Zamknij
Andrzej Dajewski

Wszystko jest połączone (w cyberprzestrzeni i wokół). Część I

25 czerwca 2017 |Andrzej Dajewski, W cyberprzestrzeni, Wojna w cyberprzestrzeni, Wszystko jest połączone
Źródło: https://staging.wydawnictwopodziemne.com/2017/06/25/wszystko-jest-polaczone-w-cyberprzestrzeni-i-wokol-czesc-i/

W globalnym labiryncie

Wojna kojarzy się zwykle z otwartym konfliktem i wymianą ciosów. Jak wobec tego nazwać stan, w którym tylko jedna ze stron prowadzi ofensywę, a strona zaatakowana ogranicza się do stawiania „zapór ogniowych”? Zaryglowanie drzwi w mieszkaniu mogłoby przynieść dobry skutek w odniesieniu do zwykłych przestępców, lecz nie będzie skuteczne wobec dobrze wyszkolonej i wyposażonej armii bandytów. Tym bardziej, jeśli ma się do dyspozycji znacznie skuteczniejsze środki, nie tylko do obrony. Zaatakowany mówi i pisze o wojnie, lecz nie podejmuje działań wojennych, ponieważ spowodowałoby to określone konsekwencje: publiczne nazwanie wroga, mobilizację własnych sił, uzbrojenie się i podjęcie walki. Zamiast to uczynić, bada ataki, barykaduje się, i oczekuje aż napastnik dobrowolnie się wycofa. Lecz napastnik jest bezwzględny i stosuje wyłącznie strategię faktów dokonanych. Prowadząc napaść, wykorzystuje każdą słabość ofiary. Szczególnie tę, która skłania ją do negocjowania z nim, „wyciągania urękawicznionej dyplomacją ręki, w kierunku zaciśniętej pięści”. Nie powinno się więc nazywać wojną napaści na kraj, który będąc zaatakowany, nie chce walczyć. To, co kwestionuję powyżej, odnoszę do tzw. cyberwojny – wojny w cyberprzestrzeni – napaści bolszewików na systemy komputerowe swoich przeciwników oraz reakcji na nią. Nazwałbym to zjawisko raczej „podbojem w cyberprzestrzeni”. Termin „wojna w cyberprzestrzeni” jest jednak ogólnie stosowany do określenia wszystkiego, co jest związane z atakami na systemy komputerowe. Nie zamierzam podważać tego znaczenia, zatem przyjmuję taką samą terminologię.

*

W wyniku pierestrojki, wolny świat uznał powszechnie, że komunizm upadł, zaś sowieci i większość pozostałych komunistów, zamienili się w autentycznych i szczerych demokratów, którzy nie stanowią już żadnego zagrożenia. Wolne, bogate i rozwinięte kraje uznały zatem, że z komunistami należy w pełnym wymiarze współpracować. Także w dziedzinie nowoczesnych technologii komputerowych. Komuniści, po raz kolejny, umiejętnie wykorzystali sprzyjające im okoliczności. Znaczną część nowoczesnych technologii komputerowych, a także niezbędnej wiedzy na temat posługiwania się nimi, uzyskali i uzyskują – co nie jest niczym nowym – od tych, których traktują jako swoich wrogów: wolnych, rozwiniętych technologicznie społeczeństw świata. Bez problemu dostali od nich to, co wcześniej zmuszeni byli kraść lub zdobywać, korzystając z usług, sprzyjających im „państw niezaangażowanych”. Złowroga teza Lenina „kapitaliści sami sprzedadzą nam sznur, na którym ich powiesimy” zyskała jeszcze jedno uzasadnienie. Ogromny rozwój technik komputerowych i zastosowań komputerów, jaki nastąpił w latach 90. i później, spowodował, że świat stał się technologiczną globalną wioską – cyberprzestrzenią. Stał się tym samym jeszcze łatwiejszy do opanowania. Aby przyspieszyć swój podbój, komuniści nie tylko nie zaniechali działań szpiegowsko-wywiadowczych, ale w znacznym stopniu je rozwinęli, adaptując je do nowej technologii. Ataki cybernetyczne prowadzone są przez nich zazwyczaj w taki sposób, aby ich niepodważalna identyfikacja jako napastnika była utrudniona, jakkolwiek – podobnie jak w innych sferach swoich poczynań, których celem jest podbój świata – nie stronią także od działań jawnych. Charakteryzują ją kradzieże, podstęp, dezinformacja i tym podobne metody przejęte ze świata kryminalistów. Nierzadko, komuniści dokonują też aktów sabotażu. Proceder ten obejmuje zarówno infrastrukturę sieci i systemów komputerowych, jak też stosowane w nich oprogramowanie oraz jego użytkowników. Tzw. czynnik ludzki jest najczęściej kluczem do przeprowadzenia i powodzenia ataku. Metody te są wciąż przez bolszewików rozwijane, zaś ich paleta stale się powiększa. Przy tym wszystkim, nie działają wyłącznie własnymi siłami, stosując często taktykę „fałszywej flagi” – podobnie jak w klasycznych operacjach szpiegowskich. Przejmują lub kontrolują grupy komputerowych przestępców oraz posługują się wszelkiej maści agenturą. Można więc uznać, że w teorii i praktyce, wojna w cyberprzestrzeni jest w ich wydaniu, w dużym stopniu, kontynuacją wojny wywiadowczo-dywersyjnej, którą prowadzą od początku. Na temat cyberwojny znaleźć można wiele informacji i analiz, trudno jednak znaleźć takie, które wolne są od przyjętego z góry założenia, że komunizm upadł, zaś wszelkie konflikty na naszej planecie mają podłoże narodowościowe lub są wynikiem tradycyjnej rywalizacji pomiędzy państwami. W praktyce nikt nie interpretuje jej jako zagrożenia o charakterze totalnym. Nie chcąc dostrzec istoty rzeczy, wolny jeszcze świat skazuje się na klęskę.

