Skip to main content
Loading...
Szukaj
Logowanie
Dane logowania.
Nie masz konta? Załóż je tutaj.
Zarejestruj się
Zarejestruj się
Masz konto? Zaloguj się tutaj.

Hakerzy czyli korsarze XXI wieku?

Hakerzy czyli korsarze XXI wieku?

Zapewne słyszałeś o piratach – zwłaszcza tych z Karaibów. I siłą rzeczy pewnie obiło ci się o uszy coś o „korsarzach”. A już tym bardziej z pewnością słyszałeś o cyberprzestępcach i jednocześnie o takich grupach powiązanych z rządami różnych państw. Jak się ma zatem współczesna cyberprzestępczość do piractwa i korsarstwa z przełomu XVI–XVIII wieku? Przyjrzyjmy się grupom cyberprzestępczym, które współpracują z organizacjami rządowymi.

Korsarze i… cyberkorsarze?

Piractwo jest praktyką równie starą, co żeglarstwo. W zasadzie nie ma miejsca na świecie, na którym kiedyś w historii ludzkości by ono nie występowało. Starożytni Egipcjanie narzekali na piratów greckich. Chińczycy i Koreańczycy mierzyli się z tymi japońskimi. Średniowieczni Europejczycy zmagali się za to z wikingami czy słowiańskimi chąśnikami i wiciędzami. W nowożytności we znaki dawali się piraci marokańscy, tureccy, madagaskarscy, indonezyjscy i oczywiście karaibscy (którzy często byli albo byłymi czarnymi niewolnikami, albo po prostu Europejczykami). Ba, nawet dziś słyszymy o piratach jemeńskich czy somalijskich. 

Niektórzy morscy bandyci szczególnie upodobali sobie konkretne cele i tak np. angielscy morscy bandyci chętniej napadali na francuskie okręty niż te z Wysp Brytyjskich. A jak mawiają stare porzekadła – wróg mojego wroga jest moim przyjacielem i jeśli nie możesz kogoś pokonać, to zaprzyjaźnij się z nim. Tak narodziło się korsarstwo. Rywalizujące ze sobą potęgi morskie niejednokrotnie płaciły grupom piratów, aby te obierały za cel statki konkurujących z nimi krajów. 

Albo (co było znacznie częstsze) w listach kaperskich obiecali im spokój i możliwość zabierania łupów z okrętów wroga. Dzięki temu korsarze mogli „legalnie” uprawiać bandytyzm, korzystając z bander krajów, którym obiecali wierność i korzystać z ich portów. Władcy z kolei nie musieli wydawać pieniędzy na rozbudowę floty i przy okazji obrywało się im wrogom – układ idealny. Niektórzy korsarze cieszyli się wręcz wyjątkowym szacunkiem władców. Ot, chociażby pochodzący z Lesbos Barbarossa (Hayreddin), służący tureckiemu sułtanowi, czy Sir Francis Drake, o którym Elżbieta I Wielka mawiała „mój pirat”, a nawet pasowała go na rycerza.

Jednak jak ma się to wszystko do współczesnych cyberprzestępców? Czasy się zmieniają, tak jak i narzędzia, ale niektóre rzeczy są stałe. Dziś piractwo morskie jest domeną „niszową”, ale już przestępczość w rozległym „oceanie sieci” – niekoniecznie. I tak grasujące bo bezkresnym morzu danych grupy cyberprzestępcze nierzadko niczym barokowi korsarze, zawieszają bandery krajom, którym służą i atakują konkretne cele na ich polecenia.

Północni Koreańczycy – królestwo cyberprzestępców

W kontekście grup cyberprzestępczych powiązanych z różnymi krajami czy państwowymi instytucjami, często słyszymy o hakerach rosyjskich lub chińskich. I do nich również wrócimy, ale szczególnie aktywni pod tym względem są też Północni Koreańczycy. Choć zdawałoby się, że kraj ten jest dość mocno zacofany technologicznie, to niekoniecznie tak jest. W internecie znajdziemy liczne informacje o atakach północnokoreańskich grup. Podobnie jak o tym, że często… reżim północnokoreański utrzymuje się z cyberprzestępczego procederu. 

