Ικανή να διακόψει την ηλεκτροδότηση σε μέρος της Ουκρανίας ή να διεισδύσει στα αρχεία της προεκλογικής εκστρατείας του Εμανουέλ Μακρόν, αντιπροσωπεύει μια από τις μεγαλύτερες απειλές στον κυβερνοχώρο σήμερα.
Του Pierre-Loeiz Thomas
Στις 23 Δεκεμβρίου 2015, ο υδράργυρος δεν ανέβηκε πάνω από τους 0°C στο Ιβάνο-Φρανκίσβκ, μια πόλη 230.000 κατοίκων στη δυτική Ουκρανία. Στο τέλος του απογεύματος, οι υπάλληλοι του κύριου προμηθευτή ηλεκτρικής ενέργειας της περιοχής ολοκλήρωναν τη βάρδια τους. Πριν κλείσει τον υπολογιστή του, ένας από τους τεχνικούς στο κέντρο ελέγχου παρατήρησε ασυνήθιστη δραστηριότητα στην οθόνη του. Ο δρομέας του υπολογιστή του μετακινήθηκε χωρίς να αγγίξει το ποντίκι. Το μηχάνημα μπήκε σε υπερδιέγερση, ανοίγοντας πολλά παράθυρα, συμπεριλαμβανομένου εκείνου που έλεγχε τις ηλεκτρικές συνδέσεις για ολόκληρη την πόλη.
Μπροστά στον αβοήθητο άνδρα, ο δρομέας μετακινείται στην εντολή απενεργοποίησης. Μπλακ άουτ. Τίποτα δεν λειτουργούσε στους δρόμους, ούτε οι πινακίδες των καταστημάτων, ούτε τα φανάρια. Στα σπίτια 230.000 Ουκρανών, η θέρμανση και τα φώτα έσβησαν. Για αρκετές ώρες, βυθίστηκαν στο σκοτάδι και το κρύο.
Πίσω από αυτή την επίθεση που ήταν αντάξια ενός επεισοδίου Τζέιμς Μποντ βρισκόταν μια ομάδα «πανέξυπνων» χάκερ, όπως ανέφερε το FBI σε σημείωμά του. Το όνομά τους: Sandworm. Το σκουλήκι της άμμου. Άμεση αναφορά στο πλάσμα που δημιούργησε ο Φρανκ Χέρμπερ στο επιτυχημένο έπος Dune. Σε μια πρόσφατη έκθεση που δημοσίευσε η Mandiant, μια θυγατρική της Google που ειδικεύεται στη μελέτη επιθέσεων στον κυβερνοχώρο, η ομάδα περιγράφεται ως «προηγμένη επίμονη απειλή» (Advanced Persistent Threat, APT). Στην ορολογία της πληροφορικής, ο χαρακτηρισμός αυτός ορίζει μια παρατεταμένη επίθεση στον κυβερνοχώρο κατά την οποία ένα μη εξουσιοδοτημένο άτομο αποκτά πρόσβαση σε ένα προστατευόμενο δίκτυο και παραμένει απαρατήρητο για αρκετούς μήνες ή ακόμη και χρόνια.
Το Sandworm, επίσης γνωστό ως APT44, είναι μία από αυτές τις ομάδες, ικανή να διεισδύει διακριτικά σε ένα δίκτυο, όπως το πλάσμα που φαντάστηκε ο Frank Herbert, πριν εμφανιστεί στην επιφάνεια και προκαλέσει σημαντικές ζημιές». Με την υποστήριξη του ρωσικού κράτους, έχουν το χρόνο να προετοιμάζουν επιθέσεις σε βάθος”, επιβεβαιώνει ο Gérôme Billois, ειδικός σε θέματα ασφάλειας στον κυβερνοχώρο της Wavestone. Είναι μία από τις λίγες ομάδες που δεν διστάζουν να πραγματοποιήσουν επιθέσεις στον φυσικό κόσμο».
Δεν ζητούν λύτρα, αλλά θέτουν εκτός λειτουργίας τα συστήματα πληροφορικής βασικών υποδομών, όπως οι εγκαταστάσεις παραγωγής ενέργειας. Ο Thomas Heide Clausen, διευθυντής του μεταπτυχιακού προγράμματος Cybersecurity: Threats and Defences στην École Polytechnique, της Γαλλίας αναλύει: «Πολύ συχνά οι κυβερνοεπιτιθέμενοι θέλουν χρήματα. Το ιδιαίτερο σε αυτούς είναι ότι δεν έχουν οικονομικά κίνητρα.»
