Pierwszy przypadek zorganizowanego cyberataku na instytucje finansowe odnotowano w 1999 roku, kiedy to grupa o nazwie J18 w proteście przeciwko forum polityczno-go-spodarczemu G8 zaapelowała do internautów o podjęcie indywidualnych akcji wymierzo-nych w centra finansowe, dzielnice bankowe i międzynarodowe ośrodki władzy korpora-cyjnej10. Jak podały media, hakerzy z Kanady, Niemiec, Izraela i Indonezji przez prawie pięć godzin atakowali komputery co najmniej 20 instytucji, z Giełdą Papierów Wartościowych i bankami włącznie. W wyniku ataków niektóre strony internetowe zostały zablokowane lub wyłączone, ale w sektorze finansowym nie zaistniały poważniejsze szkody11. Kilka lat później, w styczniu 2003 roku, światowe media obiegła wiadomość, że globalna infekcja Internetu robakiem komputerowym Slammer (W32.SQLExp.Worm lub Sapphire) dopro-wadziła do czasowego zamknięcia amerykańskiej giełdy Wall Street oraz do gigantyczne-go paraliżu finansowegigantyczne-go12. Po zażegnaniu zagrożenia okazało się, że doniesienia tego ty-pu były wyolbrzymione lub nawet całkowicie błędne. Niektóre banki i instytucje finansowe miały przejściowe problemy natury technicznej o niewielkiej skali, inne nato-miast wyszły z tej infekcji bez uszczerbku13. W Stanach Zjednoczonych robak unierucho-mił 13 tys. bankomatów na jeden dzień, jednak były to urządzenia tylko jednego banku – Bank of America. Komputery zostały zainfekowane w wyniku zaniedbania administratorów, ponieważ aktualizacja firmy Microsoft uniemożliwiająca robakowi
pe-9 Ibidem.
10 D.E. Denning: Activism, Hacktivism, and Cyberterrorism: The Internet as a Tool for Influencing Foreign Policy, w: Networks and Netwars: The Future of Terror, Crime, and Militancy. J. Arquilla, D. F. Ronfeldt (red.), RAND, Santa Monica, 2001, s. 257.
11 J. Ungoed-Thomas, M. Sheehan: Riot organisers prepare to launch cyber war on City, „Sunday Times” [online], August 15, 1999, www.nettime.org [dostęp: 21.11.2016].
12 J.A. Lewis, Cyber Terror: Missing in Action, w: Technology and Terrorism, Clarke David (red.), Transaction Publisher, New Jersey, 2004, s. 147; M. Loney, SQL Slammer worm wreaks havoc on Internet, ZDNet [online], January 26, 2003, www.
zdnet.com [dostęp: 21.11.2016]; D. Sieberg, D. Bash: Computer worm grounds flights, blocks ATMs. CNN [online], January 26, 2003, http://web.archive.org [dostęp: 21.11.2016].
13 J.A. Lewis, Cyber Terror: Missing…, op.cit., s. 147; No Major Incidents After Internet Disruptions, „The Chosun Ilbo”
[online], January 27, 2003, http://archive.is [dostęp: 21.11.2016].
netrację systemu operacyjnego była dostępna w sieci od sierpnia 2002 roku14. Bankomaty innych sieci działały bez zarzutu15. Także w 2003 roku nieokreślona liczba bankomatów firmy Diebold została zainfekowana robakiem komputerowym Nachi (W32/Nachi lub W32.
Welchia) i w związku z tym krótkotrwale wyłączona z sieci. Właścicielami bankomatów były dwa amerykańskie banki, jednak ich nazw nie podano do wiadomości. Serwisanci firmy Diebold usunęli złośliwy kod z większości zarażonych bankomatów w ciągu jedne-go dnia. Zainfekowane urządzenia wykorzystywały systemy operacyjne Microsoft Windows.
Aktualizacja systemu chroniąca przed penetracją robaka Nachi była dostępna w sieci od ponad miesiąca, jednak najprawdopodobniej wskutek niedbałości serwisantów firmy Diebold nie zostały zaktualizowane systemy we wszystkich bankomatach16.
