Ποια είναι η DarkSide, η ομάδα των χάκερ που κρύβονται πίσω από την επίθεση στην Colonial Pipeline στις ΗΠΑ
H πιο πρόσφατη και πολύκροτη κυβερνοεπίθεση της ομάδας DarkSide, μπορεί να είναι και η τελευταία της: στις αρχές Μαΐου η Colonial Pipeline Company, το μεγαλύτερο σύστημα αγωγών που τροφοδοτεί με πετρέλαιο και φυσικό αέριο σχεδόν τη μισή ανατολική ακτή των ΗΠΑ, δέχτηκε επίθεση από την DarkSide. Αποτέλεσμα της επίθεσης ήταν η εταιρεία να κλείσει τον αγωγό και κατά συνέπεια να σημειωθούν ελλείψεις στην αγορά καυσίμων. Η τιμή της βενζίνης αυξήθηκε κατακόρυφα και ο Πρόεδρος της Αμερικής Joe Biden κήρυξε κατάσταση έκτακτης ανάγκης. Σύμφωνα με πληροφορίες, η DarkSide διεκδίκησε λύτρα ύψους 5 εκατομμυρίων δολαρίων τα οποία λέγεται ότι πήρε. Φαίνεται, όμως, πως η συγκεκριμένη επίθεση είχε μεγαλύτερη χασούρα παρά κέρδος για την DarkSide, αφού στις 14 Μαΐου ιστότοπός της «έπεσε» και η ομάδα δήλωσε πως έχασε την πρόσβασή της σε πολλές από τις επαφές της αλλά και πολλά από τα εργαλεία πληρωμών.
Η DarkSide έχει εξελιχθεί σε μία πολύ καλά οργανωμένη επιχείρηση. Το χαρακτηριστικό της είναι πως δεν επιτίθεται η ίδια σε εταιρείες, αλλά διαθέτει σε άλλους κυβερνοεγκληματίες το λογισμικό που έχει αναπτύξει, το λεγόμενο ransomware, το οποίο χρησιμοποιείται για να «νεκρώσει» τα ηλεκτρονικά συστήματα των θυμάτων της κι έπειτα να τα εκβιάσει. Έχει δημιουργήσει ένα blog με φιλικό περιβάλλον προς τον χρήστη στο οποίο οι χάκερς δημοσιεύουν τις κλεμμένες πληροφορίες. Παράλληλα, τους παρέχει και μια σειρά από άλλες υπηρεσίες όπως τη διαμεσολάβηση στη διεξαγωγή των διαπραγματεύσεων με τα θύματά τους ή στην καταβολή των λύτρων. Όταν τον περασμένο Αύγουστο η DarkSide πρωτοεμφανίστηκε σε ρωσόφωνα φόρουμ για εγκλήματα στον κυβερνοχώρο, έβγαλε μια ανακοίνωση που θύμιζε περισσότερο επιχειρηματικό λόγο. «Δημιουργήσαμε την ομάδα DarkSide γιατί δεν υπήρχε το τέλειο προϊόν» έγραφαν. «Τώρα υπάρχει». Μάλιστα, καθόρισαν και τα ποσοστά τα οποία θα τους πληρώνουν οι χάκερς που χρησιμοποιούν το λογισμικό τους ανάλογα με τα λύτρα που ζητούν: 25% για λύτρα που δεν υπερβαίνουν το μισό εκατομμύριο δολάρια, και 10% για λύτρα από 5 εκατομμύρια και πάνω. [...]
Στις 10 Μαΐου, ο Biden είπε ότι η υπηρεσία πληροφοριών των ΗΠΑ υποψιάζεται πως η DarkSide βρίσκεται στη Ρωσία, ακόμη και αν δεν υπάρχουν «αποδείξεις» που να τη συνδέουν με το ρωσικό κράτος. Δεν είναι τυχαίο άλλωστε πως το ransomware ως υπηρεσία κυριαρχείται, αν και όχι εξ ολοκλήρου, από ρωσόφωνους χάκερς με ρίζες στη Ρωσία και άλλα πρώην σοβιετικά κράτη. (Βέβαια υπάρχουν πολλές εξαιρέσεις, όπως οι κρατικές ομάδες πειρατείας της Βόρειας Κορέας, οι οποίες ειδικεύονται στην ηλεκτρονική κλοπή τραπεζών).
