Cyberszpiegostwo jako zagrożenie cybernetyczne - Chiny

Każdy z nas już nie raz słyszał historie o tym jak organizacje rządowe włamują się do korporacji, wykorzystują jurysdykcje i kradną poufne informacje. Pytanie czy są to pojedyncze przypadki, czy jest to już część ekonomicznej wojny pomiędzy narodowościami? Media głównie skupiają się wokół informacji na temat „Afery Snowdena”, która ujawniła że amerykańscy szpiedzy używają technologii. W jakim celu rząd USA gromadzi dane? Zapewne w celu zabezpieczenia narodu i swoich obywateli…

Póki co najbardziej niebezpiecznymi podmiotami działającymi w cybernetyce pozostają państwa narodowe. Przyjrzyjmy się motywom jakimi państwa mogą się kierować. Ideologia? Ekonomiczny wzrost? Ego/Siła? Praktycznie te same motywacje można zauważyć w grupach cyberprzestępczych. Zbadajmy motyw ekonomicznego wzrostu w cyberszpiegostwie.

Brytyjska służba specjalna GCHQ (Government Communications Headquarters) opublikowała przypadek, w którym członek zarządu firmy telekomunikacyjnej został ukierunkowany w celu podjęcia odpowiedniej decyzji. Inny przypadek pokazuje firmę farmaceutyczną która traci bilion funtów poprzez ukierunkowany atak, który pozwala na kradzież wyników badań nad lekiem nowej generacji w celu stworzenia tańszego leku przez firmę farmaceutyczną innego kraju. To nie są fikcyjne czy pojedyncze przykłady.

 

Z biegiem lat widać, że wiele organizacji stało się ofiarami tego co początkowo było uważane za cyberprzestępczość. W niektórych przypadkach można zauważyć wyraźne przypadki „hybrydowych-motywacji”, czyli wiele grup działających razem w celu wykonania ukierunkowanego ataku w dany podmiot, a mówiąc wprost, rządy państwowe pomagają cyberprzestępcom atakować cele które wpisują się w ich własny program polityczny. Zamazana linia pomiędzy cyberprzestępczością, cyberszpiegostwem i cyberwojną jest prawie nie do rozdzielenia.

W 2009 głośno było o operacji zwanej „Night Dragon”. Była to doskonale strategicznie przygotowana i sfinansowana kampania szpiegowska przeciwko amerykańskim koncernom paliwowym. Metody ataku nie były specjalnie skomplikowane, w większości przypadków dostęp do firmowej sieci uzyskano poprzez włamanie na stronę WWW danej firmy lub poprzez dostarczenie złośliwego oprogramowania do komputera konkretnego, wysoko postawionego pracownika. Mimo to, cyfrowi szpiedzy dokładnie wiedzieli czego szukają, były to poufne informacje w odniesieniu do negocjacji o wysokiej wartości. Ogólnie wiadomo jest, że to Chiny stoją za tym atakiem.

Chiny są często określane jako „bad guys” w odniesieniu do zagrożeń cybernetycznych, ponieważ zostały już wcześniej oskarżone o kradzież informacji z Departamenty Obrony USA, własności intelektualne Google, czy nawet projekty najbardziej zaawansowanych technicznie amerykańskich systemów broni. Kampanie te były czymś więcej niż tylko pracą entuzjastów hackingu; są to bardzo dobrze zorganizowane działania takie jak: „Ghostnet”, „Operation Aurora”, czy „Night Dragon”. 

 

Każdy przeciwnik czy też przestępca ma określony MO (modus operandi) czyli tak zwany tryb pracy. Oznacza to, że operacja jest wykonywana według konkretnego planu, który posiada pewne cechy charakterystyczne np. rodzaj ataku. W różnych opracowaniach można to zauważyć, gdy naukowcy analizują tzw „anatomy of an attack”, które następnie są publikowane jako „attack signatures”.

