Δεν χρειάζεται βόμβα για να καταστρέψεις ένα νοσοκομείο. Δεν χρειάζοναι τανκς για προκαλέσεις αναταράξεις σε μια κυβέρνηση. Ορισμένες φορές, αρκεί ένα email, ένα μολυσμένο USB ή μια ενημέρωση λογισμικού που δεν έγινε. Και άλλοτε, όλα αυτά φέρουν τα αποτυπώματα μιας κυβέρνησης.
Στο περιθώριο –ή στη σκοτεινή ενδοχώρα– των σύγχρονων συγκρούσεων, τέσσερις ομάδες χάκερ προκαλούν φόβο μέσα στη σιωπή της καταστροφής: Gamaredon, TraderTraitor, Black Basta και CyberAv3ngers. Δεν είναι απλώς χάκερ. Είναι… κρατικοί λειτουργοί, ψηφιακοί πειρατές, εγκληματίες του επιχειρείν και ιδεολογικοί σαμποτέρ. Οι τέσσερίς τους σχηματίζουν τη χορογραφία ενός νέου τύπου πολέμου – ενός πολέμου που δεν διεξάγεται στα χαρακώματα ή στους αιθέρες, αλλά μέσα από κώδικες, ιούς και ξεχασμένα firmwares.
Gamaredon, TraderTraitor, Black Basta και CyberAv3ngers. Δεν είναι απλώς χάκερ. Είναι… κρατικοί λειτουργοί, ψηφιακοί πειρατές, εγκληματίες του επιχειρείν και ιδεολογικοί σαμποτέρ.
Η ιστορία τους ξεκινάει σε έναν χειμώνα στην Κριμαία, μετατοπίζεται μέσα από τη ζέστη των ψηφιακών κλοπών της Βόρειας Κορέας, ελίσσεται μέσα από τη βάναυση αποτελεσματικότητα του ρωσικού ransomware και προσγειώνεται στις σκιές της ερήμου του ιρανικού σαμποτάζ. Αν υπάρχει ένα θέμα, αυτό είναι το εξής: το κράτος έχει μάθει να οπλοποιεί τον κώδικα με την οικειότητα της κατασκοπείας και την ατιμωρησία του σύγχρονου, υπόγειου κόσμου που ενδύεται την κανονικότητα.
I. Gamaredon: Οι αυτόμολοι Ουκρανοί της FSB
Το 2014, η Ρωσία προσάρτησε την Κριμαία με την ουκρανική επανάσταση του Μαϊντάν. Μαζί με τα ουκρανικά εδάφη, απέκτησε αθόρυβα κάτι επιπλέον και εξίσου κρίσιμο: προσωπικό. Πέντε αξιωματικοί από την Υπηρεσία Ασφαλείας της Ουκρανίας αυτομόλησαν στη Μόσχα και εξαφανίστηκαν στον γραφειοκρατικό λαβύρινθο της FSB. Από αυτή τη σιωπή, αναδύθηκε ένα όνομα: Gamaredon.
Γνωστή στις εταιρείες κυβερνοασφάλειας ως Primitive Bear ή Shuckworm, η Gamaredon δεν είναι εργαλείο ακριβείας. «Οι χάκερ, που πιστεύεται ότι εργάζονται στην FSB, δεν είναι γνωστοί για την πολυπλοκότητά τους. Ωστόσο, έχουν δημιουργήσει ένα ιστορικό σχεδόν συνεχών παραβιάσεων με επίκεντρο την κατασκοπεία, που διαρκούν πάνω από μια δεκαετία, χρησιμοποιώντας απλές, επαναλαμβανόμενες μεθόδους εισβολής, χρόνο με τον χρόνο», έγραψε ο Αντι Γκρίνμπεργκ του Wired σε ένα ανατριχιαστικό προφίλ.
Η υπογραφή τους: εκστρατείες phishing, συχνά με μολυσμένα συνημμένα αρχεία Word, και αδιάκοπη ψηφιακή παρακολούθηση των ουκρανικών στρατιωτικών και κυβερνητικών ιδρυμάτων.