28 lutego 2011 roku jedna z firm internetowych reklamująca się na oficjalnej stronie Giełdy Papierów Wartościowych w Londynie (London Stock Exchange LSE) umieściła na niej ma-teriał, który przez niektóre przeglądarki internetowe lub programy wirusowe był rozpozna-ny jako oprogramowanie złośliwe. Osoba odwiedzająca witrynę giełdy otrzymywała fałszy-wą informację, że jej komputer jest zainfekowany i należy wykupić specjalny program antywirusowy. Tego rodzaju natrętne, wprowadzające w błąd reklamy internetowe (malwer-tasing) są przez niektóre oprogramowanie rozpoznawane jako złośliwy kod i automatycznie blokowane. Administratorzy strony LSE usunęli z niej wszystkie linki do reklam, a system odzyskał sprawność tego samego dnia17.
25 lutego 2011 roku z powodu usterki sprzętowej przez ponad cztery godziny były błęd-nie wyświetlane ceny akcji18, natomiast 24 kwietnia 2010 roku roku przeprowadzono cybe-ratak, w wyniku którego LSE wyświetlała zaniżone ceny akcji pięciu firm19. Eksperci pod-kreślają, że incydenty tego rodzaju zdarzają się notorycznie na wszystkich większych giełdach na świecie, nie powodują jednak większych perturbacji finansowych.
Niektóre cyberataki w sektorze finansowym charakteryzują się tak dużym rozma-chem lub poziomem zaawansowania użytych narzędzi, że rodzi to podejrzenia cześci
14 R. O’Harrow Jr., Internet Worm Unearths New Holes. „SecurityFocus” [online], 29.01.2003, www.securityfocus.com [dostęp: 21.11.2016].
15 J. Leyden, ATMs, ISPs hit by Slammer worm spread, „The Register” [online], 27th January 2003, www.theregister.co.uk [dostęp: 21.11.2016]; M. Lyons, Threat Assessment of Cyber Warfare. White Paper, University of Washington Homeland Security – CSE P590TU, 7 December 2005, s. 27; J.A. Lewis, Cybersecurity and Critical Infrastructure Protection. Center for Strategic and International Studies[online], January 2006, http://csis.org [dostęp: 21.11.2016], s. 7; R. Lemos,
‘Slammer’ attacks may become way of life for Net. CNET [online], February 6, 2003, http://news.cnet.com [dostęp:
21.11.2016].
16 K. Poulsen, Nachi worm infected Diebold ATMs, „SecurityFocus” [online], 24.11.2003, www.securityfocus.com [dostęp:
21.11.2016]; R. Miller, Nachi Worm turned Cash Machines into scanning engines. „Netcraft”, 25th November, 2003, http://news.netcraft.com [dostęp: 21.11.2016].
17 London Stock Exchange site shows malicious adverst. BBC News [online], 28 February 2011, www.bbc.co.uk, [dostęp:
21.11.2016].
18 L. King, London Stock Exchange is live, no real explanation for outage. „Computer World UK” [online], 25 February 11, www.computerworlduk.com [dostęp: 21.11.2016]; L. King, London Stock Exchange hauled offline after major data problem,
„Computer World UK” [online], 25 February 11, www.computerworlduk.com, [dostęp: 21.11.2016].
19 Attacks on London Stock Exchange under investigation. „The H Security” [online], 1.02.2011, www.h-online.com [dostęp:
21.11.2016].]; L. King, London Stock Exchange ‘under major cyberattack’ during Linux switch. „Computer World UK”
[online], 31 January 11, www.computerworlduk.com [dostęp: 21.11.2016].
Cyberterroryzm...
ekspertów o udział w ich organizowaniu agencji rządowych. Jako przykład można wska-zać wirus o nazwie Gauss, który pod koniec 2011 roku zaczął aktywnie penetrować kom-putery bliskowschodnich instytucji finansowych. Jego najważniejszą funkcją było szpie-gowanie, przechwytywaniu takich danych jak ustawienia konfiguracyjne przeglądarki czy dane autoryzacyjne umożliwiające dostęp do banków libańskich. Po zdobyciu danych wi-rus odsyłał je we wskazane wcześniej miejsca20.
Jak podaje Mirosław Maj, prawie 60% wszystkich infekcji miało miejsce w Libanie, 20% objęło terytorium Izraela, a 10% okolice Palestyny21. Pozostałe państwa to pojedyn-cze przypadki. Głównymi obiektami zainteresowania było sześć libańskich banków:
Fransabank, BLOM Bank, Banque Libano-Française, Credit Libanais, Byblos Bank i Bank of Beirut. Po upływie miesiąca od wykrycia wirusa jego twórcy przerwali łączność zain-fekowanych komputerów z serwerami zarządzającymi (C2 – command & control) i wirus przeszedł w stan uśpienia. Sprawcy cyberataku nie są znani, jednak ze względu na zaawan-sowaną i specyficzną strukturę kodu źródłowego oraz ograniczony, bliskowschodni rejon infekcji, specjaliści podejrzewają, że autorami programu mogli być twórcy wirusów Stuxnet, Flame czy Duqu22.
