FBI zbudowało fałszywe miasto. Tak ćwiczą cyberłowcy

Kinetic Cyber Range znajduje się na kampusie FBI w Huntsville w stanie Alabama. To nieprzypadkowe miejsce. Od dekad właśnie tam rozwijano część najbardziej specjalistycznych kompetencji amerykańskiego Biura. W 1971 r. powstała tam Hazardous Devices School, czyli szkoła dla techników zajmujących się materiałami wybuchowymi. Później doszedł Terrorist Explosive Device Analytical Center, ośrodek analizujący urządzenia wybuchowe używane przez terrorystów.

Przez lata Redstone kojarzyło się więc z bardzo konkretnym typem zagrożeń: bombami, improwizowanymi ładunkami i sytuacjami, w których teoria nie wystarcza, bo funkcjonariusz musi rozumieć realny obiekt, jego działanie i konsekwencje błędu. Z czasem ten sam sposób myślenia przeniesiono na inne obszary. Skoro przestępczość coraz mocniej przenosi się do świata cyfrowego, to również cyberśledczy potrzebują miejsca, w którym mogą ćwiczyć nie na slajdach, lecz na działającym środowisku.

Kinetic Cyber Range jest częścią szerszej przemiany FBI Redstone. Huntsville stało się dla Biura jednym z głównych miejsc rozwoju szkoleń, analityki danych i cyberwywiadu. W 2021 r. FBI rozpoczęło tam budowę Innovation Center, zapowiadając m.in. cyberpoligon kinetyczny, sale szkoleniowe, przestrzenie laboratoryjne i narzędzia do pracy nad nowymi technikami. Sama budowa centrum została ukończona w 2024 r., a Kinetic Cyber Range oficjalnie uruchomiono i oddano do użytku szkoleniowego w lutym 2025 r. Dopiero teraz pokazano, jak wygląda od środka. FBI chce szkolić ludzi do spraw, w których cyfrowy atak wywołuje fizyczne skutki.

Największą wartością tego miejsca z perspektywy FBI i osób odpowiedzialnych za szkolenie nie są komputery ani zaawansowane systemy, lecz poczucie, że wszystko dzieje się naprawdę. Uczestnicy nie siedzą nad sztucznym zadaniem z instrukcją: znajdź malware. Zamiast tego trafiają w sam środek kryzysu, gdzie trzeba jednocześnie analizować ślady cyfrowe, rozmawiać z ludźmi i podejmować decyzje pod presją czasu.

W jednym ze scenariuszy uczestnicy mierzą się z atakiem ransomware na szpital. To jeden z najczęstszych i najbardziej kosztownych typów cyberataków obserwowanych w ostatnich latach. Ransomware polega na zablokowaniu dostępu do danych lub systemów, a następnie żądaniu okupu za ich odblokowanie. W przypadku placówki medycznej skutki mogą wykraczać naprawdę daleko poza sferę techniczną. Problemy z dostępem do dokumentacji, zakłócenia pracy systemów czy ograniczona komunikacja między personelem mogą utrudnić codzienne funkcjonowanie szpitala i wpłynąć na jakość świadczonych usług.

Właśnie dlatego podczas ćwiczeń pojawiają się też ludzie odgrywający role pracowników, właścicieli firm, prawników czy personelu medycznego. Dzięki temu śledczy nie skupiają się wyłącznie na technicznej stronie sprawy. Muszą rozmawiać z ludźmi, radzić sobie z emocjami, działać pod presją czasu i godzić różne interesy. To mniej widoczna, ale bardzo ważna część cyberśledztwa, o której łatwo zapomnieć, gdy uwaga skupia się wyłącznie na kodzie, logach i serwerach.

Taki poligon powstał dlatego, że prawdziwe cyberśledztwa rzadko wyglądają tak, jak w podręcznikach. Sprawca może siedzieć na drugim końcu świata, korzystać z cudzej infrastruktury, ukrywać się za kolejnymi pośrednikami i zacierać ślady przy każdym ruchu. Często kończy się więc na tym, że śledczy nie mają ani komputera napastnika, ani jego telefonu.

Przeczytaj także:

Zostają ślady. Logi, ruch sieciowy, błędy w konfiguracji, fragmenty złośliwego kodu, konta wykorzystane do włamania, nietypowe połączenia i cyfrowe okruchy rozrzucone po wielu systemach. Kinetic Cyber Range pozwala ćwiczyć właśnie takie dochodzenie. Zamiast uczyć się teorii na spokojnym przykładzie, kursanci widzą, jak atak rozlewa się przez sieć i jakie decyzje trzeba podjąć, gdy systemy przestają działać. Mogą sprawdzić, gdzie popełnili błąd, zanim podobna pomyłka zdarzy się w prawdziwej sprawie.