Πρώτες επιθέσεις στην Ουκρανία
Αν και η προέλευσή της παραμένει ασαφής, η ομάδα φαίνεται ότι δημιουργήθηκε λίγο πριν από το 2010, αλλά άρχισε να έχει πραγματικό αντίκτυπο κατά τη διάρκεια της ρωσικής εισβολής στην Κριμαία τον Φεβρουάριο και τον Μάρτιο του 2014. Στην έκθεσή της, η Mandiant σημειώνει ότι «η APT44 συμμετείχε ενεργά σε προσπάθειες σε διάφορα μέτωπα για να βοηθήσει τις ρωσικές δυνάμεις. Η ομάδα ήταν υπεύθυνη για σχεδόν κάθε διαταρακτική και καταστροφική επιχείρηση κατά της Ουκρανίας κατά την τελευταία δεκαετία». Το 2016, το Sandworm επιτέθηκε κυρίως στην ουκρανική πρωτεύουσα. Σε μια διαδικασία παρεμφερή με το μπλακ άουτ του 2015, οι Ρώσοι χάκερ διέκοψαν την ηλεκτροδότηση για ορισμένους από τους κατοίκους του Κιέβου επί αρκετές ώρες. Μέχρι τον Φεβρουάριο του 2024, είχαν καταγραφεί 66 επιθέσεις στις ουκρανικές υποδομές ηλεκτρικής ενέργειας από την έναρξη της σύγκρουσης. Η διακοπή του ηλεκτρικού ρεύματος μιας πόλης μέσω υπολογιστή είναι σαν να ρίχνεις βόμβα σε έναν σταθμό παραγωγής ηλεκτρικής ενέργειας”, εξηγεί ο Jean-Yves Marion, καθηγητής πληροφορικής και ερευνητής κυβερνοασφάλειας στο Πανεπιστήμιο της Λωρραίνης. Και είναι πολύ φθηνότερο.
Άλλες αποστολές σε όλο τον κόσμο
Αλλά το σκουλήκι της άμμου δεν περιορίζει το πεδίο δράσης του στην Ουκρανία. Το 2016, εν μέσω της εκλογικής μονομαχίας μεταξύ της Χίλαρι Κλίντον και του Ντόναλντ Τραμπ, τα μέλη του Δημοκρατικού Κόμματος έγιναν στόχος ενός κύματος απατηλών ηλεκτρονικών μηνυμάτων ή αλλιώς phishing. Έγγραφα της προεκλογικής εκστρατείας που ήταν αποθηκευμένα σε διακομιστές του Δημοκρατικού Κόμματος διέρρευσαν. Πίσω από αυτή την επιχείρηση αποσταθεροποίησης, οι εταιρείες ανάλυσης στον κυβερνοχώρο βρήκαν το σήμα κατατεθέν των Ρώσων χάκερ.
Ένα χρόνο αργότερα, μια παρόμοια επιχείρηση πραγματοποιήθηκε στη Γαλλία. Ενώ ο Εμανουέλ Μακρόν προηγούνταν στις δημοσκοπήσεις κατά τη διάρκεια της περιόδου μεταξύ των γύρων των προεδρικών εκλογών του 2017, ένα σωρό έγγραφα της προεκλογικής εκστρατείας εμφανίστηκαν στο διαδίκτυο. Μετά από έρευνα, αρκετές ενδείξεις δείχνουν μια νέα απόπειρα ρωσικής παρέμβασης χωρίς να μπορούν να την αποδώσουν στο Sandworm ή στη FancyBear, μια άλλη παραστρατιωτική ρωσική ομάδα κυβερνοεπιθέσεων. «Οι επιθέσεις τους γίνονται για να αποκαταστήσουν ένα “κακό” που έγινε στο Κρεμλίνο. Για να αντιδράσουν σε υποτιμητικά σχόλια κατά της Ρωσίας ή για να αποσταθεροποιήσουν ένα καθεστώς”, σημειώνει ο Thomas Heide Clausen της École Polytechnique.
Το τελευταίο επεισόδιο στη Γαλλία αφορά έναν μύλο στην περιοχή του Marne. Όπως αποκάλυψε η Mandiant και ανέλυσε λεπτομερώς η Le Monde , τον Απρίλιο του 2024 η ομάδα ανέλαβε την ευθύνη για μια επίθεση στο φράγμα Courlon-sur-Yonne. Μετά από ανάλυση, η επίθεση φαίνεται να είχε ως στόχο τον μύλο Courlandon, σε απόσταση μεγαλύτερη των εκατό χιλιομέτρων από τον αναφερόμενο στόχο. Είναι δύσκολο να εξηγήσει κανείς αυτό που φαίνεται να ήταν λάθος πυροβολισμός. Για τον Thomas Heide Clausen, «ήταν μάλλον ένα ατύχημα». Σύμφωνα με τον Gérôme Billois, θα μπορούσε να είναι ένας τρόπος για να «επιδείξουν διακριτικά την ικανότητά τους για δράση».
Οι χάκερ που καταζητούνται από το FBI
Αυτά τα κατορθώματά τους έχουν καταστήσει την ομάδα στόχο αρκετών υπηρεσιών κυβερνοάμυνας. Τον Οκτώβριο του 2020, το FBI εξέδωσε ένταλμα έρευνας για έξι μέλη της ομάδας.
