V marci 2007 sa v púštnom zariadení Idaho National Laboratory uskutočnil tajný experiment "Aurora".

Na jeho sledovanie sa zišli zástupcovia Ministerstva Národnej bezpečnosti USA, Ministerstva energetiky, zástupcovia veľkých energetických firiem, inžinieri a vedci.

Výskumníci INL pre účely tohto experimentu za 300.000 doláropv kúpili naftový generátor z ropných polí z Aljašky. Cieľom ich pokusu bolo zničiť ho. Nie nejakou zbraňou alebo fyzickým nástrojom ale súborom vo veľkosti 140 kilobytov, menšom než mačací GIF bežne zdieľaný na Twitteri.

Pýtali sa sami seba, čo keby potenciálni hekeri neovládli regulačné systémy rozvodnej siete aby prepli vypínače a spôsobili výpadky dodávok energie, ale namiesto toho by preprogramovali automatické súčasti siete, ktoré robia svoje vlastné rozhodnutia bez zásahov človeka. Obzvlášť mali na mysli automatické relé, ktoré je navrhnuté aby fungovalo ako bezpečnostný mechanizmus na ochranu siete pred nebezpečnými fyzickými podmienkami v elektrických systémoch. Ak sa linky prehrejú, alebo generátor vypadne zo synchronizácie, tieto relé odhalia anomáliu a otvoria prerušovač obvodov, odpoja problematické miesto. Zachránia takto cenný hardware a možno zabránia požiaru a výpadku v dodávkach energie do odbernej siete.

Ako každá iná digitálna sabotáž, aj toto sa malo uskutočniť z veľkej diaľky, cez internet. Testový "hacker" vyslal asi tak 30 riadkov kódu zo svojho počítača do ochranného relé, napojeného na generátor veľkosti autobusa a s hmotnosťou 27 ton. Pominiem technické detaily toho čo nasledovalo, no behom niekoľkých sekúnd sa generátor začal nesynchronizovane otáčať, natriasať, až sa z neho napokon vyvalili kúdoly dymu a vydýchol naposledy. Bol totálne zničený. V návštevníckom centre zavládlo hlboké ticho.

Dva dni pred Vianocami v roku 2015 kybernetický útok prerušil dodávku energie pre takmer štvrť milióna Ukrajincov. Počas niekoľkých mesiacov predtým aj potom, sa obeťami rôznych útokov stali ukrajinské firmy a vládne agentúry. V decembri 2016, uprostred tvrdej zimy, došlo opäť k prerušeniu dodávok energie. Odborníkom na počítačovú bezpečnosť sa zdalo, že za útokmi je jedna a tá istá skupina hekerov.

Asi rok pred prvým útokom dostali pracovníci americkej súkromnej bezpečnostnej firmy iSight email od svojich kolegov z ukrajinskej pobočky. Jeho prílohou bola prezentácia v PowerPointe o ktorej verili, že obsahuje "zraniteľnosť nultého dňa". Keď prezentáciu v chránenom prostredí svojej firmy spustili, zistili, že súbor ktorý nasadila do "napadnutého" počítača bol variantom neslávne známeho malware BlackEnergy, ktorý v roku 2007 vytvoril ruský heker Dmytro Oleksiuk. Bol vyvinutý za jediným účelom - na uskutočňovanie DDoS útokov. Neskoršie verzie obsahovali mnohé ďalšie vylepšenia: mohol rozosielať spamy, ničiť súbory na napadnutých počítačoch a kradnúť mená a heslá k bankovým účtom. Verzia ktorú teraz mali v rukách dokázala robiť zábery toho, čo sa dialo na monitore, zaznamenávať údery na klávesnicu, všetko znaky nie klasického bankového heku, ale sofistikovanej kyberšpionáže. Najzaujímavejším nebolo to čo súbor obsahoval, ale to, že bol napísaný v ruštine. Experti našli v širokej databáze malware ešte niekoľko variánt a keď sa predrali cez jeho konfiguráciu až do špiku kosti, našli vo všetkých z nich takzvaný kampaňový kód. V podstate akési označenie (tag), ktoré hekeri používajú aby mohli lepšie sledovať napadnuté obete. Všetky tagy mali spoločné jedno: odkazovali na pojmy zo slávnej sci-fi série "Dune". To bol dôvod prečo táto hekerská skupina dostala meno "Sandworm" - Piesočný červ.

