"През това лято попадам на познати лица в офисите на iSight. Ендлър и Джеймс отдавна ги няма, но Грег Макманус - Кивито, още "разглобява" код в черната стаичка. Има и нови лица. Джон Хълткуист е запасняк от Тенеси и огромен като мечка. Служил е в Афганистан след 11 септември, а сега ръководи отдела за кибершпионаж в iSight. Той следи отблизо Energetic Bear, докато групата не изчезва внезапно предната година. Още се опитва да разгадае мотивите ѝ, когато получава интригуващ имейл от свой колега от Киев, работещ в тамошния филиал на iSight.
В имейла има прикачен безобиден файл за Microsoft PowerPoint, в който са изредени имената на симпатизанти на Кремъл в Украйна. Имейлът се заиграва с най-лошите страхове на украинците. Месец наред в региона на Донбас, Източна Украйна, се струпват руски войници, които са там уж на "ваканция". Докато Путин се прави на ударен, има видеокадри как руски войници превозват артилерия, отбранителни зенитни установки и брони за своите поддръжници в Източна Украйна. Тук вече идва ролята на имейла, който се твърди, че съдържа списък с имената на замесените лица.
Хълткуист отваря файла за PowerPoint на компютри във виртуалната черна лаборатория на iSight, където екип от специалисти, в това число и Макманус, прекарват часовете си, потопени в най-последните дигитални заплахи. Всички те се изправят пред нещо, което вероятно е най-усъвършенстваната опасност, която са виждали до този момент. Прикаченият файл освобождава малуер на компютрите им, който поема контрол върху напълно пачнатия им софтуер на Microsoft. Стават свидетели на зараждането на нулева атака , която ще промени същината на кибервоенните действия, каквито ги познаваме. Нападателите използват нулев ден, който да инжектира изключително напредничава форма на малуер, който обикаля из Русия от няколко години. Името му е BlackEnergy. Появява се за първи път по руските хакерски форуми седем години по-рано, когато руският хакер Дмитро Олексюк с псевдоним Cr4sh започва да рекламира новия си инструмент по руските форуми и да го продава за по 40 долара. Олексюк написва своя BlackEnergy специално за DoS атаки, но за седемте години, откакто е пуснал малуера си по света, той е еволюирал. Хакери са създали негови нови варианти и са интегрирали нови функционалности. Все още се ползва за DoS атаки, но някои негови варианти се ползват и за финансови измами.
Тази модификация на BlackEnergy обаче е нещо съвсем ново. Малуерът се опитва да се свърже с команден център някъде в Европа. Когато екипът на Хълткуист оглежда този сървър, той открива, че хакерите са го оставили незащитен. Това е един редките проблясъци на дигиталния късмет, когато времето на разгадаване на атаката може да се сведе от цели години до няколко седмици. По някакво чудо се натъкват в командния център на малуера на списък от команди за BlackEnergy. Този негов вариант не е предназначен да "събаря" уебсайтове или да краде банкова информация, а е инструмент за шпионаж на високоразвита държава, който може да заснема екрана, да регистрира натиснатите клавиши и да краде файлове и пароли за криптиране от компютрите на жертвите. Не остава и капка съмнение кой стои зад него: всички файлови команди в BlackEnergy са на руски език.
iSight качва мостра от BlackEnergy във VirusTotal, нещо като търсачка тип Google, само че за малуер, където изследователите могат да проверят дали въпросният код вече се е появявал някъде. VirusTotal показва, че четири месеца по-рано, през май 2014 г., хакери са ползвали точно BlackEnergy, за да пробият една полска електрическа компания, само че посредством документ за Microsoft Word, в който уж имало обновените цени на петрола и газа на европейския пазар. През следващите няколко седмици iSight установява обща зависимост - някой се опитва да инфектира компютрите на участниците в съвещанието на тема Украйна, което предстои да се проведе в Уелс. Други имейли били написани така, че да подмамят участници в сбирка на НАТО в Словакия, на която ще се разглежда руският шпионаж. Една от примамките била специално насочена към американски експерт по руската външна политика. Друга вземала под прицел инженери в украинските железници "Укрзалізниця". Някои от файловете са стари - чак от 2010 г., точно тази, през която Energetic Bear започва да хаква американския енергиен сектор, но пък тази група отдавна е изчезнала. Разпръснати в кода, намираме препратки към научнофантастичния епос от 1965 г. "Дюн" от Франк Хърбърт, действието в който се развива в недалечното бъдеще, след като планетата е унищожена в термоядрена война . Героите намират убежище в пустинята, където 300-метрови червеи бродят под повърхността на пясъците. Хълткуист нарича тази нова руска нападателна група "Пясъчен червей".
