Sandworm

Tekst
0
Recenzje
Przeczytaj fragment
Oznacz jako przeczytane
Jak czytać książkę po zakupie
Czcionka:Mniejsze АаWiększe Aa




Dane oryginału

Original edition copyright © 2019 by Andy Greenberg. Title of English-language original: Sandworm: a new era of cyberwar and the hunt for the Kremlin’s most dangerous hackers by Andy Greenberg, ISBN 9780385544405. Polish-language edition © 2021 by Polish Scientific Publishers PWN Wydawnictwo Naukowe PWN Spółka Akcyjna. All Rights reserved.

This Translation published by arrangement with Doubleday, an imprint of The Knopf Doubleday Group, a division of Penguin Random House LLC. (Tłumaczenie zostało opublikowane w porozumieniu z Doubleday, imprintem The Knopf Doubleday Group, oddziałem Penguin Random House LLC).

Przekład: Ewa Sławińska

Projekt okładki polskiego wydania: Joanna Andryjowicz

Wydawca: Wioleta Szczygielska-Dybciak

Redaktor prowadzący: Monika Zabrocka-Kutera

Redaktor: Anna Marecka

Koordynator produkcji: Anna Bączkowska

Skład wersji elektronicznej na zlecenie Wydawnictwo Naukowe PWN

Michał Latusek

Konsultant merytoryczny

Paweł Krzywicki, Security Researcher i Red Teamer w Intel

Recenzenci

prof. dr hab. Edward Czapiewski

prof. dr hab. Jarosław Gryz

Zastrzeżonych nazw firm i produktów użyto w książce wyłącznie w celu identyfikacji.

Książka, którą nabyłeś, jest dziełem twórcy i wydawcy. Prosimy, abyś przestrzegał praw, jakie im przysługują. Jej zawartość możesz udostępnić nieodpłatnie osobom bliskim lub osobiście znanym. Ale nie publikuj jej w internecie. Jeśli cytujesz jej fragmenty, nie zmieniaj ich treści i koniecznie zaznacz, czyje to dzieło. A kopiując jej część, rób to jedynie na użytek osobisty.

Szanujmy cudzą własność i prawo

Więcej na www.legalnakultura.pl

Polska Izba Książki

Copyright © for the Polish edition by Wydawnictwo Naukowe PWN S.A.

Warszawa 2021

ISBN: 978-83-01-21989-5

eBook został przygotowany na podstawie wydania papierowego z 2021r. (Wydanie I)

Warszawa 2021

Wydawnictwo Naukowe PWN SA

02-460 Warszawa, ul. Gottlieba Daimlera 2

tel. 22 69 54 321, faks 22 69 54 288

infolinia 801 33 33 88

e-mail: pwn@pwn.com.pl, reklama@pwn.pl www.pwn.pl

SPIS TREŚCI

Wstęp

Prolog

CZĘŚĆ I. POWSTANIE

1. Luka zero-day

2. BlackEnergy

3. Arrakis02

4. Zwiększaj siłę

5. StarLightMedia

6. Od Hołodomoru po Czarnobyl

7. Od Majdanu po Donbas

8. Blackout

9. Delegacja

Część II. POCZĄTEK

10. Retrospekcje: Aurora

11. Retrospekcje: Moonlight Maze

12. Retrospekcje: Estonia

13. Retrospekcje: Gruzja

14. Retrospekcje: Stuxnet

Część III. EWOLUCJA

15. Ostrzeżenia

16. Fancy Bear

17. FSociety

18. Poligon

19. Industroyer/Crash Override

Część IV. APOTEOZA

20. Maersk

21. Shadow Brokers

22. EternalBlue

23. Mimikatz

24. NotPetya

25. Katastrofa narodowa

26. Awaria

27. Koszt

28. Skutki

29. Odległość

Część V. TOŻSAMOŚĆ

30. GRU

31. Dezerterzy

32. Informatsionnoye protivoborstwo

33. Kara

34. Bad Rabbit, Olympic Destroyer

35. Fałszywe flagi

36. 74455

37. Wieża

38. Rosja

39. Słoń i rebelianci

Część VI. WNIOSKI

40. Genewa

41. Black Start

42. Odporność

Epilog

Dodatek. Powiązanie grupy Sandworm z hakowaniem francuskich wyborów

Podziękowania

Źródła

Bibliografia

O autorze

Przypisy

WSTĘP

27 czerwca 2017 roku coś dziwnego i strasznego zaczęło rozprzestrzeniać się w infrastrukturze na całym świecie.