Dobrze opisuje to chociażby raport Insikt Group z Record Future, który przeanalizował sukcesy Korei Północnej w kontekście cyberataków wymierzonych w branżę kryptowalutową. KRLD od 2017 r. sukcesywnie zajmuje się kradzieżami kryptowalut i finansuje z tego swoje poczynania. W samym tylko 2022 r. ukradli kryptowaluty o wartości ok. 1,7 mld dolarów, co stanowiło 5% ich PKB oraz 45% budżetu wojskowego. W ten sposób reżim Kim Dzong Una jest w stanie funkcjonować pomimo licznych sankcji państw zachodnich.

Korea Północna za cel obiera sobie najczęściej Koreę Południową, ale od jakiegoś czasu – tamtejsze grupy cyberprzestępcze zaczynają też atakować innych. Zdecydowanie jedną z najpopularniejszych takich organizacji jest Grupa Lazarus, znana także jako APT38, Guardians of Peace czy Whois Team (tak naprawdę ich nazw jest naprawdę mnóstwo). W samym KRLD podobno określa się ich mianem Biura Łącznikowego 414. Lazarusa odkryto w 2009 r., po tzw. operacji Troja, gdzie doszło do licznych ataków DDoS wymierzonych w Koreę Południową. 

Lazarus odpowiedzialny jest także m.in. za cyberatak na Sony Pictures w 2014 r., co doprowadziło chociażby do wycieku scenariuszy planowanych filmów japońskiego producenta. Północnokoreańscy cyberkorsarze ukradli też 12 mln dolarów z Banco del Austro w Ekwadorze i milion dolarów z wietnamskiego Tien Phong Bank. Co ciekawe – za cele obierali sobie także banki w Polsce i Meksyku. Do ich niesławnych sukcesów zaliczyć też można wykradzenie 81 mln dolarów narodowemu Bankowi Bangladeszu. 

Ponadto czasem Lazarusowi przypisuje się też stworzenie oprogramowania ransomware WannaCry, które w ciągu czterech dni zainfekowało ponad 300 tys. komputerów. Tezę o powiązaniu północnokoreańskich cyberprzestępców z tym wirusem wysnuło Kaspersky Lab, wskazując na podobieństwa pomiędzy kodami. Warto też podkreślić, że jeden z hakerów Grupy Lazarus – Park In Hyok jest ścigany listem gończym przez FBI. A co ciekawe – rząd KRLD zaprzecza w ogóle istnieniu takiej osoby. 

Equation Group – Amerykanie też nie są święci?

Choć grupy groźnych hakerów na usługach rządów kojarzą nam się bardziej z reżimowymi i autorytarnymi państwami, to niekoniecznie tylko one korzystają z usług takich organizacji. Istnieje bowiem coś takiego jak Equation Group. Ma być to amerykańska grupa cyberprzestępcza powiązana z NSA. Jej odkrycia dokonano w Meksyku w 2015 r., przez… Kaspersky Lab. 

Organizacja ma ponoć działać od 2001 r., liczyć sobie łącznie 60 podmiotów i obierać za cele przede wszystkim organizacje w Iranie, Rosji, Pakistanie, Afganistanie, Indiach, Syrii, Chiny, Mali itd. itp. Co ciekawe – w 2017 r. na WikiLeaks pojawiła się opublikowana rozmowa agenta CIA, który wskazał, jak udało się zidentyfikować Equation Group i podkreślał, że jest to bardziej zbiór narzędzi do hakowania niż konkretna grupa ludzi. Oczywiście – Stany Zjednoczone zaprzeczają, że taka organizacja istnieje, a już tym bardziej że jest przez nie sponsorowana.

