Każdy z nas już nie raz słyszał historie o tym jak organizacje
rządowe włamują się do korporacji, wykorzystują jurysdykcje i kradną poufne
informacje. Pytanie czy są to pojedyncze przypadki, czy jest to już część
ekonomicznej wojny pomiędzy narodowościami? Media głównie skupiają się wokół
informacji na temat „Afery Snowdena”, która ujawniła że amerykańscy szpiedzy
używają technologii. W jakim celu rząd USA gromadzi dane? Zapewne w celu
zabezpieczenia narodu i swoich obywateli…
Póki co najbardziej niebezpiecznymi podmiotami
działającymi w cybernetyce pozostają państwa narodowe. Przyjrzyjmy się motywom jakimi
państwa mogą się kierować. Ideologia? Ekonomiczny wzrost? Ego/Siła? Praktycznie te
same motywacje można zauważyć w grupach cyberprzestępczych. Zbadajmy motyw
ekonomicznego wzrostu w cyberszpiegostwie.
Brytyjska służba specjalna GCHQ (Government Communications
Headquarters) opublikowała przypadek, w którym członek zarządu firmy
telekomunikacyjnej został ukierunkowany w celu podjęcia odpowiedniej decyzji.
Inny przypadek pokazuje firmę farmaceutyczną która traci bilion funtów poprzez
ukierunkowany atak, który pozwala na kradzież wyników badań nad lekiem nowej
generacji w celu stworzenia tańszego leku przez firmę farmaceutyczną innego
kraju. To nie są fikcyjne czy pojedyncze przykłady.
Z biegiem lat widać, że wiele organizacji stało się ofiarami
tego co początkowo było uważane za cyberprzestępczość. W niektórych przypadkach
można zauważyć wyraźne przypadki „hybrydowych-motywacji”, czyli wiele grup
działających razem w celu wykonania ukierunkowanego ataku w dany podmiot, a
mówiąc wprost, rządy państwowe pomagają cyberprzestępcom atakować cele które
wpisują się w ich własny program polityczny. Zamazana linia pomiędzy
cyberprzestępczością, cyberszpiegostwem i cyberwojną jest prawie nie do
rozdzielenia.
W 2009 głośno było o operacji zwanej „Night Dragon”. Była to
doskonale strategicznie przygotowana i sfinansowana kampania szpiegowska
przeciwko amerykańskim koncernom paliwowym. Metody ataku nie były specjalnie
skomplikowane, w większości przypadków dostęp do firmowej sieci uzyskano
poprzez włamanie na stronę WWW danej firmy lub poprzez dostarczenie złośliwego
oprogramowania do komputera konkretnego, wysoko postawionego pracownika. Mimo
to, cyfrowi szpiedzy dokładnie wiedzieli czego szukają, były to poufne
informacje w odniesieniu do negocjacji o wysokiej wartości. Ogólnie wiadomo
jest, że to Chiny stoją za tym atakiem.
Chiny są często określane jako „bad guys” w odniesieniu do zagrożeń cybernetycznych, ponieważ zostały już wcześniej oskarżone o kradzież informacji z Departamenty Obrony USA, własności intelektualne Google, czy nawet projekty najbardziej zaawansowanych technicznie amerykańskich systemów broni. Kampanie te były czymś więcej niż tylko pracą entuzjastów hackingu; są to bardzo dobrze zorganizowane działania takie jak: „Ghostnet”, „Operation Aurora”, czy „Night Dragon”.
Od ponad dziesięciu lat Chińczycy mają tendencję do korzystania
z techniki Spear phishing. Jest to technika ukierunkowana w kadrę kierowniczą
wysokiego szczebla, mająca na celu nakłonienie do otworzenia załącznika. Ofiary
otrzymują wiadomość e-mail, która wydaje się pochodzić od zaufanej osoby lub
organizacji. W spear phishingu jednak przestępcy nie rozsyłają zainfekowanych
maili do milionów przypadkowych użytkowników, lecz dobierają indywidualnie
swoje ofiary. Wysłanie wiadomości, do wcześniej wybranego odpowiednio
kandydata, poprzedzone jest przeprowadzeniem pogłębionego wywiadu środowiskowego
potencjalnej ofiary. Cyberprzestępcy pozyskują wszelkie informacje dostępne w
Internecie (na portalach społecznościowych, stronach pracodawcy, forach itp.),
aby jak najlepiej poznać infekowaną osobę. Załącznik który jest wysłany z
e-mailem, zawiera pewnego rodzaju złośliwy kod tzw malware, który po
uruchomieniu daje pełny dostęp do komputera ofiary i może rejestrować wszystko
co jest wpisywane na klawiaturze.