Анализаторите от АНС също следят "Пясъчен червей", но под друго име. В Звено 74455, част от руското Главно разузнавателно управление (ГРУ), има няколко подразделения. Анализаторите от АНС са изключително разтревожени от онова, което виждат. Естествено, всички техни констатации са дълбоко засекретени. Хълткуист подозира, че "Пясъчен червей" е група от ГРУ, но без неопровержимо доказателство не може просто да излезе и да го заяви. Когато екипът му публикува доклада си шест седмици по-късно, всичко, което той знае със сигурност, е, че руснаците провеждат шпионска кампания с нулев ден вече поне от пет години, чиято истинска цел няма да бъде оповестена още една година.
Хората на Хълткуист отпразнуват материала си за "Пясъчен червей" през октомври в подсигурения чувствителен информационен център (SCIF) на iSight - бар без прозорци, в който има кран за бира "Милър Лайт". Дори светът един ден да свърши, Уотърс иска да е сигурно, че хората му ще разполагат с бира. В този случай обаче екипът на iSight решава да играе по-твърдо и черпи Хълткуист с водка в чест на руските корени на "Пясъчен червей". Докато вдигат тост и чукат чашките си за шотове през октомври 2014 г., на около 4000 километра оттам двама анализатори от Trend Micro, японска компания за компютърна сигурност, решават да се заровят по-дълбоко в доклада на iSight от конференцията в Купертино, щата Калифорния. Те претърсват базите им данни, както и VirusTotal за списъците с IP адреси, които "Пясъчен червей" използва по време на атаките си. Успяват да стигнат до сървър в Стокхолм, който им предоставя нови дигитални трошички.
Във файловете на "Пясъчен червей" има издайническа следа. Неговата цел не са имейли и текстови документи за Word. Той издирва файлове, създадени от индустриални инженери. Един от служителите на Trend Micro е работил в миналото за Peabody Energy, най-голямата въгледобивна компания в света. Това му осигурява уникална перспектива над кода, който разглеждат. Нападателите, въоръжени с "Пясъчен червей", издирват файлове .cim и .bcl, които са точно онези, които се използват от софтуера за индустриален контрол Cimplicity на General Electric. Точно с този софтуер инженерите извършват дистанционна проверка на минното оборудване. Индустриалните инженери по целия свят използват тази програма на General Electric. Тя представлява интерфейс за проверка на PLC, които контролират водопречиствателните станции, електрическото оборудване, транспорта, нефто- и газопроводите по света. Анализаторите в Trend Micro започват да "обелват" кода слой по слой и откриват, че той е написан така, че да се инсталира сам, да се изпълни, след което да се самоизтрие, след като е свършил работата си. Сред използваните команди в него те виждат "прекрати" и "изключи", които са първата стъпка за саботирането на инсталацията в другия край на процеса. Руските хакери не са проникнали в системите, за да си играят, а целенасочено търсят причиняването на вреди.
Две седмици след като Trend Micro публикуват своето притеснително допълнение към разкритията на Хълткуист, Департаментът по национална сигурност (DHS) надува сирените още по-силно. На 29 октомври 2014 г. той предупреждава, че "Пясъчен червей" не се е прицелил само в клиентите на софтуера на General Electric. Той е взел на прицел и две други компании, пишещи софтуер за индустриален контрол: Siemens - същата компания, която САЩ и израелците атакуват със своя Stuxnet, и Avantech, която е лидер в "интернета на нещата". Софтуерът на Avantech се използва в болници, електростанции, нефто- и газопроводи и транспортни мрежи по цялото земно кълбо. DHS заявява недвусмислено, че още през 2011 г. "Пясъчен червей" е започнал да се внедрява в компютри, които контролират критични инфраструктури по целия свят, не само в Украйна и Полша, но и в Съединените американски щати. "Пясъчен червей" все още не е реализирал огромния си разрушителен потенциал, но от доклада през октомври става ясно, че Москва е планирала точно това.
Почти моментално след публикуването на доклада от страна на DHS "Пясъчен червей" потъва в мрака. Нападателите разкачат инструментите си и изчезват от радара. Когато една година по-късно руснаците отново излизат на повърхността, те го правят с гръм и трясък."
Из книгата
Рейтинг: 10.00 / 1 глас