Jednak obieranie za cel przede wszystkim państw raczej wrogo nastawionych do Stanów Zjednoczonych i wykorzystywanie przez Equation Group oprogramowań śledzących, których kod przypomina ten używany przez NSA, może nas skłonić do nieco innych wniosków. 

Warto też podkreślić, że w 2023 r., kiedy Kaspersky Lab odkryło oprogramowanie szpiegowskie, udające wirusa do kopania kryptowalut i wskazało, że ten jest stworzony niezwykle elegancko oraz skutecznie, to NSA po wypłynięciu sprawy do mediów, odmówiło komentarza. A to – stety lub niestety – coraz mocniej rzuca cień podejrzeń na amerykańskie działania w kontekście Equation Group.

Chińczycy – czyli trafił swój na swego

Chińscy cyberprzestępcy – tak „indywidualni”, jak i sponsorowani przez państwo to zmora współczesnego świata. Oczywiście, choć ChRL zaprzecza sponsorowaniu jakichkolwiek grup cyberprzestępczych, twierdząc, że przecież samo państwo chińskie również często pada ofiarą cyberataków, to chyba nikt nie daje się na to nabrać. Na nic nie zdają się chińskie głosy o nazywaniu Stanów Zjednoczonych „imperium hakerów”, kiedy samemu jest się prowodyrem licznych cyberataków.

Cyberkorsarze z Państwa Środka są o tyle groźni, że atakują w zasadzie wszystko – firmy prywatne, instytucje zdrowotne, organizacje rządowe itd. itp. Jedną z najpopularniejszych grup cyberprzestępczych jest STORM-0558. Organizacja ta odpowiada za włamanie na konta e-mail ok. 25 organizacji, w tym agencji rządowych Stanów Zjednoczonych czy Microsoftu. Wśród wykradzionych przez STORM-0558 danych są m.in. maile sekretarza handlu Stanów Zjednoczonych Giny Raimondo, amerykańskiego wysłannika do Chin Nicholasa Burnsa i zastępcy sekretarza ds. Azji Wschodniej Daniela Kritenbrinka. 

To oczywiście niejedyna organizacja, bo kolejną jest np. Volt Typhoon. Grupa ta odpowiada m.in. za szpiegowanie szeregu infrastruktury krytycznej Stanów Zjednoczonych, organizacji telekomunikacyjnych i węzłów transportowych. W 2023 r. określono to jako jedna z największych kampanii cyberprzestępczych przeciwko amerykańskiej infrastrukturze krytycznej. 

Z kolei BackdoorDiplomacy stało za szeregiem cyberataków na ministerstwa i instytucje państwowe Kenii. Według amerykańskich danych – grupa ta ma stanowić część większej organizacji znanej jako APT15. Rzeczone APT15 od 2004 r. atakuje główne organizacje publiczne i prywatne na całym świecie. Grupa ta jest odpowiedzialna za liczne bakcdoory, np. Graphicana. 

Warto też podkreślić, że organizacje cyberprzestępcze ChRL nie ograniczają się wyłącznie do Stanów Zjednoczonych, czy Kenii. Jeszcze rok temu mówiło się o szeroko zakrojonej akcji chińskich cyberprzestępców, którzy infiltrowali administracje rządowe, dyplomatów i polityków Europy. Ponadto praktycznie co roku możemy usłyszeć o tym, jak Belgia pada celem ataku chińskich hakerów. Unijne agencje cały czas ostrzegają o tym, że ChRL dąży w ten sposób do destabilizacji naszych państw. I warto podkreślić, że już w 2021 r. UE wzywała władze chińskie do podjęcia działań, które mają ukrócić złośliwe cyberataki. Jednak ChRL klasyczni – udawała, że tematu nie ma. To oczywiście nie wszystkie organizacje sponsorowane przez ChRL. Zabrakłoby nam czasu, gdybyśmy chcieli je wszystkie wskazać, tak duży jest to proceder.

