Το κακόβουλο λογισμικό και «ο Πύργος» στη Μόσχα

Το κακόβουλο λογισμικό και «ο Πύργος» στη Μόσχα

Ο παράλληλος ψηφιακός πόλεμος στο παρασκήνιο της ρωσικής εισβολής στην Ουκρανία.

4' 49" χρόνος ανάγνωσης
Ακούστε το άρθρο

Στις 7.23 το πρωί της 27ης Ιουνίου 2017 ο πρώτος υπολογιστής στο δίκτυο του αμερικανικού ιατρικού ομίλου Heritage Valley Health System μολύνθηκε με το κακόβουλο λογισμικό NotPetya. Η διασπορά του ιού ήταν αστραπιαία. Μέσα στις επόμενες ώρες είχαν πληγεί δύο νοσοκομεία, 60 γραφεία γιατρών και 18 εγκαταστάσεις που ανήκαν στην ίδια εταιρεία. Λίστες ασθενών, τα ιστορικά τους και αποτελέσματα εξετάσεων ήταν πλέον μη προσβάσιμα. Σε κρίσιμα υπολογιστικά συστήματα, που σχετίζονταν με καρδιολογικές κλινικές, χειρουργεία και τμήματα πυρηνικής ιατρικής, χάθηκε η πρόσβαση για μία εβδομάδα. Διοικητικές υπηρεσίες «πάγωσαν» για ένα μήνα. Το κόστος για την αντιμετώπιση των επιπτώσεων της ψηφιακής εισβολής ξεπέρασε τα δύο εκατομμύρια δολάρια. Αυτή ήταν απλώς μία από τις παράπλευρες απώλειες μιας κυβερνοεπίθεσης που είχε ξεκινήσει χιλιάδες μίλια μακριά.

Την ίδια ημέρα, το ίδιο κακόβουλο λογισμικό έθεσε εκτός λειτουργίας μηχανήματα αυτόματης ανάληψης σε τράπεζες στο Κίεβο. Παρόμοια μοίρα είχαν και τα ηλεκτρονικά συστήματα επιτήρησης ραδιενέργειας στον κατεστραμμένο πυρηνικό σταθμό του Τσερνόμπιλ. Η προέλασή του δεν περιορίστηκε εκεί. Το λογισμικό τρύπωσε στα δίκτυα της δανικής ναυτιλιακής εταιρείας Maersk και της αμερικανικής φαρμακοβιομηχανίας Merck. Επηρέασε ακόμη και ένα εργοστάσιο σοκολάτας της Cadbury στην Τασμανία. Ενας ιός με κύριο στόχο την πρόκληση πανικού στην Ουκρανία έμοιαζε πλέον ανεξέλεγκτος, παρασύροντας στη δίνη του απροσδόκητα θύματα ανά τον κόσμο.

Τις τελευταίες εβδομάδες, εν αναμονή των πολεμικών συγκρούσεων στην Ουκρανία και προτού ξεκινήσει την περασμένη Πέμπτη η ρωσική στρατιωτική εισβολή, διεξαγόταν ήδη ένας παράλληλος ψηφιακός πόλεμος. Ουκρανικοί κρατικοί ιστότοποι και ιστοσελίδες τραπεζών είχαν δεχτεί μαζικές κυβερνοεπιθέσεις. Τι θα μπορούσε να συμβεί σε περίπτωση κλιμάκωσής τους; Πόσο οχυρωμένες είναι άλλες χώρες απέναντί τους; Η απάντηση ίσως κρύβεται στην ιχνηλάτηση της πορείας του NotPetya, το οποίο αφού παρεισέφρησε σε υπολογιστικά συστήματα και παρέμενε για ημέρες εν υπνώσει, ενεργοποιήθηκε τον Ιούνιο του 2017 από τους δημιουργούς του σε μια διόλου τυχαία ημερομηνία, την παραμονή μιας εθνικής εορτής, της Ημέρας του Συντάγματος της Ουκρανίας.