W 2011 roku poprzez atak spear phishing została zhakowana firma
RSA, która specjalizuje się w dostarczaniu rozwiązań z zakresu bezpieczeństwa…
Atak powiódł się dzięki złośliwym plikom, udającym arkusze kalkulacyjne w
Excelu, wysłanym jako załączniki mailowe. Wiadomość została dobrze oznaczona
przez Outlook jako spam i przeniesiona do folderu ze spamem przez pracownika, tylko
dlatego że w tytule wiadomości były zawarte informacje pozyskane z inżynierii
społecznej, przekonało to użytkownika do uruchomienia załączników.
„Hey
presto, the worm spread on the network and gave open access to the bad guys.
You can firewall technology but you cannot firewall human behavior.”
Operacja Aurora”, która po raz pierwszy ujrzała światło dzienne
na początku roku 2009, spowodowała oskarżenia Google w kierunku chińskich
hakerów odpowiedzialnych za atak na serwery wyszukiwarki i 30 innych
amerykańskich firm takich jak: Adobe Systems, Juniper Networks, Rackspace,
Yahoo, Symantec, Northrop Grumman, Morgan Stanley and Dow Chemical.
Pierwsze ataki miały miejsce w czerwcu, kiedy cyberprzestępcy
testowali botnety w sieci. Za pomocą zainfekowanych złośliwym oprogramowaniem
komputerów udało im się uzyskać dostęp do kont e-mail, baz danych i
dokumentacji organizacji i firm internetowych. Za pierwszymi atakami stały
najprawdopodobniej chińskie szkoły i ośrodki badawcze, które raport firmy
Damballa nazywa inkubatorami infekcji. Można przypuszczać, że powstały
specjalne zespoły, których zadaniem było przygotować główny atak na Google’a.
Według opinii Google’a, amerykańskiego rządu i firm
odpowiedzialnych za bezpieczeństwo w sieci za atakami stały Chiny. Hilary
Clinton, sekretarz stanu USA, pod koniec stycznia domagała się wyjaśnień w tej
sprawie od chińskiego rządu. Ten jednak ostro odciął się od oskarżeń. Wszelkie
oskarżenia kierowane pod kierunkiem chińskiego rządu o współudział w atakach (...)
są bezpodstawne i mają na celu oczernienie Chin - powiedział rzecznik prasowy
ministra przemysłu i technologii informatycznej.
Firma McAfee twierdzi, że podczas ataków na Google i innych 30
firm, hakerzy wykorzystali wcześniej nieznaną, a obecnie niezałataną (0day)
dziurę w przeglądarce Internet Explorer pozwalającą na zdalne wykonanie kodu.
Firma iDefence z kolei namierzyła serwery Command & Control, które używane
były do sterowania atakiem. Raport iDefence, na podstawie zebranych danych,
wskazuje chiński rząd jako zleceniodawcę ataku.
Z globalnego punktu widzenia trzeba pamiętać, że w Chinach jest
więcej internautów niż ludzi w USA. Szacuje się, że jest ich ponad 400mln, z
czego 1,2mln to hakerzy z wyższym wykształceniem, których patriotyczna postawa
wydaje się być kluczowym czynnikiem w nacjonalizacji i rywalizacji z zachodem.
Można podać wiele przykładów, gdzie tajemnice handlowe, które kosztowały tysiące godzin pracy, zostały skradzione w ułamku sekundy, np. zastosowanie rozwiązań skradzionych z amerykańskich samolotów V generacji F-35 w chińskich J-20. Oczywiści stanowisko chińskiego rządu jest ciągle takie samo; zaprzecza wszystkiemu.
Według Ethan Guttman który pracował dla amerykańskiej Izby
Handlowej w Pekinie, wszystko to zakorzeniło się w latach 90-tych. Amerykańskie
firmy były bardzo zdeterminowane aby wejść na rynek chiński, że zgodziły się na
przekazanie własności intelektualnej. Wymienić można Microsoft, Symantec czy
Network Associates, którzy faktycznie zmuszeni byli do przekazania technologii,
aby móc rozwijać biznes w Chinach.
Wydaje się że chiński rząd nie szanuje prawa człowieka i
własności intelektualnej. Zarzuca się, że w latach 90-tych chiński rząd stworzył
wirusy, które mógł użyć przeciwko własnemu ludowi. Obecnie wiadomo jest, że
Internet w Chinach jest całkowicie monitorowany i filtrowany.
W 2011 Cisco zostało pozwane przez fundacje praw człowieka za
współprace z chińskim rządem poprzez swoją technologię przy cenzurowaniu
internetowej działalności Falun Gong. Amerykańska firma miała wręcz reklamować
chińskim władzom swoje produktu jako skuteczny element „Złotej Tarczy”, części
chińskiego programu cenzury sieci w odniesieniu do tematów politycznie
wrażliwych takich jak Plac Tiananmen czy rewolucja na Bliskim Wschodzie. Przy
jego pomocy członkowie sekty mieli być śledzeni, aresztowani, potem także
torturowani.