Rosja – raj hakerów

Zaraz po Chinach najczęściej słyszymy o rosyjskich hakerach i cyberprzestępcach. I podobnie jak z ChRL – Federacja Rosyjska sponsoruje naprawdę wiele organizacji cyberprzestępczych. Grup powiązanych z rządem jest mnóstwo. Jedną z najpopularniejszych jest założona ok. 2008 r. Cozy Bear, która najprawdopodobniej współpracuje z FSB lub SWR. 

Głównymi celami Cozy Bear są oczywiście sektory rządowy, wojskowy, energetyczny, dyplomatyczny i telekomunikacyjny. Na cele obierali m.in. prywatne i publiczne podmioty w Niemczech, Uzbekistanie, Korei Południowej, czy w Stanach Zjednoczonych, próbując zaatakować nawet Departament Stanu USA czy Biały Dom w 2014 r. 

Cozy Bear odpowiada również za atak spearphishingowy na Pentagon w 2015 r. Rosyjscy cyberprzestępcy nie szczędzą też europejskich krajów. W 2017 r. przypuścili atak spearphishingowy na pracowników Ministerstwa Obrony Narodowej i Ministerstwa Spraw Zagranicznych Norwegii. Atakowali też tamtejszą Partię Pracy. 

Podobny atak przypuścili również na ministerstwa holenderskie, próbując pozyskać tajną dokumentację Królestwa Niderlandów. W 2019 r. z kolei wypuścili trzy słośliwe oprogramowania: PolyglotDuke, RegDuke i FatDuke. Oprócz tego w 2020 r. próbowali wykraść informacje i dane dotyczące szczepionek oraz metod leczenia koronawirusa opracowywanych w Stanach Zjednoczonych, Kanadzie i Wielkiej Brytanii. Z kolei w 2022 r. przypuścili nieudany atak na Microsoft.

Oczywiście – to nie jedyna sponsorowana przez Rosję grupa cyberprzestępcza, bo tych jest znacznie więcej. Są też nieco mniej „utalentowane” organizacje, ale umiejące również zajść za skórę. Takim przykładem jest Killnet, czyli organizacja, która ujawniła się w 2022 r. po rosyjskiej inwazji na Ukrainę. W Polsce jest ona doskonale znana, bo wielokrotnie groziła naszemu krajowi. W 2023 r. miała włamać się do Grupy Azoty, wykradając dane tamtejszych pracowników, choć organizacja zaprzeczyła, że do takiego ataku w ogóle doszło.

Killnet odpowiedzialny jest też za liczne ataki DDoS na strony publiczne i rządowe w Rumunii, Mołdawii, Czechach, Włoszech, Litwie, Norwegii, Łotwie, Stanach Zjednoczonych, Japonii, Gruzji, Niemczech i oczywiście w Polsce. W 2022 r. próbowali również zablokować stronę WWW Eurowizji podczas występu Ukrainy. 

Niesławą cieszy się też grupa Sandworm znana jako Jednostka 74455. Organizacja powstała najprawdopodobniej w latach 2004–2007 i jest odpowiedzialna za cyberszpiegostwo i ataki na infrastrukturę krytyczną. Prawdopodobnie współpracuje z GRU. Sandworm stoi m.in. za atakami na sieć energetyczną Ukrainy w 2015 r., cyberatakami (ponownie na Ukrainę) w 2017 r., wybory prezydenckie we Francji w 2017 r., czy ceremonię otwarcia Zimowych Igrzysk Olimpijskich w Pjongczangu w 2018 r. Sandworm stoi też za stworzeniem złośliwego oprogramowania Infamous Chisel, które atakuje urządzenia z Androidem – głównie używane przez Ukraińców. 