W Pensylwanii część szpitali zaczęła przesuwać operacje oraz odsyłać pacjentów do domów. W Tasmanii fabryka Cadbury przestała produkować czekoladki. Gigant farmaceutyczny Merck przestał produkować szczepionki przeciw wirusowi brodawczaka ludzkiego (HPV).

Następnie siedemnaście terminali w portach na całym świecie, należących do największej na świecie firmy żeglugowej Maersk, przestało działać. Przez to dziesiątki tysięcy ciężarówek przewożących kontenery stanęły w korkach za bramami tych portów. Ogromne statki załadowane setkami tysięcy ton ładunku dobijały do brzegu tylko po to, by dowiedzieć się, że nie ma kto ich rozładować. Główne elementy powiązanych ze sobą i zautomatyzowanych systemów na świecie zdawały się samoistnie zapominać, jak funkcjonować, niczym ofiary epidemii bakterii zjadających mózg.

W epicentrum ataku, na Ukrainie, skutki technologicznej katastrofy były bardziej odczuwalne. Przestały działać bankomaty oraz płatności kartami kredytowymi. Transport masowy został sparaliżowany w stolicy kraju – Kijowie. Agencje rządowe, lotniska, szpitale, poczta, nawet naukowcy monitorujący poziomy radioaktywności w ruinach elektrowni jądrowej w Czarnobylu, wszyscy bezradnie obserwowali, jak praktycznie każdy komputer w sieci został zainfekowany i wyczyszczony tajemniczym złośliwym kodem.

 

Tak właśnie wygląda cyberwojna: niewidzialna siła zdolna uderzyć znikąd, by sabotować na masową skalę technologie stanowiące fundament cywilizacji.

Przez dziesięciolecia analitycy od cyberbezpieczeństwa ostrzegali nas, że ten moment nadejdzie. Ostrzegali nas, że hakerzy wkrótce zrobią krok naprzód i zamiast zwykłymi przestępstwami lub nawet szpiegowaniem sponsorowanym przez państwa zajmą się wykorzystywaniem luk w scyfryzowanej, najistotniejszej infrastrukturze współczesnego świata. W 2007 roku rosyjscy hakerzy, bombardując Estonię cyberatakami, pokazali potencjalną skalę geopolitycznego hakowania, sprawiając, iż praktycznie każda strona internetowa była offline. Dwa lata później złośliwe oprogramowanie NSA o nazwie Stuxnet potajemnie przyspieszyło pracę irańskich wirówek wzbogacania nuklearnego, aż uległy one samozniszczeniu. Ta operacja także dawała przedsmak tego, co może nadejść, oraz udowadniała, że narzędzia cyberwojny mogą wykraczać poza świat cyfrowy i skutkować katastrofami w nawet najbardziej strzeżonych i wrażliwych elementach świata fizycznego.

Lecz dla osób, które obserwowały wojnę rosyjską na Ukrainie od początku 2014 roku, widoczne były wyraźniejsze i bardziej bezpośrednie sygnały. Począwszy od 2015 roku, fale złośliwych cyberataków zaczęły atakować ukraiński rząd, media i transport. Ich kulminacją były pierwsze w historii przerwy w dostawie prądu spowodowane przez hakerów, które odcięły od zasilania setki tysięcy cywilów.

Niewielka grupa naukowców zaczęła alarmować, w głównej mierze na próżno, że Rosja zamienia Ukrainę w laboratorium do testowania cyberwojennych innowacji. Ostrzegali, że te usprawnienia mogą wkrótce zostać wykorzystane przeciwko Stanom Zjednoczonym, NATO i beztroskiej reszcie świata, która nie jest przygotowana na nowy wymiar wojny. Wskazywali też na jedną grupę hakerów wspieranych przez Kreml, którzy – wydawało się – są odpowiedzialni za wypuszczanie tych bezprecedensowych broni masowego zniszczenia, grupę zwaną Sandworm.