V roku 2005 americké spravodajské služby odhadovali, že Iranu potrvá 6 až 10 rokov, kým skonštruuje vlastnú atómovú bombu. Izraelci to odhadovali skôr na 5 rokov. Po tom čo Iran v stredisku Natanz obnovil obohacovanie uránu, odhady sa scvrkli na 2 roky, možno len 6 mesiacov. Začala kríza na ktorú mal bezpečnostný poradný tím prezidenta Busha ako riešenie dve možnosti, jednu horšiu, než druhú. Buď dovolia nepredvídateľnému a agresívnemu štátu bombu vyrobiť, alebo zničia Natanz raketou, čo by bol akt vojny. Bush od nich žiadal tretie riešenie. Nakoniec sa ním stal "Stuxnet". Kúsok softvéru určený na zablokovanie iránskeho jadrového programu tak efektívne ako fyzická sabotáž, ale bez rizika rozvinutej vojenskej akcie. Elitný tím ofenzívnych hekerov NSA (National Security Agency) známy ako Tailored Access Operations (TAO), izraelský tím špecialistov na počítačovú bezpečnosť "Unit 8200" a Strategické Velenie Pentagonu začali vyvíjať malware, ktorý by bol schopný nielen ochromiť kritické zariadenie v Natanz, ale úplne ho zničiť. Do konca roka 2010 sa podarilo v Natanz zničiť alebo značne poškodiť 2.000 z celkového počtu 8.700 centrifúg potrebných na obohacovanie jadrového materiálu a tým spomaliť iránsky vývoj jadrovej zbrane a následne dostať Irán za rokovací stôl. Čoskoro sa zistilo kto za tým v skutočnosti bol a politici a experti na celom svete boli zhrození z možných dôsledkov. Stuxnet otvoril Pandorinu skrinku digitálnych hrozieb pre fyzický svet.

Niekedy v auguste 2016 sa na webstránke Pastebin, ktorá slúžila na zverejňovanie oznamov anonymných hekerov objavil oznam za ktorým stála dovtedy neznáma skupina - Shadow Brokers. Stálo v ňom, že skupina prelomila ochranu a hekla nielen NSA, ale aj jej elitnú jednotku ktorá vytvorila Stuxnet. Ako dôkaz uviedla linky na stránky kde uložila vzorky tajných hekovacích nástrojov ktoré sa jej tam podarilo získať. Ponúkala ich na predaj za najvyššiu ponuku v bitcoinoch. Všetko to boli špičkové nástroje určené na využitie zraniteľnosti nultého dňa. Edward Snowden, bývalý zamestnanec NSA, ktorý tri roky predtým prezradil tajné informácie svojho zamestnávateľa, vo tweete vyslovil súhlas s tým, že nepriame dôkazy a skúsenosti indikujú, že Shadow Brokers sú ruského pôvodu a ich zámerom je ovplyvniť rozhodovanie o tom ako zareagovať na nedávne úniky informácií z vedenia Demokratickej strany. V nasledujúcich mesiacoch sa však ukázalo, že to čo postupne zverejňovali ďaleko prevyšuje škodlivosť jeho odhadu, nielen pre americké spravodajské služby ale pre celý svet.

V apríli 2017, po mesiacoch kľučkovania, sa Shadow Brokers rozhodli vypustiť najničivejšiu skupinu nástrojov získaných heknutím NSA. Bolo tam asi dvadsať vysoko profesionálne urobených programov na hekovanie, medzi nimi jeden z úniku ktorého vstávali vlasy na hlave všetkým expertom na počítačovú bezpečnosť. "EternalBlue" bol navrhnutý tak aby využil zraniteľnosť nultého dňa v prakticky každej verzii Windowsu pred Windows 8; chybu v nenápadnej funkcii Server Message Block, ktorá počítačom umožňovala vymieňať si informácie ako napríklad súbory a prístup k tlačiarni priamo z jedného na druhý počítač. Funkcia obsahovala niekoľko kritických chýb, ktoré komukoľvek umožňovali aby poslal SMB správu na počítač a získal úplné ovládanie cieľového prístroja na diaľku. EternalBlue umožňoval hekerom z NSA preniknúť do mnohých miliónov počítačov na celom svete. Potom nad ním stratili kontrolu. NSA neskôr diskrétne oznámila firme Microsoft, že došlo k tomuto úniku.

