Atak jak zbrojny napad? Dane brytyjskiej służby zdrowia i energetyki trafiły do rąk hakerów powiązanych z Rosją i są sprzedawane w darknecie
Skala wycieku – dziesiątki tysięcy danych dostępowych do NHS, aptek, laboratoriów i firm energetycznych – każe ekspertom pytać, czy Londyn i NATO nie powinny wreszcie traktować takich ataków jako równoważne agresji zbrojnej.
Ponad trzydzieści tysięcy zweryfikowanych danych logowania do systemów brytyjskiego rządu, samorządów, ambasad oraz kluczowych podmiotów infrastruktury krytycznej – w tym Narodowej Służby Zdrowia (NHS), sieci aptek, laboratoriów i firm energetycznych – trafiło w ręce cyberprzestępców w ramach kampanii określanej jako „FortiBleed”. Jak podaje brytyjski „The Telegraph”, skradzione dane są obecnie oferowane na forach darknetowych za kwoty sięgające sześćdziesięciu tysięcy dolarów.
Sprawcy wykorzystali lukę w zaporach sieciowych i bramach VPN produkcji Fortinet, atakując metodą tzw. brute force ponad osiemdziesiąt tysięcy urządzeń na całym świecie. Wykorzystywano przy tym dane logowania wyciekłe wcześniej z innych incydentów, testując je systematycznie na urządzeniach podłączonych do internetu – zwłaszcza tych bez uwierzytelniania wieloskładnikowego. Badacz cyberbezpieczeństwa Wołodymyr Diaczenko, który jako pierwszy zidentyfikował kampanię, ocenił, że skompromitowane urządzenia mogły posłużyć jako punkty wyjścia do głębszej penetracji sieci rządowych.
Szpitale i apteki na celowniku
Szczególny niepokój budzi fakt, że wśród ofiar znalazły się podmioty ochrony zdrowia. Saif Abed, były lekarz NHS, a obecnie ekspert ds. cyberbezpieczeństwa, ostrzegł „Telegraph”, że szpitale, apteki i laboratoria są w dużym stopniu zależne od produktów takich jak te, które zostały skompromitowane w ramach kampanii FortiBleed. Jego zdaniem to dokładnie ten typ ataku, który zwykle poprzedza rozległe kampanie ransomware zdolne zagrozić bezpieczeństwu pacjentów w całym kraju.
„To dokładnie ten typ ataku, który zazwyczaj jest pierwszym krokiem do rozległych kampanii ransomware zagrażających bezpieczeństwu pacjentów w całym kraju.”
Eksperci przypominają przy tym ubiegłoroczny atak na dostawcę usług laboratoryjnych Synnovis, powiązany z aktorami rosyjskimi, w wyniku którego brytyjskie szpitale musiały odwołać ponad tysiąc operacji i około dwóch tysięcy wizyt lekarskich. Powtarzalność takich scenariuszy – celowanie w placówki medyczne, a nie wyłącznie w instytucje rządowe – zdaniem analityków wykracza poza granice klasycznego szpiegostwa.
Najważniejsze fakty
- Kampania FortiBleed wykorzystuje zrecyklowane hasła i atak brute force wobec ponad 80 tys. urządzeń Fortinet w 194 krajach.
- Skradziono ponad 30 tys. zweryfikowanych danych dostępowych, m.in. do brytyjskiego MSZ, samorządów i ambasad.
- Wśród ofiar są NHS, apteki, laboratoria oraz firmy energetyczne.
- Złośliwy kod napisano w języku rosyjskim; sprzedawca danych posługuje się pseudonimem „SantaAd”.
- Bezpośredniego dowodu na zaangażowanie rosyjskiego państwa dotąd oficjalnie nie potwierdzono, Londyn od lat wskazuje jednak na tolerowanie takich grup przez Moskwę.
Energetyka jako cel strategiczny
Obecność firm energetycznych wśród ofiar wpisuje się w znany schemat rosyjskiej presji wobec Europy – od wykorzystywania dostaw gazu jako narzędzia nacisku politycznego, przez incydenty wokół infrastruktury podmorskiej na Bałtyku, po wcześniejsze próby penetracji systemów sterowania sieciami energetycznymi w państwach bałtyckich i skandynawskich. Atak na brytyjski sektor energetyczny można odczytywać jako cyfrową kontynuację tradycyjnej polityki energetycznego szantażu – tym razem bez konieczności fizycznego przykręcania kurka, wystarczy podważyć zaufanie do bezpieczeństwa systemów, od których zależą dostawy prądu i gazu.
Komentarz redakcyjny
Podobne operacje odnotowano w ostatnich miesiącach również wobec Niemiec, Danii i samej Polski, co coraz częściej skłania analityków do mówienia o stanie permanentnej wojny hybrydowej, w której autorytarna Rosja systematycznie testuje odporność zachodnich demokracji. Otwarta sprzedaż skradzionych danych brytyjskich dyplomatów i pracowników infrastruktury krytycznej w darknecie pokazuje, że rosyjskie operacje cybernetyczne przybierają cechy zagrożenia systemowego na poziomie polityki państwowej. To powinno skłonić Londyn i sojuszników z NATO do radykalnego wzmocnienia strategii cyberobrony – ataki na placówki ochrony zdrowia czy energetykę powinny być traktowane jako odpowiednik napaści zbrojnej, z odpowiednimi konsekwencjami politycznymi, gospodarczymi i prawnymi wobec Rosji.
Co dalej
Brytyjskie Narodowe Centrum Cyberbezpieczeństwa (NCSC) potwierdziło charakter ataku jako kampanię brute force i wezwało organizacje korzystające z urządzeń Fortinet do natychmiastowego audytu sieci, izolacji skompromitowanych urządzeń i zmiany haseł. Eksperci ostrzegają jednak, że sama zmiana haseł może nie wystarczyć – w przypadku braku uwierzytelniania wieloskładnikowego napastnicy mogli już zdążyć uzyskać głębszy dostęp do sieci. Sprawa FortiBleed prawdopodobnie stanie się kolejnym argumentem w toczącej się w NATO i Unii Europejskiej debacie nad tym, czy dotychczasowe instrumenty sankcyjne i dyplomatyczne są w ogóle adekwatne wobec skali rosyjskich działań w cyberprzestrzeni.
Autor: Michał Sokołowski