W ciągu następnych dwóch lat grupa Sandworm nasili swoje ataki, wyróżniając się jako najniebezpieczniejsza grupa hakerów na świecie, na nowo definiująca cyberwojnę. Wreszcie nadchodzi pamiętny dzień pod koniec czerwca 2017 roku. Wtedy grupa wypuszcza robaka, który wstrząśnie światem, znanego jako NotPetya. Obecnie uważany jest za najbardziej niszczycielski i kosztowny malware w historii. Tymi atakami hakerzy z Sandworm jak nigdy wcześniej udowodnili, że zaawansowani technologicznie i sponsorowani przez państwo hakerzy mogą, z precyzją wojskowej jednostki szpiegowskiej, dokonać ataku na każdą odległość, rujnując tym podstawowe elementy ludzkiego życia, uderzając w powiązane i zależne od siebie systemy z nieprzewidywalnymi i katastrofalnymi skutkami.

Aktualnie całe niebezpieczeństwo ze strony grupy Sandworm i im podobnych zagraża przyszłości. Jeżeli cyberwojna będzie nasilać się bez nadzoru, ofiary mogą paść celem jeszcze bardziej złośliwych i niszczycielskich robaków wypuszczonych przez hakerów, których sponsoruje państwo. Ataki cyfrowe po raz pierwszy wykonane na Ukrainie zwiastują świat, w którym hakerzy wywołują przerwy w dostawie prądu trwające dni, tygodnie lub nawet dłużej, celowo pozbawiając kraje elektryczności. Efekty mogą przypominać skutki huraganu Maria, który przeszedł przez Portoryko, powodując ogromne szkody ekonomiczne, a nawet śmierć wielu istnień. Świat, w którym hakerzy niszczą fizyczny sprzęt w zakładach przemysłowych, powodując śmiertelny chaos. Tudzież, jak w przypadku ataku NotPetya, świat, gdzie po prostu czyści się setki tysięcy komputerów w najważniejszym momencie, by wykazać, że systemy wroga i infrastruktura są podatne na takie ataki.

Ta książka opowiada o grupie hakerów zwanych Sandworm, będących jak dotąd najlepszym przykładem terrorystów specjalizujących się w cyberwojnie. Przedstawia wieloletnią pracę detektywów śledzących tych hakerów (ślady grupy Sandworm widoczne były w kolejnych cyfrowych katastrofach), aby ich zidentyfikować i zlokalizować oraz by zwrócić uwagę na niebezpieczeństwa, jakie niesie ta grupa, mając desperacką nadzieję na jej powstrzymanie.

Lecz Sandworm to nie tylko historia o jednej grupie hakerów lub o niebezpieczeństwie spowodowanym bezmyślną chęcią Rosji do prowadzenia tej nowej formy cyberwojny na całym świecie. To także historia o większym i ogólnoświatowym wyścigu zbrojeń, który trwa do dziś. Stany Zjednoczone oraz Zachód nie tylko nie zatrzymały tego wyścigu, lecz nawet bezpośrednio przyspieszyły go gwałtowanie za pomocą cyfrowych narzędzi. W ten sposób zaprosiliśmy do naszego świata nową, nieprzewidywalną siłę chaosu.

PROLOG

Kiedy światła gasną, zegary się zerują.

Sobotnią noc grudnia 2016 roku Oleksii Jasiński spędzał z żoną i nastoletnim synem na kanapie w salonie swojego mieszkania w Kijowie. Czterdziestoletni specjalista od cyberbezpieczeństwa wraz z rodziną oglądali właśnie film Snowden Olivera Stone’a, gdy nagle ich blok został odcięty od prądu.

– Hakerzy nie chcą, byśmy dokończyli oglądać film – zażartowała żona Jasińskiego, nawiązując do wydarzeń, do których doszło na dwa dni przed świętami Bożego Narodzenia 2015 roku, kiedy to cyberatak pozbawił elektryczności prawie ćwierć miliona Ukraińców.