Do drugiego zdarzenia doszło 20 marca 2013 roku, kiedy to przeprowadzono zmasowa-ny cyberatak („Dark Seul”) na sieci teleinformatyczne najważniejszych banków południo-wokoreańskich, takich jak Nonghyup, Shinhan Bank i Jeju23. Atak doprowadził do unie-ruchomienia wielu bankomatów na terytorium całego kraju oraz spowodował trudności w realizowaniu płatności online oraz za pomocą kart płatniczych24. Awaria sieci trwała co najmniej kilka godzin i stała się pretekstem do spekulacji o cyberataku ze strony Korei Północnej25. Incydent zaistniał po tym, jak rząd Korei Północnej oskarżył Stany Zjednoczone Ameryki oraz Koreę Południową o czasowe wyłączenie ich stron internetowych za pomo-cą wirusa komputerowego26.
20 M. Maj, Gauss, kolejny przedstawiciel bliskowschodniej cyber-inwazji. „CIIP focus”, nr 6, lipiec 2013, s. 3–4; Kaspersky Lab: Kaspersky Lab Discovers ‘Gauss’ – A New Complex Cyber-Threat Designed to Monitor Online Banking Accounts. Virus News [online],9 Aug 2012, www.kaspersky.com [dostęp: 21.11.2016].
21 M. Maj, Gauss, kolejny przedstawiciel…, op.cit., s. 4.
22 Ibidem; J. Leyden, Can YOU crack the Gauss uber-virus encryption?. „The Register” [online], 14th August 2012, www.theregister.co.uk [dostęp: 21.11.2016]. Szerzej: R. Langner, To Kill a Centrifuge. A Technical Analysis of What Stuxnet’s Creators Tried to Achieve. The Langner Group, Arlington\Hamburg\Munich, November 2013.
23 S. McDonell, South Korean police investigate hacking attack. ABC News [online], 21.03.2013, www.abc.net.au [dostęp: 21.11.2016].
24 South Korean banks and media report computer network crash, causing speculation of North Korea cyberattack, FOX News [online], March 20, 2013, www.foxnews.com [dostęp: 21.11.2016]; G. Venere, South Korean Banks, Media Companies Targeted by Destructive Malware. McAfee [online], Mar 20, 2013, http://blogs.mcafee.com [dostęp: 21.11.2016];
L. Sciuto, South Korea Hit Hard by Massive Cyber-Attack. „PBS: NewsHour Extra” [online], April 1, 2013, www.pbs.org [dostęp: 21.11.2016].
25 S. McDonell: South Korean police…, op.cit.; Gov’t confirms Pyongyang link in March cyber attacks, YNA [online], 10.04.2013, http://english.yonhapnews.co.kr[dostęp: 21.11.2016]; H. Choi, Seoul blames Pyongyang for cyber attacks.
„The Korea Herald”, 10.04.2013, www.koreaherald.com [dostęp: 21.11.2016]; YNA [online], N. Korean cyber warfare emerges as ‘existing threat’, 11.04.2013, http://english.yonhapnews.co.kr [dostęp: 21.11.2016].
26 J. Cho: North Korea Eyed in Huge Cyber Attack on South Korea. ABC News [online], March 20, 2013, http://abcnews.
go.com [dostęp: 21.11.2016].