Στα τέλη Μαρτίου 2022, ορισμένοι ερευνητές και δικηγόροι από τη Νομική Σχολή του Πανεπιστημίου Μπέρκλεϊ απέστειλαν επίσημο αίτημα στον εισαγγελέα του Διεθνούς Ποινικού Δικαστηρίου της Χάγης, ζητώντας να εξεταστούν οι κατηγορίες για εγκλήματα πολέμου που απαγγέλθηκαν στους Ρώσους χάκερ για τις κυβερνοεπιθέσεις τους κατά της Ουκρανίας.
Στη Γαλλία, η Agence nationale de la sécurité des systèmes d’information (Anssi) έχει επίσης θέσει στο στόχαστρό της το Sandworm. Το 2021, η υπηρεσία δημοσίευσε έκθεση με τίτλο «Sandworm attack campaign targeting Centreon servers» σχετικά με μια υποτιθέμενη επίθεση της ομάδας. Παρόλο που η έκθεση δεν προσδιορίζει τα θύματα αυτών των επιχειρήσεων, το λογισμικό Centreon χρησιμοποιείται από διάφορους γαλλικούς φορείς, όπως η Airbus, η RATP, η EDF και το Υπουργείο Δικαιοσύνης. Όλοι αυτοί είναι φορείς που είναι πιθανό να κατέχουν δεδομένα που επιθυμεί το Κρεμλίνο ή να προσφέρουν μια πύλη πρόσβασης σε κρίσιμες υποδομές όπως οι σταθμοί ηλεκτροπαραγωγής.
Μια μόνιμη απειλή
Εκτός από αυτές τις αναφορές, το περίγραμμα και οι στόχοι αυτής της οργάνωσης παραμένουν ασαφείς. «Δεν γνωρίζουμε πραγματικά τι είναι το Sandworm», παραδέχεται ο καθηγητής του Πανεπιστημίου της Λωρραίνης. Είναι άνθρωποι που φτάνουν στις 8 το πρωί και φεύγουν το βράδυ; Είναι κυβερνοεγκληματίες που έχουν μετατραπεί σε κυβερνο-μισθοφόρους; Ίσως να μην το μάθουμε ποτέ.
Στις 15 Μαρτίου 2023, η ομοσπονδιακή υπηρεσία των ΗΠΑ εξέδωσε ένταλμα σύλληψης για τον Yevgeny Serebriakov, τον άνθρωπο που θεωρείται ύποπτος ότι ηγείται του κυβερνοβραχίονα της Μόσχας. Σύμφωνα με πληροφορίες που αποκάλυψε το αμερικανικό περιοδικό Wired, κατηγορήθηκε το 2018, μαζί με άλλους έξι πράκτορες της GRU, ότι διεξήγε μια επιχείρηση κυβερνοκατασκοπείας στην Ολλανδία που είχε στόχο τον Οργανισμό για την Απαγόρευση των Χημικών Όπλων στη Χάγη. Πριν από αυτή την επιχείρηση, ο άνδρας είχε ήδη ένα πλήρες βιογραφικό επιθέσεων που πραγματοποιήθηκαν στο περιθώριο των Ολυμπιακών Αγώνων του Ρίο και εναντίον του Παγκόσμιου Οργανισμού Αντιντόπινγκ το 2016, όταν ένα μεγάλο σκάνδαλο έπληξε Ρώσους αθλητές. Ο Yevgeny Serebriakov παραδόθηκε στις ρωσικές αρχές και δεν ενοχλήθηκε ποτέ από αυτές.
Όσο για τους επόμενους στόχους του Sandworm, κανένας παρατηρητής δεν επιχειρεί να τους κατονομάσει. «Είναι πολύ δύσκολο να ανιχνεύσεις αυτού του είδους την ομάδα πριν εκδηλωθεί», παραδέχεται ο Jean-Yves Marion. «Μπορεί ήδη να έχουν διεισδύσει σε συστήματα για να διαταράξουν τους Ολυμπιακούς Αγώνες ή μπορεί να προσπαθούν να το κάνουν. Δεν ξέρουμε πραγματικά ποιος θα είναι ο επόμενος στόχος τους». «Δεν θα έχουμε Αγώνες χωρίς επιθέσεις στον κυβερνοχώρο», συμφώνησε ο Vincent Strubel, γενικός διευθυντής της Anssi, την Παρασκευή 3 Μαΐου. Τον Φεβρουάριο του 2018, η ομάδα επιτέθηκε στην τελετή έναρξης των Χειμερινών Αγώνων της Σεούλ. Το Sandworm παραβίασε διάφορες εφαρμογές, μεταξύ των οποίων και μία που είχε αναπτύξει η ίδια η ολυμπιακή οργάνωση για τη σάρωση ψηφιακών εισιτηρίων.
Δημοσιεύθηκε 10/5/2024