Ο όγκος είναι το μεγάλο τους διαφοροποιητικό στοιχείο και αυτό είναι που τους καθιστά επικίνδυνους.
Από το 2013, η Gamaredon έχει εξαπολύσει πάνω από 5.000 κυβερνοεπιθέσεις σε ουκρανικές υποδομές. Το 2022, μόλις λίγες εβδομάδες πριν από την πλήρους κλίμακας εισβολή της Ρωσίας, η ομάδα στόχευσε δυτική στρατιωτική αποστολή στην Ουκρανία χρησιμοποιώντας μολυσμένα USB drives· οι ειδικοί παρατήρησαν μιαν απόκλιση από τις συνήθεις τακτικές phishing. Το κακόβουλο λογισμικό, με την ονομασία GammaSteel, γλίστρησε απαρατήρητο.
Η ESET έχει παρακολουθήσει την Gamaredon, καθώς έχει παραβιάσει τα δίκτυα εκατοντάδων θυμάτων στην Ουκρανία, κλέβοντας χιλιάδες αρχεία σε καθημερινή βάση, έχει πει στο Wired ο Ρόμπερτ Λιπόφσκι, ερευνητής κακόβουλου λογισμικού στην ESET. «Ο όγκος είναι το μεγάλο τους διαφοροποιητικό στοιχείο και αυτό είναι που τους καθιστά επικίνδυνους».
Πιο σκιώδης –στα όρια του στρεβλού– είναι η ταυτότητά τους: Ουκρανοί που χακάρουν την Ουκρανία. Η Υπηρεσία Ασφαλείας της Ουκρανίας κατονόμασε τους πέντε αποστάτες το 2021, χαρακτηρίζοντάς τους προδότες. Ωστόσο, στα ρωσικά μέσα ενημέρωσης δεν υπάρχουν και κανείς δεν μιλάει γι’ αυτούς.
II. TraderTraitor: Η ληστεία που χρηματοδότησε έναν πύραυλο
Τον Φεβρουάριο του 2025, 1,5 δισ. δολάρια εξαφανίστηκαν από το ανταλλακτήριο κρυπτονομισμάτων Bybit σε λιγότερο από 12 λεπτά. Ενα wallet «απλώς» παραβιάστηκε. Τα χρήματα διοχετεύθηκαν –κατ’ ουσίαν, εξαϋλώθηκαν– σε 50 διαφορετικές διευθύνσεις και στη συνέχεια κατευθύνθηκαν, μέσω των λεγόμενων mixers (που «μπερδεύουν» την προέλευση και την κατεύθυνση των κρυπτονομισμάτων), στο Monero και το Tether, τα δημοφιλή κρυπτονομίσματα. Το FBI εντόπισε την παραβίαση, αποδίδοντάς τη σε έναν γνωστό ώς τότε παράγοντα: την TraderTraitor, μια υποομάδα της διαβόητης ομάδας Lazarus Group της Βόρειας Κορέας.
«Αυτοί οι τύποι δεν είναι απλοί χάκερ», δήλωσε ο Σέροντ ΝτεΓκρίπο της Microsoft σε συνέντευξή του στο Wired. «Είναι αξιωματικοί των μυστικών υπηρεσιών. Και καταλαβαίνουν αυτή τη βιομηχανία καλύτερα από κάποιους που εργάζονται εντός της».
Η TraderTraitor δεν επιτίθεται σε συστήματα – επιτίθεται σε ανθρώπους. Τα μέλη της παριστάνουν τους ειδικούς εύρεσης εργασίας στο LinkedIn, ρίχνουν μολυσμένο κώδικα σε repos του GitHub, συμμετέχουν σε συζητήσεις προγραμματιστών στο Slack και το Telegram. Οταν ένας μηχανικός κάνει κλικ στο λάθος αρχείο, το PLOTTWIST εγκαθίσταται στο παρασκήνιο.
Και τότε αρχίζει η αιμορραγία.