Οι ρίζες της ρωσικής εγκληματικότητας στον κυβερνοχώρο βρίσκονται στην δεκαετία του 1990 και την κατάρρευση της Σοβιετικής Ένωσης, όταν οι πολύ ικανοί μηχανικοί, προγραμματιστές και τεχνικοί έμειναν ξαφνικά ακυβέρνητοι. Δεκαετίες αργότερα, η ιστορία δεν έχει αλλάξει πολύ: οι νεότερες γενιές Ρώσων έχουν πρόσβαση σε εξειδικευμένη εκπαίδευση στη φυσική, την πληροφορική και τα μαθηματικά, αλλά περιορισμένες ευκαιρίες να αξιοποιήσουν τα ταλέντα τους - τουλάχιστον όχι με τους μισθούς που παίρνουν οι προγραμματιστές, ας πούμε, στην Silicon Valley. «Και τι βλέπουν όταν συνδέονται στο διαδίκτυο; Ότι με τις γνώσεις και τις δεξιότητές τους μπορούν να κερδίσουν εκατομμύρια δολάρια, έτσι απλά», δήλωσε ο Sergey Golovanov, επικεφαλής εμπειρογνώμονας ασφαλείας στο Kaspersky Lab, μια εταιρεία ασφάλειας κυβερνοχώρου που εδρεύει στη Μόσχα. «Ένα ποσοστό αυτών των ανθρώπων, λοιπόν, αποφασίζει ότι αξίζει να παραβιάσει το νόμο».
Μια τέτοια καριέρα μπορεί να φαίνεται πιο ελκυστική, δεδομένου ότι οι κίνδυνοι φαντάζουν μάλλον μικροί όταν οι στόχοι είναι εταιρείες της Δύσης. Παρόλο που οι ρωσικές αρχές κυνηγούν περιοδικά τους εγκληματίες που «χτυπούν» εγχώριους στόχους, εθελοτυφλούν στις περιπτώσεις των χάκερς που απλά έχουν ως βάση τους τη Ρωσία αλλά στοχεύουν στη Δύση. Εάν δεν υπάρχει θύμα στη ρωσική επικράτεια που να μπορεί να εμφανιστεί αυτοπροσώπως για να καταγγείλει το έγκλημα και να προσφέρει αποδεικτικά στοιχεία για ποινική δίκη, τότε οι αρχές δεν μπορούν να κάνουν πολλά. «Ακόμα κι αν η Ρωσία ήταν αυστηρή με την επιβολή του νόμου, δεν θα υπήρχε τίποτα για διερεύνηση», δήλωσε ο Alexey Lukatsky, γνωστός σύμβουλος στον τομέα της ασφάλειας κυβερνοχώρου στη Μόσχα.
Για να διασφαλίσουν ότι δεν θα αντιμετωπίσουν προβλήματα με τον νόμο, οι περισσότεροι ιστότοποι ransomware-as-a-service απαγορεύουν τη στόχευση εταιρειών και ιδρυμάτων που εδρεύουν στην Ρωσία ή την ευρύτερη επικράτεια της πρώην Σοβιετικής Ένωσης. «Οι χάκερς έχουν έναν κανόνα: μην δουλεύεις στον τομέα .ru», δήλωσε ο Golovanov. Η DarkSite σαρώνει τον κώδικα κακόβουλου λογισμικού και αν εντοπίσει τη ρωσική ή άλλη γλώσσα από σοβιετικές χώρες, τη διαγράφει.
Το χάκινγκ στη Ρωσία έχει μετατραπεί σε επίσημο επάγγελμα
Ωστόσο, υπάρχει ένας ακόμη σημαντικός λόγος που οι κυβερνοεγκληματίες ενδέχεται να αισθάνονται πιο ελεύθεροι να «δουλεύουν» από το εσωτερικό της Ρωσίας. Οι υπηρεσίες ασφαλείας της Ρωσίας βλέπουν τους χάκερς που στοχεύουν δυτικές εταιρείες, κυβερνήσεις και ιδιώτες περισσότερο ως κέντρο πληροφοριών παρά ως απειλή. Το 2014, το FBI στοχοποίησε έναν Ρώσο χάκερ, τον Evgeniy Bogachev, με την κατηγορία ότι κλέβει εκατοντάδες εκατομμύρια δολάρια από τραπεζικούς λογαριασμούς σε ολόκληρο τον κόσμο. Αμερικανοί εισαγγελείς ζήτησαν συνεργασία από τους Ρώσους ομολόγους τους. Ωστόσο, αντί οι ρωσικές αρχές να συλλάβουν τον Bogachev, χρησιμοποίησαν τις παραβιάσεις του για να αναζητήσουν αρχεία και e- mails από συσκευές που ανήκουν σε κυβερνητικούς υπαλλήλους και εργολάβους των Ηνωμένων Πολιτειών, της Γεωργίας και της Τουρκίας. Όπως έγραψαν οι Times, το ρωσικό κράτος, στην πραγματικότητα, «χρησιμοποιεί τους κυβερνοεγκληματίες για να γλιτώσει τη σκληρή δουλειά να χακάρει μόνο του τους ηλεκτρονικούς υπολογιστές».