Onedlho v tom istom roku boli napadnuté systémy britskej Národnej Zdravotnej Služby (NHS) doteraz neznámym ransomwareom ktorý veľmi rýchlo napadal nemocnice a policajné stanice, zašifroval ich údaje a držal ich ako rukojemníkov s požiadavkou platby 300 USD v bitcoinoch za ich odblokovanie. Bezpečnostní experti ho nazvali WannaCry podľa koncovky ktorú pripájal k súborom po ich zašifrovaní. Veľmi rýchlo zistili, že sa šíri tak rýchlo pretože využíva EternalBlue. Každý infikovaný prístroj skenoval lokálnu sieť a internet s cieľom nájsť tie ktoré ešte neboli zaplátané proti nástroju uniknutému z NSA, ten potom použil na preniknutie do toľkých ďalších koľko bolo možné a proces sa opakoval s ďalším skenovaním. Nasledoval chaos. Tisícky ľudí v celej Veľkej Británii mali zrušené dohodnuté návštevy u lekára, zavreté boli niektoré pohotovosti. Zasiahnuté boli aj španielska Telefonica, ruská Sberbank, Deutsche Bahn, Renault a univerzity v Číne. Vďaka nedbalosti hekerov však experti z firmy Kaspersky a z Google zistili pôvod útoku v severokórejskej vládnej hekerskej skupine Lazarus.

Ďalším kúskom do skladačky najničivejšieho hekerského nástroja aký bol realizovaný, je program mladého francúzskeho programátora Benjamína Delpyho. Nazval ho "Mimikatz". Delpy zistil nenápadnú chybu vo Windowse. Jeho súčasť - WDigest - unožňovala firemným a vládnym užívateľom Windows pohodlnejšie overovanie identity pre prístup k rôznym aplikáciám v ich sieti alebo na internete. WDigest mal uložené autentifikačné údaje, ako napríklad užívateľské mená a heslá, v pamäti počítača, takže ich stačilo zadať raz a mohli byť pohodlne použité na prístup k ďalším citlivým programom. Chyba bola v tom, že zatiaľčo to Windows zašifroval v pamäti počítača, uložil v nej aj kľúč na dešifrovanie. To je akoby ste si heslom zabezpečili email a heslo napísali na papierik prilepený vedľa monitora. Delpy na túto chybu upozornil Microsoft v roku 2011, no ani sa mu neozvali a k náprave nedošlo. Urobil teda to čo by urobila asi väčšina bielych klobúkov. Dôkaz toho, že má pravdu. V jazyku "C" napísal aplikáciu aby predviedol útok pred ktorým Microsoft varoval. Nazval ju "Mimikatz" a v máji 2011 ju zverejnil avšak bez zdrojového kódu, čo sťažilo možnosť jeho úpravy. Program však bol v nasledujúcom roku viackrát použitý na napadnutie vládnych sietí aj dôležitých veľkých firiem. V máji 2012 sa Delpy zúčastnil na bezpečnostnej konferencii v Moskve. Najprv našiel neznámeho muža vo svojej izbe v hoteli "Prezident" v ruke s jeho laptopom, neskôr sa ho iný snažil presvedčiť aby svoju prezentáciu vrátane programu Mimikatz stiahol na USB kľúč. Keďže sa chcel vyhnúť konfrontácii, požiadavku vyhovel a z obavy o vlastnú bezpečnosť, ešte pred odchodom z Ruska, zverejnil zdrojový kód na úložni softvéru "GitHub".

V priebehu nasledujúcich rokov sa Mimikatz stal takmer univerzálnym hekerským nástrojom používaným na všetko od prienikových testov až po sofistikovanú počítačovú špionáž.

Nazvaliho kalašnikovom počítačovej bezpečnosti.

Využitím Mimikatz, EternalBlue a jeho integráciou do WannaCry teraz mali programátori zo Sandwormu všetko čo potrebovali na vyvinutie niečoho elegantnejšieho, automatizovaného a oveľa nebezpečnejšieho.

Zdroj informácií: Andy Greenberg - Sandworm.