 

Od ponad dziesięciu lat Chińczycy mają tendencję do korzystania z techniki Spear phishing. Jest to technika ukierunkowana w kadrę kierowniczą wysokiego szczebla, mająca na celu nakłonienie do otworzenia załącznika. Ofiary otrzymują wiadomość e-mail, która wydaje się pochodzić od zaufanej osoby lub organizacji. W spear phishingu jednak przestępcy nie rozsyłają zainfekowanych maili do milionów przypadkowych użytkowników, lecz dobierają indywidualnie swoje ofiary. Wysłanie wiadomości, do wcześniej wybranego odpowiednio kandydata, poprzedzone jest przeprowadzeniem pogłębionego wywiadu środowiskowego potencjalnej ofiary. Cyberprzestępcy pozyskują wszelkie informacje dostępne w Internecie (na portalach społecznościowych, stronach pracodawcy, forach itp.), aby jak najlepiej poznać infekowaną osobę. Załącznik który jest wysłany z e-mailem, zawiera pewnego rodzaju złośliwy kod tzw malware, który po uruchomieniu daje pełny dostęp do komputera ofiary i może rejestrować wszystko co jest wpisywane na klawiaturze.

 

W 2011 roku poprzez atak spear phishing została zhakowana firma RSA, która specjalizuje się w dostarczaniu rozwiązań z zakresu bezpieczeństwa… Atak powiódł się dzięki złośliwym plikom, udającym arkusze kalkulacyjne w Excelu, wysłanym jako załączniki mailowe. Wiadomość została dobrze oznaczona przez Outlook jako spam i przeniesiona do folderu ze spamem przez pracownika, tylko dlatego że w tytule wiadomości były zawarte informacje pozyskane z inżynierii społecznej, przekonało to użytkownika do uruchomienia załączników.

 

„Hey presto, the worm spread on the network and gave open access to the bad guys. You can firewall technology but you cannot firewall human behavior.”

 

Operacja Aurora”, która po raz pierwszy ujrzała światło dzienne na początku roku 2009, spowodowała oskarżenia Google w kierunku chińskich hakerów odpowiedzialnych za atak na serwery wyszukiwarki i 30 innych amerykańskich firm takich jak: Adobe Systems, Juniper Networks, Rackspace, Yahoo, Symantec, Northrop Grumman, Morgan Stanley and Dow Chemical.

 

Pierwsze ataki miały miejsce w czerwcu, kiedy cyberprzestępcy testowali botnety w sieci. Za pomocą zainfekowanych złośliwym oprogramowaniem komputerów udało im się uzyskać dostęp do kont e-mail, baz danych i dokumentacji organizacji i firm internetowych. Za pierwszymi atakami stały najprawdopodobniej chińskie szkoły i ośrodki badawcze, które raport firmy Damballa nazywa inkubatorami infekcji. Można przypuszczać, że powstały specjalne zespoły, których zadaniem było przygotować główny atak na Google’a.

Według opinii Google’a, amerykańskiego rządu i firm odpowiedzialnych za bezpieczeństwo w sieci za atakami stały Chiny. Hilary Clinton, sekretarz stanu USA, pod koniec stycznia domagała się wyjaśnień w tej sprawie od chińskiego rządu. Ten jednak ostro odciął się od oskarżeń. Wszelkie oskarżenia kierowane pod kierunkiem chińskiego rządu o współudział w atakach (...) są bezpodstawne i mają na celu oczernienie Chin - powiedział rzecznik prasowy ministra przemysłu i technologii informatycznej.

Firma McAfee twierdzi, że podczas ataków na Google i innych 30 firm, hakerzy wykorzystali wcześniej nieznaną, a obecnie niezałataną (0day) dziurę w przeglądarce Internet Explorer pozwalającą na zdalne wykonanie kodu. Firma iDefence z kolei namierzyła serwery Command & Control, które używane były do sterowania atakiem. Raport iDefence, na podstawie zebranych danych, wskazuje chiński rząd jako zleceniodawcę ataku.