Σε ένα έγγραφο πολιτικής του 2012 με τίτλο «Beyond Attribution» ο Jason Healey, διευθυντής της πρωτοβουλίας Cyber Statecraft Initiative στο Συμβούλιο του Ατλαντικού, πρότεινε την αξιολόγηση της κρατικής ευθύνης για τις επιθέσεις στον κυβερνοχώρο, ξεκινώντας από το «απαγορεύεται από το κράτος» και καταλήγοντας στο «ολοκληρώθηκε από το κράτος». Δεν είναι σαφές σε ποια ακριβώς θέση βρίσκεται η επίθεση της DarkSide εναντίον της Colonial Pipeline, ή τι εννοούσε ο Biden όταν είπε ότι η Ρωσία «φέρει κάποια ευθύνη στην αντιμετώπισή της». Μέχρι στιγμής τα διαθέσιμα στοιχεία, σύμφωνα με την ταξινόμηση του Healey, την κατηγοριοποιούν ως «αγνοούμενη από το κράτος». Δηλαδή μια «εθνική κυβέρνηση γνωρίζει τις επιθέσεις τρίτων, αλλά δεν είναι πρόθυμη να λάβει επισήμως δράση».
Από την πλευρά του το Κρεμλίνο αρνήθηκε κατηγορηματικά ότι εθελοτυφλεί στην περίπτωση της DarkSide. «Η Ρωσία δεν έχει καμία σχέση», δήλωσε ο εκπρόσωπος του Vladimir Putin, Dmitry Peskov. Οι υπαινιγμοί για ρωσική συμμετοχή σε μεγάλες επιχειρήσεις πειρατείας, όμως, έχουν γίνει πλέον καθημερινές. Μόλις πριν από ένα μήνα, ο Biden επέβαλε κυρώσεις στη Ρωσία για παραβίαση των SolarWinds, όταν τα δίκτυα τουλάχιστον εννέα ξεχωριστών ομοσπονδιακών υπηρεσιών και εκατό ιδιωτικών εταιρειών βρέθηκαν σε κίνδυνο από τις ρωσικές υπηρεσίες πληροφοριών. «Στη Ρωσία είμαστε συνηθισμένοι σε ισχυρισμούς ότι χακάρουμε τον καθένα και τα πάντα», είπε ειρωνικά ο Lukatsky.
Εν τω μεταξύ, τα ρωσόφωνα φόρουμ κυβερνοεγκλημάτων απ’ όπου η DarkSide έβρισκε τους χάκερς - πελάτες της, πλέον της απαγορεύουν την είσοδο. Η λέξη «λύτρα» έχει γίνει επικίνδυνη και τοξική έγραψε ένας διαχειριστής, σημειώνοντας ότι το τελευταίο πράγμα που θέλουν οι Ρώσοι εγκληματίες χάκερς και οι συνεργάτες τους είναι να δημιουργήσουν προβλήματα στο Κρεμλίνο. «Ο Peskov αναγκάζεται να βρίσκει δικαιολογίες μπροστά στους “φίλους” μας από το εξωτερικό - αυτό είναι ανοησία και σημάδι ότι τα πράγματα έχουν παρατραβήξει».
Ωστόσο, κανείς δεν περιμένει να σταματήσει αυτή η κατάσταση. Ορισμένα από τα μεγαλύτερα ransomware-as-a-service λογισμικά ανακοίνωσαν ότι θα επιδιώξουν «ιδιωτική» λειτουργία, παύοντας να διαφημίζονται στο λεγόμενο σκοτεινό διαδίκτυο (Dark Web), ενώ θα δέχονται μόνο συνεργαζόμενους χάκερς που γνωρίζουν και εμπιστεύονται. Είπαν επίσης ότι θα ελέγχουν τους στόχους τους με μεγαλύτερη επιμέλεια πριν τους «χτυπήσουν». Όσο για την ομάδα DarkSide, πιθανότατα θα ανασυγκροτηθεί και θα πλασαριστεί σε λίγο καιρό ως νέο, ακόμα πιο εξειδικευμένο προϊόν. «Τέτοιοι άνθρωποι δεν παραμένουν εκτός εργασίας για πάντα», δήλωσε ο Dmitry Volkov, επικεφαλής τεχνολογίας του Group- IB, μιας εταιρείας κυβερνοασφάλειας της Μόσχας.
