#TydzieńwAzji. Hakerzy dochodzą do głosu na międzynarodowych rynkach

#TydzieńwAzji. Hakerzy dochodzą do głosu na międzynarodowych rynkach
Fot. Adobe Stock. Data dodania: 20 września 2022
  • Ten tekst jest częścią STREFY PREMIUM WNP.PL
  • Autor: Instytut Boyma
  • Dodano: 21-11-2019 21:00

Indyjska elektrownia atomowa Kudankulam oraz agencja kosmiczna ISRO padły ofiarą ataku hakerskiego. Zarówno typ oprogramowania, jak i właściwości użytego sprzętu uprawdopodabniają udział Korei Północnej, która stworzyła specjalne jednostki do wojny w cyberprzestrzeni. Celem działań nie było zakłócenie działań obu instytucji, lecz wykradzenie danych wrażliwych, ważnych dla lokalnych rywali Indii. Wraz z rosnącą konkurencją na kontynencie azjatyckim dochodzić będzie do coraz częstszych tego typu ataków.

  • Celem ataku na elektrownię Kudankulam nie było zniszczenie lub przejęcie kontroli nad systemem zarządzania zakładu energetycznego, a „ustanowienie stałej obecności w sieci elektrowni” i kradzież danych na temat paliwa jądrowego zastosowanego w elektrowni. Podobnie wyglądała sytuacja w ataku na sieć agencji kosmicznej ISRO, kluczowej w zaawansowanym indyjskim programie kosmicznym, łączącym komponenty cywilne i wojskowe. 
  • W Indiach panuje przekonanie, że północnokoreańscy hakerzy mogli działać na zlecenie lub we współpracy z Pakistanem i Chinami.
  • Ataki na Kudankulam i ISRO pokazują, jak dramatycznie rośnie znaczenie cyberbezpieczeństwa w działalności firm, instytucji i infrastruktury krytycznej dla bezpieczeństwa narodowego.

Jak pokazuje najnowszy przykład z Indii, kluczowe jest wprowadzenie ściśle przestrzeganych procedur, zwłaszcza przez osoby na kierowniczych stanowiskach w instytucjach zarządzających infrastrukturą krytyczną. Grupy stojące za atakiem mogą uderzyć w dowolnym miejscu świata.

Do ataku na elektrownię doszło 4 września, jednak sprawa ujrzała światło dzienne dopiero na przełomie października i listopada. Początkowo operator Kudankulam, elektrowni zbudowanej we współpracy z Rosją na początku tego wieku, zaprzeczał, że doszło do jakiegokolwiek ataku. Po pewnym czasie przyznał, że natychmiast po wykryciu działalności hakerów poinformowała rządową agencję odpowiadającą za cyberbezpieczeństwo (CERT-In - Indian Computer Emergency Response Team). 

Z czasem na jaw zaczęło wychodzić coraz więcej szczegółów, głównie za sprawą seulskiego zespołu śledzącego ataki w cyberprzestrzeni, Issue Maker Lab, który współpracuje z południowokoreańskimi agencjami rządowymi. Grupa bada zajścia w porozumieniu ze stroną indyjską. Z dotychczasowych ustaleń wynika, że kluczową rolę odegrali w nim nieświadomie Anil Kakodkar, były przewodniczący indyjskiej agencji atomowej (Atomic Energy Commission of India - AEC) i dyrektor centrum badań nad technologiami atomowymi (Bhabha Atomic Research Centre - BARC) oraz jego kolega S. A. Bharadwaj. Sieć została zainfekowana, ponieważ otworzyli prawdopodobnie na podłączonym do niej sprzęcie linki do złośliwego oprogramowania, przesłane na służbowe i prywatne adresy mailowe. Sprawcy mieli doskonałe rozeznanie w sieci protokołów internetowych elektrowni.

Każdy atak zostawia jednak ślady. Na ich podstawie udało się w wysokim stopniu uprawdopodobnić udział północnokoreańskich hakerów. Wykorzystany do wyprowadzenia ataku komputer to model produkowany wyłącznie w Korei Północnej. Ustalono również adres MAC urządzenia i szczegóły adresu IP, swego rodzaju "odcisków palców” użytego sprzętu. Oba wskazują na Koreą Północną. Dalsza analiza wykazała, że kod źródłowy złośliwego oprogramowania został napisany w języku koreańskim. Z kolei producent oprogramowania antywirusowego Kaspersky potwierdził wykorzystanie w ataku złośliwego software’u z rodziny DTrack. Ten typ programów i łączony jest Lazarus Group, zespołem hakerów złożonym głównie z północnych Koreańczyków.