Jednak Jasińskiemu, który był głównym analitykiem sądowym w kijowskiej firmie zajmującej się cyberbezpieczeństwem, nie było do śmiechu. Spojrzał na zegarek stojący na biurku: była 00:00. Dokładnie północ.

Telewizor był podpięty do listwy zasilającej, która zabezpieczała przed skutkami przepięć, toteż pokój oświetlały migotające obrazy. Listwa zabezpieczająca zaczęła żałośnie piszczeć. Jasiński wstał, wyłączył listwę i nagle nastała cisza. Poszedł do kuchni, wyjął parę świec i je zapalił. Potem podszedł do okna. Szczupły inżynier o jasnobrązowych włosach spojrzał na miasto. Nigdy wcześniej nie widział go takim, całe było spowite w ciemnościach. Tylko szary blask odległych świateł odbijał się od zachmurzonego nieba, zarysowując czarne bryły nowoczesnych mieszkań i radzieckich wieżowców.

Biorąc pod uwagę dokładną godzinę i datę ataku z grudnia 2015 roku, Jasiński był pewien, że to nie przypadek. Pomyślał o zimnie na zewnątrz, temperatura przekraczała –17 stopni Celsjusza, o temperaturze w domach, która powoli spadała, i o odliczaniu, ile minie czasu, nim zamarzną rury pozbawione ciepła.

Właśnie wtedy do głowy przyszła mu kolejna chora myśl: przez ostatnie 14 miesięcy znajdował się w centrum ogarniętym kryzysem. Rosnąca liczba ukraińskich firm i agencji rządowych zgłaszała się do niego, by przeanalizował plagę cyberataków, które bezustannie je nękały. Wyglądało na to, że za tym wszystkim stoi jedna grupa hakerów. Teraz nie mógł powstrzymać wrażenia, że zjawy, które śledził od ponad roku, za pomocą sieci dotarły do jego domu.

CZĘŚĆ I POWSTANIE

Wykorzystaj pierwsze momenty na obserwację. Możesz przez to stracić okazje do szybkiego zwycięstwa, lecz chwile obserwacji są gwarancją sukcesu. Nie śpiesz się i bądź pewny swego. (s. 616)[1]

1. Luka zero-day

Za Beltway, gdzie kompleks służb specjalnych Waszyngtonu ustępuje miejsca parkingom i biurowcom z logami firm, których nikt nie pamięta, w Chantilly, w stanie Wirginia stoi budynek. Na czwartym piętrze tego budynku znajduje się pokój pozbawiony okien, jego ściany pomalowane są matową farbą koloru czarnego, tak by nie docierało do środka żadne światło.

W 2014 roku, nieco ponad rok przed wybuchem cyberwojny na Ukrainie, mała prywatna firma wywiadowcza iSight Partners nazwała to miejsce black room, czyli czarny pokój. Wewnątrz pracował dwuosobowy zespół odpowiedzialny za wyszukiwanie luk w oprogramowaniu. Praca, którą wykonywał, wymagała tak dużego skupienia, że specjaliści nalegali, by pomieszczenie, w którym pracują, pozbawione było wszelkich czynników rozpraszających.

To właśnie ta para wysoko wykwalifikowanych specjalistów po raz pierwszy w środę rano zwróciła się z prośbą do Johna Hultquista. Tego dnia Hultquist usiadł rano przy swoim biurku w znacznie lepiej oświetlonym i z prawdziwymi oknami biurze znajdującym się po przeciwnej stronie iSight. Otworzył e-mail od swoich kolegów z firmy iSight, którzy monitorowali sytuację na Ukrainie. W środku e-maila znalazł prezent, pracownicy z Kijowa byli pewni, że znaleźli lukę zero-day w systemie.

Luka zero-day w żargonie hakerów to ukryta luka w zabezpieczeniach oprogramowania, o której nie wie firma tworząca i utrzymująca oprogramowanie. Nazwa pochodzi od faktu, iż zainfekowana firma ma „zero dni” na odpowiedź i opublikowanie aktualizacji, by chronić swoich użytkowników. Gdy luka jest wystarczająco potężna, pozwala hakerowi wyjść poza zainfekowaną aplikację i wykonywać własny kod na zaatakowanym komputerze. Komputer staje się wtedy punktem dostępowym – darmowym przejściem, które pozwala uruchomić podatne oprogramowanie w każdym miejscu na świecie, gdzie ofiara połączy się z siecią.

