Το Σάββατο 20 Σεπτεμβρίου, τρία (πιθανόν περισσότερα) από τα μεγαλύτερα ευρωπαϊκά αεροδρόμια το Heathrow (Λονδίνο), το Zaventem (Βρυξέλλες) και το Brandenburg (Βερολίνο), βρέθηκαν αντιμέτωπα με γενικευμένη διακοπή στα ηλεκτρονικά τους συστήματα. Το λογισμικό MUSE της Collins Aerospace, που χρησιμοποιείται για check-in και γενική διαχείριση αποσκευών και επιβατών, τέθηκε εκτός λειτουργίας. Η εικόνα ήταν αποκαλυπτική: τεράστιες ουρές, ακυρώσεις πτήσεων, χαμένα ραντεβού και γενικά μεγάλες καθυστερήσεις, με τις εταιρείες να επιστρέφουν υποχρεωτικά στις χειροκίνητες διαδικασίες. Η Collins, αν και τα αρχικά ρεπορτάζ ανέφεραν "τεχνικές δυσλειτουργίες", παραδέχθηκε ότι πρόκειται για "cyber-related disruption". Με άλλα λόγια, για περιστατικό κυβερνοεπίθεσης.

Η πιθανότερη εκδοχή, όπως προκύπτει από την συνολική εικόνα, είναι η στοχευμένη επίθεση στον ίδιο τον πάροχο. Όταν δεκάδες αεροδρόμια μοιράζονται την ίδια πλατφόρμα, το κοινό σημείο ταυτόχρονα μετατρέπεται και στο πιο ευάλωτο σημείο. Το MUSE, σχεδιασμένο να παρέχει κοινές υπηρεσίες σε επιβάτες και αεροπορικές, ουσιαστικά κινείται μέσα από έναν ενιαίο κόμβο. Και αυτός ο κόμβος είναι πάντα πιο εύκολο να παραβιαστεί, συγκριτικά με ένα (σαφώς ακριβότερο) κατανεμημένο σύστημα. Πρόκειται για κλασικό σενάριο επίθεσης στην αλυσίδα εφοδιασμού. 

Μέχρι την ώρα που γράφεται το άρθρο, δεν έχουν ανακοινωθεί συγκεκριμένα στοιχεία για το είδος και την προέλευση αυτής της επίθεσης, αλλά τα πιθανά σενάρια δεν είναι πάρα πολλά. Το ransomware, δηλαδή το λογισμικό που "κλειδώνει" συστήματα και απαιτεί λύτρα για να τα απελευθερώσει, είναι η πρώτη πιθανή εξήγηση. Στις αερομεταφορές, όπου κάθε ώρα καθυστέρησης ισοδυναμεί με εκατομμύρια, ο εκβιασμός αποκτά ιδιαίτερο βάρος. Ωστόσο, αφενός οι επιθέσεις αυτού του τύπου εκδηλώνονται με την εμφάνιση συγκεκριμένου τύπου οθονών στους χρήστες, οπότε θα έπρεπε να υπάρχουν σχετικές αναφορές μιας και μιλάμε για εκατοντάδες τερματικά, αφετέρου μέχρι στιγμής δεν έχει εμφανιστεί αίτημα για λύτρα, γεγονός που καθιστά το σενάριο αμφίβολο και το αφήνει μετέωρο.

Η κατανεμημένη επίθεση άρνησης υπηρεσίας (DDoS) είναι μία άλλη εκδοχή. Εδώ οι δράστες δεν εισβάλλουν στο σύστημα· το κατακλύζουν με τόσο μεγάλο όγκο ψεύτικων αιτημάτων ώστε αυτό να αναγκάζεται σε άρνηση διαθεσιμότητας. Ομάδες όπως οι KillNet ή οι Anonymous Sudan έχουν ήδη χτυπήσει ευρωπαϊκές τράπεζες και δημόσιους φορείς με αυτή τη μέθοδο. Μια αντίστοιχη κίνηση απέναντι σε αεροπορικό πάροχο είναι απολύτως ρεαλιστική πιθανότητα.