Sieci komputerowe stosowane są dziś powszechnie, łączą ze sobą wszystkie kraje, ich struktury militarne, gospodarcze, administracyjne i infrastrukturę techniczną, stanowiąc dla bolszewików doskonałe narzędzie do podboju świata. Przykłady na to, jak ten podbój w praktyce przebiega, przedstawiane były na stronach Wydawnictwa Podziemnego już kilkakrotnie. [1] Ze swojej strony, chciałbym skoncentrować się na cyberatakach sowieckich na przestrzeni ostatnich trzech lat. Proszę czytelnika o wyrozumiałość ze względu na dużą ilość odsyłaczy w tekście, a także technicznie skomplikowanych opisów konkretnych ataków, które zapewne mogą go nużyć. Chciałbym, powołując się na źródła, jak najlepiej uzasadnić przedstawione przeze mnie informacje i tezy oraz ukazać taktykę sowiecką i środki, których używają do jej realizacji.

*

Pomysłodawcy i realizatorzy pierwszej sieci komputerowej ARPANET, stworzonej w końcu lat 60. ubiegłego wieku, nie sądzili zapewne, że stanie się ona także zalążkiem nowego pola walki w wojnie, którą komuniści wypowiedzieli światu wolnych ludzi. 80 lat po bolszewickim przewrocie, wykorzystując technologię sieci komputerowych, rozwiniętą w międzyczasie do postaci globalnej, internetowej „pajęczyny”, przeprowadzili, wymierzoną w USA operację szpiegostwa komputerowego, znaną pod nazwą Moonligth Maze. Spenetrowali sieci i systemy komputerowe Pentagonu, NASA, Departamentu Energii oraz amerykańskich laboratoriów i uniwersytetów, wykradając ważne dane i informacje. [2] Wkrótce, dołączyli do nich w tej dziedzinie chińscy komuniści, realizując tym samym w praktyce, przewidzianą przez Golicyna, strategię „jednej zaciśniętej pięści” w odniesieniu do strategicznych zasobów danych komputerowych USA. Komunistyczna działalność szpiegowska w tej sferze nie była jednak wówczas niczym nowym. Dla przykładu, w latach 70. i 80. ubiegłego wieku sowietom udało się zainstalować „pluskwy” w używanym przez Amerykanów, w moskiewskiej ambasadzie i leningradzkim konsulacie, sprzęcie firmy komputerowej IBM. Dzięki temu, przez 8 lat mieli dostęp do tajnych dokumentów. [3] Niewątpliwie zrobili z tego użytek, wszakże były to czasy, gdy rozpoczynali realizację swojej, największej dotąd, prowokacji i akcji dezinformacyjnej. Nie minęła dekada, gdy Amerykanie odkryli, że znajdują się w przygotowanym przez bolszewików, komputerowym labiryncie. Sieć, podobnie jak labirynt, można także kojarzyć z matnią.