Sektor finansowy jest jednym z nielicznych systemów infrastruktury krytycznej pozosta-jącym w kręgu zainteresowań organizacji terrorystycznych jako potencjalny obiekt ataków w cyberprzestrzeni. Dla przykładu, na przełomie listopada i grudnia 2006 roku Al-Kaida za-groziła przeprowadzeniem serii zmasowanych cyberataków na strony internetowe zachod-nich instytucji finansowych w odwecie za przetrzymywanie w bazie Guantanamo osób po-dejrzanych o terroryzm27. Informacje te doprowadziły do niewielkiego spadku indeksu Dow Jones (o 0,27%), jednak generalnie nie wywołały paniki w świecie biznesu. Mimo upływu wyznaczonego terminu ataków, nie zarejestrowano w sektorze finansowym jakichkolwiek negatywnych incydentów związanych z tymi groźbami28. We wrześniu 2012 roku ugrupo-wanie The Cyber Warriors of Izz ad-Din al-Kassam (uważane za jedno ze skrzydeł Hamasu) przeprowadziło serię cyberataków typu DDoS na wielkie amerykańskie banki i instytucje finansowe29. Incydent ten był odwetem za umieszczenie w Internecie fragmentu antyislam-skiego filmu Innocence od Muslims30. Obiektami ataków zostały witryny Bank of America31, JPMorgan Chase & Co., Wells Fargo32, U.S. Bank Corp., PNC, Capital One, SunTrust Banks33 oraz Regions Financial Corps. Agresorzy zastosowali unikalną taktykę. Zamiast wykorzy-stać do ataku popularne botnety, ogłosili w Internecie, że zapocztkowują ochotniczą kam-panię online pod kryptonimem „Operacja Ababil”, podczas której każdy zainteresowany mo-że uczestniczyć w ataku34. Wystarczyło tylko pobrać specjalny program i uruchomić go we wskazanym momencie, by tym samym rozpocząć nieprzerwane przesyłanie zapytań na ad-res banku, co ostatecznie doprowadzało do przeciążenia i zablokowania jego strony. Liczbę internautów uczestniczących w tej akcji eksperci oszacowali na kilkaset tysięcy35. Choć
27 J. Meserve, K. Arena: U.S. warns financial firms of al Qaeda threat. CNN [online], November 30, 2006, http://money.
cnn.com [dostęp: 21.11.2016], Warning of Al Qaeda cyber attack on finance sites, „FT Alphaville” [online], December 1st, 2006, http://ftalphaville.ft.com [dostęp: 21.11.2016].
28 Cyberterrorism and other use of the Internet for terrorist purposes, Council of Europe, Selected reference texts, Strasbourg, May 2012, s. 11; Financial services on Al Qaeda radar, „The Economic Times” [online], Dec 2, 2006, http://articles.
economictimes.indiatimes.com [dostęp: 21.11.2016]. Brian Jenkins, ekspert terroryzmu z firmy RAND, zaznaczył, że tego typu groźby ze strony organizacji terrorystycznych to nic niezwykłegoVide: Financial services on Al Qaeda radar,
„The Economic Times” [online], Dec 2, 2006, http://articles.economictimes.indiatimes.com [dostęp: 21.11.2016].
29 ICT Cyber-Desk Review: Report #1. „ICT Cyber-Desk – Review” [online], 24.01.2013, www.ict.org.il [dostęp: 21.11.2016].
s. 8; Cyber-Desk Review: Report #2. „ICT Cyber-Desk – Review” [online], 25.04.2013, www.ict.org.il [dostęp: 21.11.2016], s. 14–15.
30 W.H. Highleyman, Islamic Hacktivists Attack U.S. Banks. „The Availability Digest” [online], October 2012, s. 1;
www.availabilitydigest.com [dostęp: 21.11.2016].]; R. Levi, Did Iran Attack the US Banks?. „Israel Defense” [online], 11.01.2013, www.israeldefense.com [dostęp: 21.11.2016].
31 C. Morran, Hackers Claim They Messed With BofA Website & NYSE Because Of Anti-Islam Movie. „Consumerist” [online], September 18, 2012, http://consumerist.com [dostęp: 21.11.2016].
32 J. Kirk, Wells Fargo recovers after site outage. „Network World” [online], September 26, 2012, www.networkworld.com [dostęp: 21.11.2016].
33 A. Samson, Cyber Warriors Deal Blow to Bank Websites by Adapting Common Strategy. „FOX Business” [online], October 10, 2012, www.foxbusiness.com [dostęp: 21.11.2016].
34 Deconstructing the Al-Qassam Cyber Fighters Assault on US Banks. Analysis Intelligence [online], 2 January 2013, http://analysisintelligence.com [dostęp: 21.11.2016].
35 W.H. Highleyman, Islamic Hacktivists…, op.cit., s. 2.
Cyberterroryzm...
cyberataki zostały przez grupę zapowiedziane36, okazały się dość skuteczne, mimo że do-stęp do niektórych sabotowanych witryn był w dniu ataku niemożliwy. „Operacja Ababil”
była wznawiana jeszcze wielokrotnie (ostatnio w marcu 2013 roku), a hakerzy wydali oświad-czenie, że będą kontynuować ataki aż do momentu całkowitego usunięcia kontrowersyjne-go filmu z Internetu37.