Το κακόβουλο λογισμικό και «ο Πύργος» στη Μόσχα-1

Τον Οκτώβριο του 2020, σε μια δικογραφία 50 σελίδων, οι αμερικανικές αρχές κατηγόρησαν έξι Ρώσους πράκτορες για σειρά κυβερνοεπιθέσεων, συμπεριλαμβανομένης και της παγκόσμιας διασποράς του NotPetya. Σύμφωνα με το κατηγορητήριο, οι φερόμενοι ως δράστες ήταν μέλη της Στρατιωτικής Μονάδας 74455, στην οποία είχαν δοθεί από ειδικούς κυβερνοασφάλειας οι ονομασίες Sandworm Team, Telebots, Voodoo Bear και Iron Viking. Η βάση τους φέρεται να ήταν ένα κτίριο στο προάστιο Χίμκι της Μόσχας, γνωστό ως «ο Πύργος».

Προτού οι Αμερικανοί συντάξουν το κατηγορητήριό τους, η ρωσική πλευρά είχε απορρίψει οποιαδήποτε ανάμειξή της στη δημιουργία και στην εξάπλωση του NotPetya. Από το 2018, ο εκπρόσωπος του Κρεμλίνου Ντμίτρι Πεσκόφ έλεγε ότι είναι «αβάσιμες» οποιεσδήποτε αντίστοιχες θεωρίες και υποστήριζε ότι «διατυπώνονται από μίσος ενάντια στη Ρωσία».

Τα τελευταία χρόνια οι αμερικανικές δικαστικές αρχές δείχνουν ιδιαίτερο ζήλο στο κυνήγι των κυβερνοεγκληματιών, σε όποια ήπειρο και αν αυτοί εδρεύουν ή καταφεύγουν. Σε σχετικά κατηγορητήρια που έχει μελετήσει στο παρελθόν η «Κ», δίνεται βαρύτητα κυρίως σε δράσεις που στοχεύουν θύματα σε αμερικανικό έδαφος. Η δικογραφία όμως για τους έξι Ρώσους πράκτορες προσεγγίζει την υπόθεση από διεθνή σκοπιά. Περιγράφει με ασυνήθιστη λεπτομέρεια πράξεις που έπληξαν άλλες χώρες, καθώς και τη μεθοδολογία των δραστών και δείχνει ότι, κατά τις εκτιμήσεις των αμερικανικών διωκτικών αρχών, η Ουκρανία αποτελούσε ένα είδος πεδίου δοκιμών για κυβερνοεπιθέσεις ευρείας κλίμακας με στόχους κρίσιμες υποδομές.

Πριν από τη ρωσική εισβολή στην Ουκρανία διεξαγόταν ήδη ένας κυβερνοπόλεμος με διεθνείς προεκτάσεις.

Σύμφωνα με το αμερικανικό κατηγορητήριο, το λογισμικό NotPetya έδινε την εντύπωση ότι λειτουργούσε ως ransomware. Πρόκειται για ιούς που κρυπτογραφούν αρχεία σε μολυσμένους υπολογιστές, τα θέτουν υπό ψηφιακή ομηρία και ζητούν λύτρα σε κάποιο κρυπτονόμισμα για να τα απελευθερώσουν. Στην περίπτωση του NotPetya όμως, ακόμη κι αν ένας χρήστης πλήρωνε το υποτυπώδες αντίτιμο των 300 δολαρίων σε κρυπτονομίσματα που ζητούσαν οι επιτιθέμενοι, δεν επρόκειτο να λάβει κλειδί αποκρυπτογράφησης και να ανακτήσει τα αρχεία του.

H διασπορά

Η διασπορά του NotPetya έγινε μέσω ενός δημοφιλούς ουκρανικού λογισμικού με την ονομασία M.E.Doc, το οποίο χρησιμοποιούσαν στην Ουκρανία για να διευκολύνουν τη μεταφορά φορολογικών στοιχείων προς τις αρμόδιες κρατικές υπηρεσίες. Σε περίπτωση που κάποιος επιχειρούσε να συνδεθεί με ένα σέρβερ ο οποίος θα του ανανέωνε το συγκεκριμένο λογισμικό, μεταφερόταν σε άλλο σέρβερ που φέρονται να είχαν υπό τον έλεγχό τους οι Ρώσοι πράκτορες και ήταν εγκατεστημένος στη Γαλλία.