Hultquist z ukraińskiego biura firmy iSight otrzymał plik PowerPoint w załączniku. Wyglądało na to, że ukradkiem uruchamiał dokładnie takie wykonanie kodu w jednym z najczęściej używanych programów na świecie – Microsoft Office.

Gdy Hultquist czytał e-maila, w jego głowie zaświeciła się czerwona lampka. Jeżeli Ukraińcy mieli rację, oznaczało to, że nieznani hakerzy mają możliwość i mogą wykorzystać ją, by zhakować każdy komputer. Należało natychmiast powiadomić firmę Microsoft. Co więcej, odkrycie to stanowiło kamień milowy dla tak małej firmy jak iSight, dawało nadzieję na zaistnienie i pozyskanie klientów w rozwijającej się branży „analizy zagrożeń”. Firma znajdowała tylko dwie lub trzy ukryte luki rocznie. Każda z nich była swego rodzaju abstrakcją, osiągnięciem zaspokajającym niezwykle niebezpieczną ciekawość. – Dla małej firmy znalezienie takiej perełki było bardzo satysfakcjonujące – mówi Hultquist. – To była dla nas wielka sprawa.

Hultquist, głośny i barczysty, wiecznie uśmiechnięty z czarną grubą brodą były żołnierz pochodzący ze wschodniej części Tennessee, wrzasnął kilkukrotnie zza swojego biurka w stronę głównego pokoju. Po jednej stronie znajdowali się eksperci od malware, a po drugiej analitycy zagrożeń skupiający się na zrozumieniu geopolitycznych motywów tych ataków. Po przeczytaniu wiadomości Hultquist wypadł ze swojego biura i zaczął przydzielać zadania pracownikom w głównym pokoju. Wtedy jeszcze nie wiedzieli, że zajmują się jednym z największych odkryć w historii tej małej firmy.

Lecz to właśnie w black roomie pasjonaci hakowania zaczęli zmagać się ze znaczeniem odkrycia firmy iSight: małym, ukrytym cudem złośliwej inżynierii.

Pracując na komputerach, których świecące monitory były jedynym źródłem światła w pokoju, inżynierzy wsteczni rozpoczęli od ciągłego uruchamiania pliku PowerPoint zainfekowanego malware na maszynach wirtualnych – krótkotrwałych symulacjach komputerów w czasie rzeczywistym odizolowanych od rzeczywistego, fizycznego komputera jak ich pokój od reszty biura firmy iSight.

W tych zabezpieczonych kontenerach można oglądać kod niczym skorpiona przez szkło akwarium. Pozwalało to inżynierom wstecznym uruchomić wiele maszyn wirtualnych z różnymi wersjami systemu Windows i pakietu Microsoft Office, aby odkryć, które z nich są podatne na te ataki. Udało im się ustalić, że kod z pliku PowerPoint może przejąć kontrolę nawet nad najnowszymi i zaktualizowanymi wersjami oprogramowania. Wtedy ich przypuszczenia potwierdziły się, luka okazała się bardzo rzadka i potężna. Późnym wieczorem – nawet nie zauważyli, ile czasu minęło – mieli już gotowy raport dla firmy Microsoft i ich klientów, a także przepisali kod, by móc go zademonstrować podobnie jak patogen w probówce.

Jon Erickson, jeden ze specjalistów, stwierdził, że program PowerPoint ma „niezwykłe moce”. Przez lata ewoluował, stając się maszyną Rube Goldberga wyposażoną w dużej mierze w niepotrzebne funkcje, tak skomplikowane, że praktycznie mógł służyć jako język programowania. Ktokolwiek wykorzystał tę lukę, skupił się na jednej funkcji, która pozwalała umieścić „obiekt” w prezentacji, na przykład wykres lub wideo pobierane z zasobów plików programu PowerPoint lub bezpośrednio z sieci.