Οι Βορειοκορεάτες χάκερ παίζουν διαφορετικό παιχνίδι από οποιονδήποτε άλλο. Είναι πολύ ρεαλιστές και απλώς θέλουν να ολοκληρώνουν τις δουλειές τους. Αυτό είναι που τους κάνει ξεχωριστούς.
Η ομάδα διοικείται από το Γενικό Γραφείο Αναγνώρισης της Βόρειας Κορέας, τον ίδιο σκιώδη βραχίονα που είναι υπεύθυνος για το χακάρισμα της Sony Pictures. Εντούτοις, ενώ το Lazarus Group είχε κάποτε στόχο το Χόλιγουντ, η TraderTraitor έχει στραφεί σε κάτι πιο σταθερό: το Ethereum.
Σύμφωνα με την Elliptic, μια εταιρεία που παρακολουθεί το έγκλημα στα κρυπτονομίσματα, οι Βορειοκορεάτες χάκερ έχουν αποκομίσει περισσότερα από 6 δισ. δολάρια σε κρυπτο-κλοπές από το 2017. Οι κυρώσεις του ΟΗΕ δεν κατάφεραν να σταματήσουν τους βορειοκορεατικούς πυραύλους, οι οποίοι χρηματοδοτήθηκαν, σύμφωνα με το BBC, από τις κρυπτο-κλοπές· τα κρυπτο-wallets, όμως, δεν χρειάζονται κωδικούς SWIFT.
«Οι Βορειοκορεάτες χάκερ παίζουν διαφορετικό παιχνίδι από οποιονδήποτε άλλο», έχει δηλώσει στη Wall Street Journal ο Νικ Κάρλσεν, πρώην αναλυτής του FBI. «Οι Βορειοκορεάτες είναι πολύ ρεαλιστές και απλώς θέλουν να ολοκληρώνουν τις δουλειές τους. Αυτό είναι που τους κάνει ξεχωριστούς», δήλωσε στην ίδια εφημερίδα ο Τζουν Κιμ, ιδιοκτήτης της Naru Security με έδρα τη Σεούλ.
Η TraderTraitor είναι η οικονομία ενός κράτους-ληστή – απλώς ψηφιοποιημένη. Ενός κράτους που δεν αρκείται σε μία ομάδα χάκερ· και στηρίζει και δεύτερη.
III. Black Basta: Το… franchise των εκβιαστών
Εφτασαν το 2022 σαν ανακάμψαντες εγκληματίες. Η Black Basta, που… μιλάει ρωσικά, γνωρίζει άπταιστα το λεξιλόγιο του Conti –ενός αντίστοιχου γκρουπ– και είναι οπλισμένη με το δικό της… επιχειρηματικό μοντέλο ransomware. Τα μέλη της δεν χρειάζονται ιδεολογία. Τα χρήματα είναι ικανό κίνητρο γι’ αυτά.
Τον πρώτο χρόνο, χτύπησαν πάνω από 500 οργανισμούς, απαιτώντας λύτρα εκατομμυρίων. Οι επιθέσεις ήταν αποτελεσματικές: phishing σε τμήματα Πληροφορικής, παραβίαση VPN, ανάπτυξη ransomware. Στη συνέχεια, ήρθε ο δεύτερος εκβιασμός – πληρώστε μας, αλλιώς θα αφήσουμε τα δεδομένα σας να διαρρεύσουν στο αχανές και συχνά σκοτεινό ψηφιακό σύμπαν.
Μεταξύ των θυμάτων τους: το Ascension Health, ένα καθολικό νοσοκομειακό σύστημα. Τον Μάιο του 2024, εκατομμύρια αρχεία των ασθενών εξαφανίστηκαν. Τα επείγοντα περιστατικά αναδρομολογήθηκαν. Οι επιπτώσεις επεκτάθηκαν σε αληθινά σώματα, σε αληθινές ζωές. Κι όλα αυτά, από ένα email.
Οι άνθρωποι πίσω από τους Black Basta έχουν συμμετάσχει σε πολλά δίκτυα και έχουν μεγάλη εμπειρία. Δεν είναι η πιο παραγωγική ομάδα, αλλά νομίζω ότι είναι μια από τις πιο επικίνδυνες επειδή είναι ιδιαίτερα επιδέξιοι.