Celem ataku nie było zniszczenie lub przejęcie kontroli nad systemem zarządzania zakładu energetycznego, a „ustanowienie stałej obecności w sieci elektrowni” i kradzież danych. Nie wiadomo publicznie, czy i jakie dane zostały przejęte. Według indyjskich źródeł rządowych hakerzy chcieli zdobyć dane na temat paliwa jądrowego. 

Jednak zdaniem indyjskich śledczych materiały rozszczepialne i paliwo jądrowe nie przedstawiały dla napastników samoistnie większej wartości. Atak mógł stanowić element większej operacji, mającej na celu oszacowanie cywilnego i wojskowego potencjału Indii. Za szeroko zakrojoną akcją przemawia kolejny obiekt ataku. Celem stała się też sieć agencji kosmicznej ISRO, kluczowej w zaawansowanym indyjskim programie kosmicznym, łączącym komponenty cywilne i wojskowe. W Indiach panuje przekonanie, że północnokoreańscy hakerzy mogli działać na zlecenie lub we współpracy z Pakistanem i Chinami. O ile z tym pierwszym państwem Indie są stale na pograniczu wojny, o tyle stosunki w Pekinem polepszyły się w ostatnich latach, lecz oba kraje stale rywalizują o wpływy w Azji Południowej.

Pomimo ograniczonego podłączenia KRLD od Internetu tamtejszy reżim inwestuje poważne środki w zdolności do prowadzenia działań w cyberprzestrzeni. Północnokoreański wywiad RGB i sztab generalny Koreańskie Armii Ludowej zatrudniają według różnych szacunków od 1800 do 5900 hakerów specjalizujących się w działaniach bojowych w cyberprzestrzeni i cyberprzestępstwach. Podporządkowana RGB cyberjednostka Komórka 101 już kilkakrotnie była wskazywana przez Waszyngton jako odpowiedzialna za ataki na całym świecie.

Północnokoreańscy hakerzy w 2014 zaatakowali Sony Pictures. Przyczyną był film “Wywiad ze Słońcem Narodu”, satyra na rządy Kim Dzong Una. Dwa lata później celem ataku stał się system bankowy Bangladeszu. Skradziono wówczas przede wszystkim kryptowaluty. Działalność kryminalna w cyberprzestrzeni jest dla Pjongjangu poważnym źródłem dewiz. Wykorzystanie kryptowalut pozwala reżimowi obchodzić sankcje nałożone przez ONZ. 

Ataki na Kudankulam i ISRO pokazują, jak dramatycznie rośnie znaczenie cyberbezpieczeństwa w działalności firm, instytucji i infrastruktury krytycznej dla bezpieczeństwa narodowego. Potwierdziły także wnioski z raportu brytyjskiego think tanku Chatham House z roku 2015 poświęconego bezpieczeństwu elektrowni jądrowych. Wbrew popularnemu przekonaniu, elektrownie takie nie są odcięte od Internetu. Co gorsza, ze względów finansowych stosowane jest w nich często nie specjalne oprogramowanie zaprojektowane dla obiektów o dużym znaczeniu strategicznym, lecz komercyjny software, bardziej podatny na ataki hakerskie. Kolejnym problemem są przestarzałe, pasywne procedury bezpieczeństwa, zupełnie nienadążające za metodami ataku. 

Chatham House postuluje także wprowadzenie zakazu używania na terenie elektrowni prywatnych urządzeń z dostępem do Internetu. Tą drogą poszły już siły zbrojne kilku państw, zakazując żołnierzom używania telefonów na terenie jednostek i poligonów.

Więcej informacji z cyklu Tydzień w Azji 43/2019:
Niemcy inwestują w przyszłość Turkmenistanu
Coraz więcej znaków zapytania wokół przyszłości gospodarczej Indii
Niemieckie firmy wycofują się z Chin

 

×

DALSZA CZĘŚĆ ARTYKUŁU JEST DOSTĘPNA DLA SUBSKRYBENTÓW STREFY PREMIUM PORTALU WNP.PL

lub poznaj nasze plany abonamentowe i wybierz odpowiedni dla siebie. Nie masz konta? Kliknij i załóż konto!

  • Pakistan

    Przelicz walutę
  • rupia (PKR)

  • 0,016 złoty (PLN)

    0,003 EUR, 0,004 USD

KOMENTARZE (0)

Do artykułu: #TydzieńwAzji. Hakerzy dochodzą do głosu na międzynarodowych rynkach

PISZESZ DO NAS Z ADRESU IP: 3.239.119.61
Dodając komentarz, oświadczasz, że akceptujesz regulamin forum

Logowanie

Dla subskrybentów naszych usług (Strefa Premium, newslettery) oraz uczestników konferencji ogranizowanych przez Grupę PTWP

Nie pamiętasz hasła?

Nie masz jeszcze konta? Kliknij i zarejestruj się teraz!