 

W tym przypadku hakerzy użyli tej funkcji, by ostrożnie umieścić dwa fragmenty danych w prezentacji. Pierwszy ładuje się w folderze tymczasowym na zaatakowanym komputerze. Drugi wykorzystuje funkcję animacji programu PowerPoint: animacje nie tylko sprawiają, że prezentacja jest ciekawsza, w rzeczywistości wykonują komendy na komputerze, na którym prezentacja jest wyświetlana. W momencie gdy prezentacja załaduje ten plik animacji, uruchomi on automatyczny skrypt, który sam kliknie prawym przyciskiem myszy pierwszy plik załadowany na komputerze, a następnie kliknie „zainstaluj” w menu. Wirus zostaje zainstalowany na komputerze użytkownika bez jego wiedzy. Wygląda to na niewinną paczkę pozostawioną przed drzwiami, która po wniesieniu do domu kiełkuje, rozrasta się, rozcina pudełko i wypuszcza małe roboty, a w rezultacie zajmuje cały korytarz. Wszystko to stanie się natychmiast i niedostrzegalnie, w momencie gdy ofiara kliknie dwukrotnie w załącznik, aby go otworzyć.

Erickson, inżynier wsteczny, który jako pierwszy zajął się luką zero-day w black room firmy iSight, wspomina swoją pracę rozpakowania i rozbrajania ataku jako dość rzadkie, fascynujące, ale całkowicie bezosobowe wydarzenie. W swojej karierze miał do czynienia tylko z kilkoma lukami tego typu poza swoim „laboratorium”. Natomiast przeanalizował tysiące próbek malware i nauczył się traktować je bezosobowo jak próbki do badań, bez wpływu na to, kto jest ich autorem. – Był to po prostu nieznany człowiek i nieznana rzecz, których dotąd nie widziałem – mówił.

Lecz luka zero-day miała swoich twórców. Tego ranka w swoim zaciemnionym warsztacie Erickson nie tylko rozkładał na czynniki pierwsze zwyczajną łamigłówkę, lecz także podziwiał pierwsze wskazówki zdalnej, wrogiej inteligencji.

2. BlackEnergy

Po ochłonięciu z powodu odkrycia luki pozostały pytania: kto napisał ten kod? Kto był jego celem i dlaczego?

Z tymi pytaniami John Hultquist zwrócił się do Drew Robinsona, którego nazywał dziennym wampirem. Robinson posiadał te same umiejętności co inżynierzy wsteczni siedzący niczym wampiry w zaciemnionym pokoju, lecz siedział w nasłonecznionym pokoju tuż obok biura Hultquista. Odpowiedzialny był za o wiele szerszą analizę zachowań hakerów, od osób, które ich zatrudnili, po motywy polityczne. Zadaniem Robinsona było śledzenie technicznych wskazówek, w tym pliku programu PowerPoint, tak by rozwiązać większą tajemnicę tajnej operacji.

Kilka minut po tym, jak Hultquist wszedł do pokoju, by ogłosić wyniki wspólnej ciężkiej pracy odkrycia luki zero-day w programie PowerPoint, Robinson zastanawiał się nad zawartością załączonej pułapki. Prezentacja wyglądała na zwykłą listę nazwisk pisanych cyrylicą na tle niebiesko-żółtej flagi ukraińskiej, ze znakiem wodnym ukraińskiego herbu – jasnoniebieskim trójzębem na żółtej tarczy. Po przetłumaczeniu ich w tłumaczu Google Robinson odkrył, że są to nazwiska rzekomych „terrorystów”, osób, które stanęły po stronie Rosji w ukraińskim konflikcie rozpoczętym w tym samym roku. Wojska rosyjskie zaatakowały wschód kraju i półwysep krymski, podżegając separatystów, co doprowadziło do wojny.

Pierwszą wskazówką dla Robinsona był fakt, że hakerzy wybrali antyrosyjską treść wiadomości do rozprzestrzenienia luki typu zero-day. Mogło to wskazywać właśnie na rosyjską operację skierowaną przeciwko ukraińskim celom, wykorzystując patriotyzm kraju i strach przed zwolennikami Kremla. Lecz kiedy szukał wskazówek na temat hakerów stojących za tą sztuczką, szybko znalazł kolejny sznurek do pociągnięcia. Kiedy w programie PowerPoint aktywowała się luka typu zero-day, plik zapisywany w systemie ofiary okazał się typem słynnego malware, by wkrótce okazać się jeszcze bardziej znanym malware. Nazywał się on BlackEnergy.