 

Z globalnego punktu widzenia trzeba pamiętać, że w Chinach jest więcej internautów niż ludzi w USA. Szacuje się, że jest ich ponad 400mln, z czego 1,2mln to hakerzy z wyższym wykształceniem, których patriotyczna postawa wydaje się być kluczowym czynnikiem w nacjonalizacji i rywalizacji z zachodem.

 

 Założyciel chińskiej grupy hakerów (Chinese Eagle) Won Tao, która posiada ponad 10 000 członków, w wywiadzie przyznał, że ich motywacją był atak na zagraniczne podmioty. Ponadto dodał, że chińska dyplomacja jest zbyt miękka i jego grupa musi bardziej agresywnie demonstrować swoje poglądy w Internecie, oraz „ślubuję uroczyście postawić interesy narodu chińskiego ponad wszystko. Jestem gotów zrobić wszystko, co w mojej mocy, aby chiński naród rósł w siłę”. Tao stwierdził, że jego grupa pozostaje bez żadnych powiązań z chińskim rządem. Ciężko jest w to uwierzyć i wydaje się, że wykonują rozkazy kogoś z góry, ponieważ ich działalność jest wykonywana w jednej z najbardziej ściśle kontrolowanych społeczeństw na świecie. Jedną z głównych różnic między nimi a ich zachodnimi odpowiednikami jest to, że są łatwi do wykrycia i nie wydają się obawiać żadnymi przepisami prawnymi. Ponadto ich motywacje są bardziej nacjonalistyczne niż finansowe.

Można podać wiele przykładów, gdzie tajemnice handlowe, które kosztowały tysiące godzin pracy, zostały skradzione w  ułamku sekundy, np. zastosowanie rozwiązań skradzionych z amerykańskich samolotów V generacji F-35 w chińskich J-20. Oczywiści stanowisko chińskiego rządu jest ciągle takie samo; zaprzecza wszystkiemu.

Według Ethan Guttman który pracował dla amerykańskiej Izby Handlowej w Pekinie, wszystko to zakorzeniło się w latach 90-tych. Amerykańskie firmy były bardzo zdeterminowane aby wejść na rynek chiński, że zgodziły się na przekazanie własności intelektualnej. Wymienić można Microsoft, Symantec czy Network Associates, którzy faktycznie zmuszeni byli do przekazania technologii, aby móc rozwijać biznes w Chinach.

 

Wydaje się że chiński rząd nie szanuje prawa człowieka i własności intelektualnej. Zarzuca się, że w latach 90-tych chiński rząd stworzył wirusy, które mógł użyć przeciwko własnemu ludowi. Obecnie wiadomo jest, że Internet w Chinach jest całkowicie monitorowany i filtrowany.

 

W 2011 Cisco zostało pozwane przez fundacje praw człowieka za współprace z chińskim rządem poprzez swoją technologię przy cenzurowaniu internetowej działalności Falun Gong. Amerykańska firma miała wręcz reklamować chińskim władzom swoje produktu jako skuteczny element „Złotej Tarczy”, części chińskiego programu cenzury sieci w odniesieniu do tematów politycznie wrażliwych takich jak Plac Tiananmen czy rewolucja na Bliskim Wschodzie. Przy jego pomocy członkowie sekty mieli być śledzeni, aresztowani, potem także torturowani.

 

Według doniesień Cisco zbudowało system, który pozwalał chińskim służbom bezpieczeństwa  zatrzymać kogokolwiek na ulicy, zeskanować numer dowodu osobistego i uzyskać zapis z ostatnich 60 dni aktywności danego obywatela w Internecie – w tym również korespondencję mailową, i na podstawie tego – zaaresztować.

 

Cisco i wiele innych Zachodnich przedsiębiorstw jak Nortel, Intel, Yahoo czy Google, uzbroiły partię w zdolność do cenzury i monitoringu cyberprzestrzeni. Podczas gdy od wielu lat pod rządami Chin, używanie stacjonarnych lub komórkowych telefonów nie było bezpieczne, to teraz zwykli obywatele mogą zostać zaaresztowani za odwiedzenie „złej” strony internetowej lub wysłanie „prywatnego” e-maila.