Από εκεί και πέρα, το σενάριο της κρατικής ή παρακρατικής εμπλοκής δεν μπορεί να αγνοηθεί. Η Collins ανήκει σε αμερικανικό όμιλο με έντονη παρουσία στην άμυνα. Ένα πλήγμα στην υποδομή της δεν είναι μόνο τεχνικό, είναι και πολιτικό μήνυμα. Σε αυτό το πλαίσιο, εμφανίστηκαν φήμες περί ρωσικής εμπλοκής. Χωρίς αποδείξεις, όμως, μένουν στο επίπεδο της φήμης. Τουλάχιστον προς το παρόν…

Υπάρχουν και οι πιο θεωρητικές εκδοχές: κάποιος να εκμεταλλεύτηκε ένα κενό 0-day (0-day vulnerability: άγνωστη ή πολύ πρόσφατα ανακαλυφθείσα αδυναμία που δεν έχει ακόμη διορθωθεί), να υπήρξε insider threat (κακόβουλη ή υπό εξαναγκασμό ενέργεια εκ των έσω), ή να επήλθε δυσλειτουργία σε τρίτο κρίκο της αλυσίδας, όπως ένας πάροχος cloud ή DNS. Αξίζει εδώ να σημειωθεί ότι η cloud έκδοση του MUSE, το cMUSE, φιλοξενείται στην AWS (Amazon Web Services). Και η AWS δεν είναι κάποιο "περίπτερο της γειτονιάς". Είναι ένας από τους μεγαλύτερους και ισχυρότερους παρόχους cloud παγκοσμίως, με κορυφαίες πολιτικές και επίπεδα ασφάλειας. Αυτό σημαίνει ότι δεν μιλάμε για μία επίθεση που θα μπορούσε να οργανώσει ένας μεμονωμένος hacker ή μια παρέα πιτσιρικάδων που γνωρίζει απλά να γράφει καλό κώδικα. Πρόκειται για ενέργεια με σαφώς πιο σοβαρό υπόβαθρο και αποτύπωμα. Αυτό που στην καθημερινή γλώσσα θα λέγαμε "επαγγελματική". 

Επίσης, δεν μπορεί να μην ληφθεί υπόψη ότι το περιστατικό, δεν είναι μεμονωμένο. Τα τελευταία χρόνια, κρίσιμες υποδομές πληροφορικής έχουν βρεθεί στο στόχαστρο κακόβουλων ενεργειών: από τον αγωγό Colonial στις ΗΠΑ μέχρι το εθνικό δίκτυο υγείας της Ιρλανδίας. Τώρα ήταν η σειρά της ευρωπαϊκής αερομεταφοράς. Και η συχνότητα δείχνει ότι δεν μιλάμε για τυχαία επεισόδια, αλλά για μια νέα κανονικότητα. Οι πρώτες εκτιμήσεις κάνουν λόγο για κόστος δεκάδων εκατομμυρίων σε καθυστερήσεις και ακυρώσεις, χωρίς καν να συνεκτιμηθούν οι δευτερογενείς συνέπειες (εργατοχρόνοι αποκατάστασης κ.λπ.).

Το βέβαιο είναι ότι η συγκέντρωση κρίσιμων λειτουργιών σε μια ενιαία πλατφόρμα δημιουργεί μεν οικονομίες κλίμακας, μετατρέπει το εκάστοτε σύστημα σε ιδιαίτερα προκλητικό στόχο με υψηλό ρίσκο προσβολών, δε. Ένα μόνο πλήγμα φτάνει για να παραλύσει πληθυσμούς εκατομμυρίων. Τα ερωτήματα λοιπόν, δεν πρέπει να αφορούν μόνο ποιος κρύβεται πίσω από την επίθεση, αλλά και πόσο ανθεκτική είναι η Ευρώπη απέναντι σε τέτοιου τύπου προβλήματα και disruption tactics.

Αν χθες η λύση δόθηκε με χειρόγραφες λίστες επιβατών, τι θα συμβεί σε μια επόμενη, πιο συντονισμένη επίθεση; Αν αυτή τη φορά επλήγησαν τα συστήματα check-in, τι θα γίνει αν στοχοποιηθούν οι ελεγκτικοί μηχανισμοί ή τα δίκτυα επικοινωνίας των πτήσεων; Θα μπορέσει η Ευρώπη να ξεφύγει από τις αγκυλώσεις της, να ξεχωρίσει την ουσία και να θωρακίσει έγκαιρα τις κρίσιμες υποδομές της πριν βρεθεί μπροστά σε μια απειλή-κρίση, πολύ μεγαλύτερη;

Πέτρος Λάζος
petros.lazos@capital.gr