Η απίσχνανση της συμμορίας, όμως, είχε πάρει μπρος. Η υποδομή τους –QakBot– εξουδετερώθηκε σε μια κοινή επιχείρηση του FBI, της Europol και των αστυνομικών αρχών της Γαλλίας, της Γερμανίας, της Λετονίας, της Ολλανδίας, της Ρουμανίας και της Βρετανίας. Και τον Φεβρουάριο του 2025, ένας χάκερ ονόματι ExploitWhispers άφησε να διαρρεύσουν 200.000 εσωτερικά μηνύματα από τον διακομιστή Matrix.
Τα αρχεία καταγραφής ήταν τετριμμένα, δίχως ιδιαίτερη αξία. Παράπονα για τους στόχους. Αστειάκια. Επιχειρησιακές σημειώσεις. Κάπου, ωστόσο, βαθιά θαμμένα υπήρχαν ψίθυροι για κρατική ομπρέλα.
«Οι άνθρωποι πίσω από τους Black Basta έχουν συμμετάσχει σε πολλά δίκτυα και έχουν μεγάλη εμπειρία», έχει πει στο Wired ο Αλαν Λίσκα της Recorded Future. «Δεν είναι η πιο παραγωγική ομάδα, αλλά νομίζω ότι είναι μια από τις πιο επικίνδυνες επειδή είναι ιδιαίτερα επιδέξιοι».
«Δεν έχουμε δει τους ηγέτες του Black Basta να ανασυντάσσονται, αλλά θα συνεχίσουν να εργάζονται, θα συνεχίσουν να λειτουργούν», λέει ο ίδιος αναλυτής πληροφοριών απειλών. «Υπάρχουν ακόμη πάρα πολλά χρήματα για να αναστείλουν τη δράση τους. Και οι δράστες του ransomware είναι πλάσματα της συνήθειας, όπως όλοι».
IV. CyberAv3ngers: Ο διακόπτης που απέτυχε να σκοτώσει
Το όνομα ακούγεται σαν παρωδία της Marvel, αλλά η CyberAv3ngers κάθε άλλο παρά κινηματογραφική ομάδα είναι. Συνδεδεμένη απευθείας με τους Ιρανούς Φρουρούς της Επανάστασης, με βιτρίνα εταιρεία ιρανικών συμφερόντων, η ομάδα εμφανίστηκε το 2023 με ένα μήνυμα: Κάτω το Ισραήλ. Κάτω το… ηλεκτρικό σας δίκτυο.
Τα εργαλεία τους ήταν ακατέργαστοι προεπιλεγμένοι κωδικοί πρόσβασης σε μονάδες της Unitronics, της ισραηλινής εταιρείας η οποία κατασκευάζει εργαλεία που χρησιμοποιούνται σε εγκαταστάσεις ύδρευσης, ενέργειας και γεωργίας. Η φιλοδοξία τους, βέβαια, δεν είχε όρια.
Τον Νοέμβριο του 2023, χάκαραν έναν σταθμό ύδρευσης στην Πενσιλβάνια, αναγκάζοντάς τον να τεθεί εκτός λειτουργίας. Ταυτόχρονα, επιτέθηκαν σε πάνω από 100 συστήματα της Unitronics παγκοσμίως, παραμορφώνοντας τις οθόνες με το μήνυμα: «Εχετε χακαριστεί από τους CyberAv3ngers». Ισραηλινές πόλεις έχασαν την πίεση του νερού. Ενα ζυθοποιείο στις ΗΠΑ εκτέθηκε σε κίνδυνο. Το ίδιο και πολλά φαρμακεία.
Στη συνέχεια, ήρθε το κακόβουλο λογισμικό τους: το IOControl, μια κερκόπορτα θαμμένη σε δρομολογητές και συστήματα του Internet of Things από την Ευρώπη έως την Ανατολική Αφρική. Η Claroty Labs εντόπισε τα αποτυπώματα της ομάδας στην Τεχεράνη. Το FBI παρενέβη, κατάσχοντας διακομιστές. Η επιχείρηση επιβραδύνθηκε. Η απειλή, ωστόσο, είχε συμβεί.