 

Cisco i wiele innych Zachodnich przedsiębiorstw jak Nortel, Intel, Yahoo czy Google, uzbroiły partię w zdolność do cenzury i monitoringu cyberprzestrzeni. Podczas gdy od wielu lat pod rządami Chin, używanie stacjonarnych lub komórkowych telefonów nie było bezpieczne, to teraz zwykli obywatele mogą zostać zaaresztowani za odwiedzenie „złej” strony internetowej lub wysłanie „prywatnego” e-maila.

Istnieją potwierdzone obawy o to, że Chiny jako największy producent i eksporter elektroniki na świecie, zmienia oprogramowanie chipów, umieszczając złośliwe oprogramowanie w urządzeniach już w fabryce producenta. Pytanie czy jest to wynik niedbałości producenta i nieświadomej pracy na zainfekowanym sprzęcie kontrolującym linię produkcyjną, czy może ktoś producenta zaatakował, przejął jego systemy i celowo modyfikuje firmware produkowanych urządzeń bez wiedzy i zgody producenta. W chińskim przypadku bardzo możliwe jest również, że producent mógł zostać zmuszony do infekowania produkowanych przez siebie urządzeń, a dzięki Snowdenowi wiemy, że NSA ma specjalną komórkę „przeładunkową”, której zadaniem jest przechwytywanie paczek, otwieranie ich i modyfikowanie firmware’u urządzeń, które są wysyłane z fabryk producentów do klientów na całym świecie.

 

W celu zbadania integralności oprogramowania i chipów wykorzystywanych w rządowej sieci, rząd USA zatrudnił specjalistyczne firmy do badania. Podsumowując raport wyniki były alarmujące bo wykryto aż 90% błędów kodowania z czego 10% było uznane za szkodliwe.

 

Ostatnio dyrektor NSA określił, że cyberszpiegostwo jako „największy transfer bogactwa w historii”. Tak więc wydaje się, że problem cybernetycznego szpiegostwa buduje się od lat a cicha dyplomacja tylko wspiera ten proceder.
 

 

W 2013 roku został opublikowany raport APT1 przez Mandiant, w którym przedstawiono niezbite dowody, że w chińskiej armii działa tajna jednostka, którą można określić mianem najgroźniejszej cyberterrorystycznej formacji na świecie. Z raportu wynika, że hakerzy ci mają swoją bazę w niepozornym 12-piętrowym budynku na przedmieściach Szanghaju i są członkami tajnej jednostki wojskowej chińskiej armii PLA oznaczonej jako „Jednostka 61398”. Głównym celem APT1 były kraje anglojęzyczne z których wykradziono setki terabajtów danych. Ponad 147 przypadków zostało odnotowanych, w szczególności przedsiębiorstwa prywatne w USA i Europie. Wydaje się, że raport odniósł skutek i przerwał cykl nieskutecznej cichej dyplomacji.

 

Oczywiste jest, że rządy opracowały metody działania, które są po prostu zainteresowane kopiowaniem tyle informacji ile jest możliwe. Istnieje wiele różnych poziomów zaangażowania państwa w hacking: sponsorowany, wspierany i tolerowany, jednak bardzo ciężko jest jednoznacznie określić różnice pomiędzy nimi i tak jak pisałem w moim ostatnim poście malware w dzisiejszych czasach jest nieuchwytne i prawdopodobnie wykorzystywane przez organizacje rządowe i ugrupowania przestępcze, ale to już jest cienka linia której nie należało przekraczać. Jakie szanse w walce z organizacjami rządowymi maja korporacje? A co nas czeka niedługo? Czy scenariusz z filmu WarGames z 1983 jest już prawdopodobny? Może zamiast pojedynczego hakera grupa rządowa włamie się do systemu nuklearnego innego państwa odpali rakietę i pozostawi po sobie ślady, które będą wskazywały, że ataku dokonała inna narodowość…