Oczywiście, rosyjskich grup cyberprzestępczych jest znacznie więcej. A część z nich także zajmuje się np. kradzieżą kryptowalut czy środków finansowych jak ich północnokoreańscy odpowiednicy. Rosja jest niestety państwem, które sponsoruje cyfrowy bandytyzm i wykorzystuje go na najróżniejsze sposoby – od dezinformacji, przez infiltrację po działania cyberwojenne. 

Blackjack, czyli ukraińscy hakerzy przeciw Rosji

Jeśli mowa o naszych wschodniosłowiańskich sąsiadach, to nie można pominąć również Ukrainy. Państwo to także wspierane jest przez różne organizacje hakerskie, które jednak w dużej mierze walczą z rosyjskim agresorem. Przykładem takiej grupy jest chociażby Blackjack, które to prawdopodobnie powiązane jest z SBU. Jeszcze w styczniu 2024 r. Blackjack wykradł plany 500 rosyjskich baz wojskowych na terenie całej Federacji Rosyjskiej i okupowanych terenów Ukrainy. 

Mowa tutaj o kwaterach rosyjskiego dowództwa, instalacjach obrony przeciwlotniczej czy magazynach broni. Blackjack miało być też odpowiedzialne za usunięcie pozyskanych informacji z rosyjskich serwerów i wyłączenie 150 komputerów Rosjan. Organizacja ta stoi też za atakiem na moskiewską firmę telekomunikacyjną – M9 Telecom. 

Warto też wspomnieć o IT Army of Ukraine, czyli grupie ochotników, którzy wspierają ukraińskie działania przeciwko rosyjskiemu agresorowi. Wraz z wybuchem inwazji, ukraiński rząd poprosił lokalnych hakerów, aby ci pomogli odpierać cyberataki na infrastrukturę krytyczną i prowadzić działania cyberszpiegowskie przeciwko rosyjskiej armii. IT Army of Ukraine odpowiada m.in. za cyberatak na Moskiewską Giełdę Papierów Wartościowych, włamanie się na stronę Sbierbanku, czy innych rządowych serwisów Białorusi i Rosji, czy działania przeciwko rosyjskiej sieci energetycznej i kolejowej.

Oprócz tego hakerom udało się zainfekować 800 rosyjskich stron – w tym Roskosmosu – oprogramowaniem, które wyświetlało wiadomość z gratulacjami z okazji święta ukraińskiej konstytucji. IT Army of Ukraine odpowiada także za atak na stronę Yandex Taxi, wykradnięcie danych grupy Wagnera, czy włamanie się na stronę WWW Organizacji Układu o Bezpieczeństwie Zbiorowym („rosyjskiego NATO”). 

Jak widać – grupy hakerów, czy wręcz cyberprzestępców są sponsorowane przez najróżniejsze państwa i co więcej, mogą prowadzić bardzo różne działania. W tekście oczywiście nie wymieniliśmy wszystkich tego typu organizacji. Ba, nie wskazaliśmy nawet wszystkich państw, bo o tym, że tego typu grupy są sponsorowane np. przez Iran czy Białoruś również wiemy. A prawdopodobnie znacznie więcej krajów korzysta z usług „korsarzy XXI wieku”. 

Co nam to wszystko pokazuje? Że cyberprzestrzeń już od dawna nie jest jedynie miejscem, w którym możemy natknąć się na zwykłych cyberprzestępców, ale wręcz na zorganizowane, sponsorowane przez państwa grupy, które mają świadomy cel w ataku konkretnych podmiotów – w tym firm prywatnych.

Oceń artykuł

Jak możesz czytać Security Magazine?

  1. Kliknij w POBIERZ - rozpocznie się pobieranie PDF-a na Twoje urządzenie.
  2. Śledź nasze kanały na Facebooku, LinkedIn i TikTok - tam również udostępniamy informacje na temat wydania
  3. W przystępny sposób korzystaj z lektury za pomocą ISSUU — poniżej.

Sprawdź się!

Powiązane materiały

Zapisz się do newslettera

Bądź na bieżąco z najnowszymi informacjami na temat
cyberbezpieczeństwa