W październiku 2014 roku, specjalizująca się w wykrywaniu i zapobieganiu zagrożeniom w sieciach i systemach komputerowych, amerykańska firma FireEye/Mandiant opublikowała raport na temat sowieckiego szpiegostwa komputerowego. W raporcie tym, opisano tzw. grupę zagrożenia o nazwie APT28 (APT jest skrótem od Advanced Persistent Threat). [4] Raport FireEye jednoznacznie identyfikuje APT28 jako instytucję sowiecką, która, co najmniej od 2007 roku, zajmuje się komputerową kradzieżą informacji o znaczeniu strategicznym. Świadczy o tym analiza zastosowanego w tym celu malware (ukrytego przed użytkownikiem, szkodliwego kodu zawartego w oprogramowaniu i/lub w innych plikach komputerowych). Najważniejsze ustalenia przedstawione w raporcie FireEye są następujące:

Warto przytoczyć załączony w tym raporcie schemat cyberataku, ponieważ także z niego wynika, że realizacją kradzieży informacji zajmuje się zespół profesjonalistów wyposażonych w odpowiednie narzędzia, nie tylko mających rozległą wiedzę techniczną oraz wiedzę o przeciwniku, ale także dysponujący odpowiednim zapleczem:

  1. Spersonalizowany e-mail umożliwia kradzież informacji osobistych (najczęściej haseł dostępu do usług internetowych, w szczególności do poczty elektronicznej), zwykle za pośrednictwem odnośnika do spreparowanej strony internetowej, zastępującej znaną ofierze ataku stronę autentyczną. Ta metoda cyberataku znana jest w branży zabezpieczeń systemów i sieci komputerowych jako atak typu spear phishing.
  2. Ofiara ataku otrzymuje, wysłany jej „legalnie” dokument, który zawiera malware „pierwszego etapu”, instalujące się automatycznie w jej komputerze podczas przeglądania przez nią załączonego dokumentu.
  3. Malware „pierwszego etapu” komunikuje się z obsługiwanym przez napastnika serwerem C2 (command-and-control; używa się także skrótów CnC lub C&C), stosując przy tym algorytmy szyfrujące. Przekazuje mu niezbędne informacje o systemie ofiary oraz odczytuje i wykonuje przeznaczone dla siebie polecenia. Między innymi, pobiera i instaluje narzędzie „drugiego etapu”.
  4. Malware „drugiego etapu”, także na podstawie zaszyfrowanych poleceń przekazywanych z serwera C2 (nie musi to być ten sam serwer), penetruje sieć komputerową ofiary ataku, śledzi jej aktywność, dokonuje kradzieży danych oraz wykonuje polecenia systemowe umożliwiające m. in. uzyskanie odpowiednich uprawnień i/lub maskowanie kradzieży, a nawet „popełnienie samobójstwa” po wykonaniu zleconych mu zadań, co polega na zatarciu pozostawionych śladów swojej aktywności i wykasowaniu swojego kodu z systemu komputerowego ofiary ataku.

APT28 wraz z dwoma innymi sowieckimi grupami szpiegowskimi, zostały wkrótce opisane w raporcie innej, wysoko notowanej w branży zabezpieczeń sieci i systemów komputerowych, firmy Recorded Future. [5] Zaletą tego raportu jest m.in. zestawienie stosowanego w tej branży nazewnictwa, identyfikującego te same grupy, a także cech charakteryzujących ich działalność. Warte uwagi są również, przedstawione w raporcie, wykresy ich aktywności.