Μέχρι στιγμής δεν έχει γίνει γνωστό εάν κάποια εταιρεία ή ιδιώτης στην Ελλάδα είχε μολυνθεί με τον ιό. Ωστόσο, την ημέρα της επίθεσης, σύμφωνα με πληροφορίες της «Κ», εταιρεία ανάκτησης δεδομένων στη Βόρεια Ελλάδα δέχτηκε τουλάχιστον μία κλήση από εκπρόσωπο εταιρείας που θεωρούσε ότι τα αρχεία του είχαν κλειδωθεί. Αποδείχτηκε όμως ότι είχε μολυνθεί από άλλο κακόβουλο λογισμικό.

Το BlackEnergy

Βάσει του ίδιου αμερικανικού κατηγορητηρίου, οι Ρώσοι πράκτορες είχαν βάλει στο στόχαστρό τους την Ουκρανία από τον Δεκέμβριο του 2015. Τότε, χρησιμοποιώντας ένα κακόβουλο λογισμικό με την ονομασία BlackEnergy απέκτησαν πρόσβαση στα συστήματα SCADA (συστήματα βιομηχανικού αυτόματου ελέγχου και τηλεχειρισμού) τριών ουκρανικών εταιρειών ηλεκτρικής ενέργειας, διαταράσσοντας την παροχή σε 225.000 καταναλωτές. Ενεργοποιώντας έπειτα το κακόβουλο λογισμικό KillDisk καθιστούσαν τους μολυσμένους υπολογιστές μη λειτουργικούς.

Κατά τις αμερικανικές δικαστικές αρχές, Ρώσοι πράκτορες φέρονται να χτύπησαν ξανά την Ουκρανία τον Δεκέμβριο του 2016, αυτή τη φορά στοχεύοντας το υπουργείο Οικονομικών της χώρας αλλά και την καταβολή συντάξεων. Σύμφωνα με το αμερικανικό κατηγορητήριο, απέτρεψαν την εκτέλεση 150.000 ηλεκτρονικών συναλλαγών. Οπως αναφέρεται στη σχετική δικογραφία, η στοχευμένη επίθεση έγινε μέσω emails τα οποία στέλνονταν στους διαχειριστές των ηλεκτρονικών συστημάτων και περιείχαν ένα μολυσμένο αρχείο Excel με την ονομασία: MoF critical IT needs_eng.xls. Τον Οκτώβριο του 2016, ένας από τους παραλήπτες άνοιξε το συγκεκριμένο αρχείο προκαλώντας άθελά του τη διασπορά του ιού.

Λίγες ημέρες αργότερα, στις 16 Δεκεμβρίου του 2016, εκδηλώθηκε νέα κυβερνοεπίθεση κατά ουκρανικού παρόχου ηλεκτρικού ρεύματος. Οι δράστες είχαν κατορθώσει να διεισδύσουν στο σύστημα της εταιρείας από τον Απρίλιο και μήνες αργότερα έθεσαν σε λειτουργία το κακόβουλο λογισμικό με την ονομασία Industroyer, το οποίο είχε σχεδιαστεί για να πλήξει εγκαταστάσεις ηλεκτρικής ενέργειας. Αυτή η επίθεση διατάραξε την παροχή ρεύματος και στο Κίεβο.

 

Λάβετε μέρος στη συζήτηση 0 Εγγραφείτε για να διαβάσετε τα σχόλια ή
βρείτε τη συνδρομή που σας ταιριάζει για να σχολιάσετε.
Για να σχολιάσετε, επιλέξτε τη συνδρομή που σας ταιριάζει. Παρακαλούμε σχολιάστε με σεβασμό προς την δημοσιογραφική ομάδα και την κοινότητα της «Κ».
Σχολιάζοντας συμφωνείτε με τους όρους χρήσης.
Εγγραφή Συνδρομή