poate afecta „sisteme precum cele ale marilor companii ori birouri private“. Experţii în antivirus sunt de părere că cel puţin 2.000 de atacuri au fost lansate împotriva reţelelor guvernului ucrainean şi companiilor din Ucraina.
Theresa May l-a acuzat chiar pe preşedintele rus Vladimir Putin, la finalul anului trecut, că ar încerca să provoace un conflict între statele din Occident prin ingerinţele în alegerile electorale, prin diseminarea de informaţii false şi prin războiul cibernetic.
Ruşii au negat însă că ar avea vreo responsabilitate pentru atacul NotPetya, argumentând că inclusiv instituţii din Rusia au fost afectate. Purtătorul de cuvânt al Kremlinului, Dmitri Peskov, a declarat că Rusia neagă categoric acuzaţiile oficialilor britanici privind responsabilitatea armatei ruse în atacul cibernetic. În cadrul unei conferinţe telefonice cu reporterii, Peskov a afirmat că acuzaţiile sunt nefondate şi fac parte dintr-o campanie „rusofobă“ condusă în unele state occidentale. „Condamnăm astfel de acuzaţii, le considerăm nefondate, ele fiind parte din campania bazată pe ura faţă de Rusia“, a mai spus el.
La o săptămână după primul incident, poliţia din Ucraina a ajuns la Linkos Group; autorităţile găsiseră ceea ce căutau, şi anume serverele care au servit drept „pacient zero“ în atacul orchestrat de Sandworm.
A trecut mai bine de un an de la incidentul NotPetya, dar experţii în securitate cibernetică nu au ajuns la un consens în ceea ce priveşte codul maliţios şi adevăratele intenţii ale hackerilor. Firma de securitate ISSP, din Kiev, a înaintat teoria conform căreia NotPetya nu a fost lansat cu scopul de a distruge date, ci cu acela de a şterge urme. Hackerii ar fi avut acces la informaţii din mii de calculatoare câteva luni bune, iar lansarea malware-ului a reprezentat ocazia perfectă de a şterge orice dovadă în acest sens.
Toţi cei care au studiat NotPetya sunt însă de acord cu un lucru: astfel de incidente ar putea avea loc din nou, şi la o scară mai mare. Corporaţiile globale au devenit interconectate, iar schimbul de informaţii este aproape imposibil de protejat.