Krótka historia BlackEnergy zawierała już w pewnym sensie swoją własną podstawę w klasyfikacji typowych operacji hakerskich, zaczynając od tzw. script kiddies – hakerów tak słabo wykwalifikowanych, że są w stanie korzystać tylko z narzędzi napisanych przez bardziej profesjonalnych hakerów – po profesjonalnych cyberprzestępców. Pierwotnie narzędzie to zostało stworzone przez rosyjskiego hakera Dmytro Oleksiuka, znanego w hakerskim świecie jako Cr4sh. Około 2007 roku Oleksiuk sprzedał BlackEnergy na rosyjskim forum hakerów za około 40 dolarów, podpisując się w rogu panelu sterowania symbolem rączki.

Narzędzie zostało zaprojektowane tylko w jednym celu, tak zwanej rozproszonej odmowy usług (DDoS). To ataki polegające na wysłaniu zapytań z setki lub tysięcy komputerów jednocześnie, powodując odcięcie ich od sieci. Zainfekuj komputer ofiary BlackEnergy, a stanie się członkiem tak zwanego botnetu, zbiorem zhakowanych komputerów lub botów. Operator botnetu może skonfigurować przyjazne dla użytkownika (user-friendly) oprogramowanie Oleksiuka, tak by kontrolować, która strona internetowa zostanie zaatakowana, jakim rodzajem ataku oraz ich częstotliwość.

Pod koniec 2007 roku firma Arbor Networks, zajmująca się cyberbezpieczeństwem, zliczyła ponad trzydzieści botnetów zbudowanych z Black-Energy, skupiających głównie swoje ataki na rosyjskie strony internetowe. Jednak na tle wyrafinowanych cyberataków ataki DDoS były w dużej mierze prymitywne i proste. Ostatecznie mogą powodować kosztowne przerwy w działaniu stron, lecz nie powodują poważnych naruszeń danych, jak to bywa w przypadku innych technik hakerskich.

Jednak przez lata malware BlackEnergy ewoluował. Firmy zajmujące się cyberbezpieczeństwem zaczęły wykrywać nową wersję oprogramowania, wyposażoną w wiele zamiennych funkcji. Ta odnowiona i ulepszona wersja nadal mogła atakować strony internetowe atakami DDoS, lecz teraz można ją było także zaprogramować, by wysyłała spam, niszczyła pliki na zainfekowanych komputerach oraz pozwalała na kradzież bankowych nazw użytkowników i haseł[I].

Teraz, na oczach Robinsona, BlackEnergy powrócił w jeszcze nowszej wersji. Wersja, na którą patrzył przy swoim biurku w biurze firmy iSight, wydawała się różnić od tej, o której czytał wcześniej – z pewnością nie było to proste narzędzie do ataków na strony internetowe i prawdopodobnie nie służyło do oszustw finansowych. Mimo wszystko, dlaczego cyberatak służący do oszustw finansowych miał używać listy prorosyjskich terrorystów jako przynęty? Wyglądało na to, że pułapka jest ukierunkowana politycznie. Od pierwszej chwili, gdy spojrzał na próbkę ukraińskiego BlackEnergy, zaczął podejrzewać, że patrzy na wersję kodu z nowym celem: nie ze zwykłym przestępstwem, lecz ze szpiegostwem[II].

Wkrótce Robinson dokonał kolejnego niezwykłego odkrycia, które ujawniło więcej informacji na temat celu malware. Kiedy uruchomił malware na maszynie wirtualnej, próbował on połączyć się z adresem IP gdzieś w Europie. Natychmiast zauważył, że było to połączenie z serwerem dowodzenia (CCServer), który może zdalnie zarządzać atakami. Robinson był mile zaskoczony, gdy udało mu się połączyć ze swojej przeglądarki z tą odległą maszyną. Komputer kontrolujący te ataki w ogóle nie został zabezpieczony, więc każdy mógł do woli przeglądać jego pliki.