Według doniesień Cisco zbudowało system, który pozwalał chińskim
służbom bezpieczeństwa zatrzymać
kogokolwiek na ulicy, zeskanować numer dowodu osobistego i uzyskać zapis z
ostatnich 60 dni aktywności danego obywatela w Internecie – w tym również
korespondencję mailową, i na podstawie tego – zaaresztować.
Cisco i wiele innych Zachodnich przedsiębiorstw jak Nortel,
Intel, Yahoo czy Google, uzbroiły partię w zdolność do cenzury i monitoringu
cyberprzestrzeni. Podczas gdy od wielu lat pod rządami Chin, używanie
stacjonarnych lub komórkowych telefonów nie było bezpieczne, to teraz zwykli
obywatele mogą zostać zaaresztowani za odwiedzenie „złej” strony internetowej
lub wysłanie „prywatnego” e-maila.
Cisco i wiele innych Zachodnich przedsiębiorstw jak Nortel,
Intel, Yahoo czy Google, uzbroiły partię w zdolność do cenzury i monitoringu
cyberprzestrzeni. Podczas gdy od wielu lat pod rządami Chin, używanie
stacjonarnych lub komórkowych telefonów nie było bezpieczne, to teraz zwykli
obywatele mogą zostać zaaresztowani za odwiedzenie „złej” strony internetowej
lub wysłanie „prywatnego” e-maila.
Istnieją potwierdzone obawy o to, że Chiny jako największy
producent i eksporter elektroniki na świecie, zmienia oprogramowanie chipów,
umieszczając złośliwe oprogramowanie w urządzeniach już w fabryce producenta.
Pytanie czy jest to wynik niedbałości producenta i nieświadomej pracy na
zainfekowanym sprzęcie kontrolującym linię produkcyjną, czy może ktoś
producenta zaatakował, przejął jego systemy i celowo modyfikuje firmware
produkowanych urządzeń bez wiedzy i zgody producenta. W chińskim przypadku
bardzo możliwe jest również, że producent mógł zostać zmuszony do infekowania
produkowanych przez siebie urządzeń, a dzięki Snowdenowi wiemy, że NSA ma
specjalną komórkę „przeładunkową”, której zadaniem jest przechwytywanie paczek,
otwieranie ich i modyfikowanie firmware’u urządzeń, które są wysyłane z fabryk
producentów do klientów na całym świecie.
W celu zbadania integralności oprogramowania i chipów
wykorzystywanych w rządowej sieci, rząd USA zatrudnił specjalistyczne firmy do
badania. Podsumowując raport wyniki były alarmujące bo wykryto aż 90% błędów
kodowania z czego 10% było uznane za szkodliwe.
Ostatnio dyrektor NSA określił, że cyberszpiegostwo jako
„największy transfer bogactwa w historii”. Tak więc wydaje się, że problem
cybernetycznego szpiegostwa buduje się od lat a cicha dyplomacja tylko wspiera
ten proceder.
W 2013 roku został opublikowany raport APT1 przez Mandiant, w
którym przedstawiono niezbite dowody, że w chińskiej armii działa tajna
jednostka, którą można określić mianem najgroźniejszej cyberterrorystycznej
formacji na świecie. Z raportu wynika, że hakerzy ci mają swoją bazę w
niepozornym 12-piętrowym budynku na przedmieściach Szanghaju i są członkami
tajnej jednostki wojskowej chińskiej armii PLA oznaczonej jako „Jednostka 61398”.
Głównym celem APT1 były kraje anglojęzyczne z których wykradziono setki
terabajtów danych. Ponad 147 przypadków zostało odnotowanych, w szczególności
przedsiębiorstwa prywatne w USA i Europie. Wydaje się, że raport odniósł skutek
i przerwał cykl nieskutecznej cichej dyplomacji.
Oczywiste jest, że rządy opracowały metody działania, które są
po prostu zainteresowane kopiowaniem tyle informacji ile jest możliwe. Istnieje
wiele różnych poziomów zaangażowania państwa w hacking: sponsorowany, wspierany
i tolerowany, jednak bardzo ciężko jest jednoznacznie określić różnice pomiędzy
nimi i tak jak pisałem w moim ostatnim poście malware w dzisiejszych czasach
jest nieuchwytne i prawdopodobnie wykorzystywane przez organizacje rządowe i
ugrupowania przestępcze, ale to już jest cienka linia której nie należało
przekraczać. Jakie szanse w walce z organizacjami rządowymi maja korporacje? A co nas czeka niedługo? Czy scenariusz z filmu WarGames z 1983
jest już prawdopodobny? Może zamiast pojedynczego hakera grupa rządowa włamie
się do systemu nuklearnego innego państwa odpali rakietę i pozostawi po sobie
ślady, które będą wskazywały, że ataku dokonała inna narodowość…
Brak komentarzy:
Prześlij komentarz