Anatomia wielkiego wycieku: jak przebiega taki atak
Kiedy wykryto włamanie do systemu jednej z największych platform handlowych w Polsce, media zaczęły spekulować na temat sprawców. Jednak rzeczywistość jest bardziej złożona i mroczna niż jakikolwiek komunikat prasowy. Hakerskie zespoły działające na tym terenie nie pracują w izolacji – są częścią zdywersyfikowanego ekosystemu, gdzie każdy ma swoją rolę, a przychody są precyzyjnie rozliczane.
Pierwszy etap ataku to zwykle dlougojące rozpoznanie. Hakerzy obserwują infrastrukturę celu, skanują sieć, szukają słabych punktów w systemach bezpieczeństwa. Proces ten może trwać tygodnie, a nawet miesiące, zanim pojawi się pierwszy złośliwy dostęp. To nie jest wybuch energii – to precyzyjnie zaplanowana operacja wymagająca cierpliwości i wiedzy technicznej.
Drugi etap to lateral movement – poruszanie się wewnątrz systemu, eskalacja uprawnień, instalacja backdorów. W tym momencie atakujący mają dostęp do systemów, ale nie do celu. Muszą się ukrywać, maskować ślady, aby pozostać niezauważeni. Czasami potrzeba tygodni, żeby dotrzeć do bazy danych zawierającej miliony rekordów użytkowników.
Graczy na polu: kto organizuje takie operacje?
W polskim cyberprzestępczym podziemiu działają co najmniej trzy główne kategorie aktorów. Pierwsza to zespoły specjalizujące się w tzw. „initial access” – czyli zdobywaniu pierwszego dostępu do systemów. Średnio każdy taki zespół składa się z 3-8 osób, posiadających różne kompetencje: od social engineerów po ekspertów od zero-day exploitów.
Druga kategoria to tzw. „post-exploitation” grupy, które przejmują już uzyskany dostęp i go monetyzują. Ci hakerzy są zwykle bardziej doświadczeni i stanowią wyższą ligę przestępczości cybernetycznej. Pracują na zasadzie korporacyjnej – mają role, zarobki, nawet umowy (choć z rozpoznaniem, że mogą zostać złamane w każdej chwili).
Trzecia kategoria to brokerzy – osoby pośredniczące między grupami a potencjalnymi kupцami eksfiltrowanych danych. To oni ustalają ceny, negocjują warunki sprzedaży, zarządzają reputacją sprzedawanych „produktów” cyfrowych. Brokerzy najlepiej zarabiają, ponieważ nie wykonują bezpośrednio ataków – dzielą się ryzykiem i czerpią korzyści z każdej transakcji.
Według nieoficjalnych źródeł pracujących z organami ścigania, w samej Polsce działają co najmniej 40-50 takich zorganizowanych grup, każda specjalizująca się w innym segmencie. Niektóre fokusują się wyłącznie na bankach, inne na e-commerce, jeszcze inne na instytucjach publicznych. Rynek jest nieprzyjemnie podzielony i podziały są przestrzegane – naruszenie terytorialności może skończyć się znacznie gorzej niż obtaśnieniami przez policję.
Ślad pieniędzy: gdzie trafiają stolen assets?
Dane wyekstrahowane z dużych systemów nie są sprzedawane w całości jednemu nabywcy. Proces to skomplikowany łańcuch dostaw cyfrowego towaru. Pełne opisy metodologii działalności grup można znaleźć w dokumentacji sektora, która rzadko trafia do mediów, ale krąży w odpowiednich kręgach.
Bazy danych są dzielone na mniejsze partie – dane bankowe trafiają do jednych kupцów, dane osobowe do innych, numery PESEL do jeszcze innych. Taka segmentacja pozwala na sprzedaż tego samego wycieku wielokrotnie, różnym odbiorcom, poprzez różne kanały. Pojedyncza baza 5 milionów polskich użytkowników może zostać sprzedana 10 razy, każdemu kupцowi inny wycinek danych.
Międzynarodowe powiązania: polska przystań lub tranzyt?
Polska jest interesująca dla międzynarodowych grup hakerskich z kilku powodów. Po pierwsze, infrastruktura telekomunikacyjna jest zaawansowana, ale przepisy regulacyjne są stosunkowo słabe w porównaniu do zachodniej Europy. Po drugie, polska diaspora techniczna na Zachodzie tworzy naturalny most dla sprzedaży usług i danych. Po trzecie, polskie serwery hostingowe są tanie i mało obciążone regulacyjnie w kwestii GDPR.
Znacząca część ataków na polskie firmy pochodzi spoza Polski – z krajów byłego ZSRR, gdzie przepisy są jeszcze mniej restrykcyjne, a technika hackerska zaawansowana. Jednak fizyczne lokalizacje serwerów pośrednich, proxy’ów i botnetów są rozproszone po całej Europie, ze szczególnym skupiskiem w Polsce, na Ukrainie i w Rumunii.
Analiza trendu pokazuje, że coraz więcej ataków na polskie firmy jest bezpośrednio skoordynowane z terenu Polski – co sugeruje, że lokalne grupy nabierają mocy i samodzielności. Nie są już tylko ejecutorami planów zagranicznych – stają się strategami własnych operacji.
Organy ścigania: dlaczego tak mało aresztowań?
Polska Policja i prokuratura mają dedykowane jednostki do walki z cyberprzestępczością – CBZP (Centralne Biuro Zwalczania Cyberprzestępczości) i zespoły śledcze. Jednak rzeczywistość jest smutna: wskaźnik wykrywalności jest poniżej 20 procent, a wskaźnik skazań dla poważnych przestępstw cybernetycznych oscyluje wokół 10 procent.
Powody są różne. Po pierwsze, hakerzy są mobilni i mogą pracować z dowolnego miejsca, korzystając z anonimizacyjnych narzędzi. Po drugie, międzynarodowe operacje wymagają koordynacji między agencjami różnych krajów, co jest skomplikowane i czasochłonne. Po trzecie, techniczny poziom śledczych jest zazwyczaj poniżej poziomu sprawców – to asymetryczna война.
Istnieje też problem polityczny. Aresztowanie bardziej znanych hakerów może mieć konsekwencje dyplomatyczne, zwłaszcza jeśli są zaangażowani w operacje wymagające międzynarodowej współpracy. Więc wiele spraw jest umorzanych, a dane o ich liczbie nie są публiczone.
Przyszłość: eskalacja czy regulacja?
Biorąc pod uwagę tempo wzrostu sofistykacji ataków i stale rosnące straty finansowe, można się spodziewać dalszej eskalacji. Jednak projekty nowych regulacji i międzynarodowych porozumień mogą zmienić krajobraz – jeśli będą wdrażane z wystarczającą zaciętością.
Rzeczywistością jest to, że większość dużych włamań na polskie firmy może nigdy nie zostać oficjalnie rozwiązana. Hakerzy będą nadal działać z terytoriów poza jurysdykcją polskich i zachodnioeuropejskich organów, a ich zarabianie będzie tymczasowo utrudnione, ale nigdy całkowicie zablokowane. To jest gra w kotka i myszkę, w której mysz ma lepsze karty do rozegrania.
O autorze