«Προσποιούνται ότι είναι χακτιβιστές, αλλά στην πραγματικότητα δεν είναι. Πρόκειται για μια ομάδα που χρηματοδοτείται από το κράτος. Eχουν χρηματοδότηση και εργαλεία», λέει ο Κάιλι Ο’Μίρα, ερευνητής πληροφοριών για απειλές στην εταιρεία κυβερνοασφάλειας συστημάτων βιομηχανικού ελέγχου Dragos. «Σίγουρα έχουν την ικανότητα, έχουν την πρόθεση και έχουν το ενδιαφέρον να μάθουν πώς να απενεργοποιούν τα συστήματα και ενδεχομένως να προκαλούν βλάβη».
Προσποιούνται ότι είναι χακτιβιστές, αλλά στην πραγματικότητα δεν είναι. Πρόκειται για μια ομάδα που χρηματοδοτείται από το κράτος. Eχουν χρηματοδότηση και εργαλεία.
Το Ιράν έχει αρνηθεί την ανάμειξή του. Παρά ταύτα, οι αμερικανικές μυστικές υπηρεσίες διαφωνούν. Τον Δεκέμβριο του 2023, το Στέιτ Ντιπάρτμεντ προσέφερε 10 εκατ. δολάρια για πληροφορίες σχετικά με τους επικεφαλής της ομάδας. Το υπουργείο Οικονομικών των ΗΠΑ επέβαλε κυρώσεις σε αξιωματούχους και οντότητες των Φρουρών της Επανάστασης.
Από τότε η CyberAv3ngers έχει κοπάσει, αν και το κακόβουλο λογισμικό της εξακολουθεί να εντοπίζεται. Δεν χτυπούν πάντα – αλλά πάντοτε παρακολουθούν.
Συνηθίζοντας τις παραβιάσεις
Στα υπόγεια γραφεία των μυστικών υπηρεσιών της Δύσης, λογικά θα υπάρχει ένας πίνακας με τέσσερις καρφίτσες: Gamaredon, TraderTraitor, Black Basta, CyberAv3ngers. Τους παρακολουθούν. Τους χαρτογραφούν. Αλλά δεν τους σταματούν.
Δεν υπάρχει Σύμβαση της Γενεύης για τους πολεμιστές του πληκτρολογίου. Κάθε σύστημα είναι πλέον ένα πιθανό πεδίο μάχης. Και αυτές οι ομάδες είναι οι παράτυπες δυνάμεις τους. Πολεμούν σιωπηλά. Μέχρι να διαλύσουν κάτι. Μέχρι να σταματήσει να τρέχει νερό. Μέχρι που μια νοσοκόμα δεν θα μπορεί να δει την καρτέλα του ασθενούς της.
Κάθε σύστημα είναι πλέον ένα πιθανό πεδίο μάχης. Και αυτές οι ομάδες είναι οι παράτυπες δυνάμεις τους. Πολεμούν σιωπηλά.
Εχουμε συνηθίσει τις παραβιάσεις. Δεν ανατριχιάζουμε όταν ένα κέντρο δεδομένων πέφτει στο σκοτάδι. Αλλά υπάρχει κάτι βαθύ σε αυτό τον αθόρυβο πόλεμο: μια αίσθηση ότι το έδαφος κάτω από το δίκτυο δεν είναι ποτέ αρκετά στερεό, ότι ο πόλεμος έχει κατακλύσει ψηφιακό και φυσικό κόσμο.
Και όπως όλοι οι πόλεμοι, ξεκινά με προδοσία και τελειώνει με λύτρα. Και κάπου εκεί, σε κάποιο κενό που ουδείς φαντάζεται ότι υπάρχει, μια γραμμή κώδικα περιμένει να ενεργοποιηθεί.
Κεντρική φωτογραφία: ©Shutterstock/AI generated