Dziewięć miesięcy później, FireEye opublikowała kolejny raport na temat sowieckich ataków w cyberprzestrzeni. Na początku roku 2015, odkryła malware, stworzone i wykorzystywane przez inną szpiegowską instytucję sowiecką, którą zidentyfikowała jako APT29. [6] Malware to oceniono jako jeszcze bardziej technicznie zaawansowane od opisanego poprzednio. Dużą wagę przywiązano w nim technikom „zacierania śladów” oraz wykrywaniu zabezpieczeń systemów komputerowych ofiar ataku. Dodatkowo, wykorzystuje ono powszechnie stosowane serwisy społecznościowe Twitter i GitHub (serwis przeznaczony głównie dla programistów) oraz internetowe serwisy cloud storage („pamięci w chmurze”) – jednego z zastosowań technologii cloud computing („przetwarzania w chmurze”). Wykorzystywane przez APT29 serwery C2 są niemal wyłącznie serwerami innych użytkowników Internetu, po przejęciu nad nimi kontroli. Po zainstalowaniu malware w systemie komputerowym ofiary ataku, działanie „tylnego wejścia” jest pięcioetapowe:

  1. Generuje i sprawdza odnośnik do profilu serwisu Twitter, który mógłby zawierać informację na temat zestawu poleceń do wykonania. Jeśli profil nie istnieje, malware powtarza operację następnego dnia. Generowany odnośnik, każdego dnia jest inny.
  2. Operator malware, stosując ten sam algorytm generowania odnośnika, tworzy profil i zamieszcza odpowiednią informację w serwisie Twitter. Malware pobiera z tej informacji odpowiednie parametry, które pozwolą mu następnie pobrać i odczytać polecenia do wykonania.
  3. Na podstawie pobranych informacji, malware pobiera plik z poleceniami, którym, w jednej z wersji, może być zamieszczona na serwisie GitHub, fotografia w zapisie cyfrowym, zawierająca ukryte i zaszyfrowane polecenia (technika cyfrowej steganografii).
  4. Malware dekoduje i odczytuje polecenia, które ma wykonać.
  5. Malware wykonuje polecenia. Wykradzione informacje przesyła do APT29, wykorzystując jeden z powszechnie dostępnych serwisów cloud storage.

Jakkolwiek przedstawione powyżej techniki hakerskie nie są nowe, zastosowanie ich łącznie, w ramach przemyślnie i skutecznie zrealizowanej procedury, świadczy o profesjonalizmie APT29. Podobnie jak w przypadku APT28, przedmiot ataków, ich stałość, charakterystyczna strefa czasowa (UTC+3 – czas moskiewski), elastyczność malware, jego stały rozwój oraz fakt, że APT29 zawiesza swoje działania w dniach wolnych od pracy w Federacji Rosyjskiej, świadczą o tym, że prowadzi je sowiecka instytucja wywiadowczo-szpiegowska.

Również w lipcu 2015, inna firma amerykańska, Symantec, znana od lat z oprogramowania zabezpieczającego komputery i obecna w branży praktycznie od samego początku istnienia globalnego Internetu, zamieściła informację na temat zidentyfikowanego przez siebie groźnego malware, nadając mu nazwę SeaDuke [7] Schemat ataków przeprowadzanych przy użyciu tego narzędzia jest podobny do opisanego przez FireEye w przypadku APT29. SeaDuke jest elementem z całego zestawu malware, którego źródło Symantec określił mianem „Grupy Duke”. W treści sprawozdania podany jest odnośnik do innego raportu – fińskiej firmy F-Secure, [8] która opisała wcześniej inny element z tego zestawu malware – CozyDuke, także działający na zasadzie podobnej do opisanej wcześniej przez FireEye.

Kwestia instytucjonalnego szpiegostwa komputerowego, realizowanego przez sowietów, jest w branży zabezpieczeń sieci i systemów komputerowych powszechnie komentowana i mało kto zgłasza w tym względzie wątpliwości. Sadzę, że przedstawione powyżej informacje oraz fakt, że pochodzą one z wielu źródeł – znanych i dobrze prosperujących firm, stosujących różne metody analizy i różne zaplecze badawcze – dostatecznie dobrze dowodzą, że sowieci prowadzą zorganizowaną, zaawansowaną technologicznie cyberwojnę, posługując się w niej bronią, którą określić można mianem wywiadowczych robotów cybernetycznych. Pytanie czy tylko wywiadowczych, wydaje się być pytaniem retorycznym wobec zdarzeń, do jakich doszło w trakcie ostatnich wyborów prezydenckich i wyborów do Kongresu w USA.

*

14 czerwca 2016 roku, nieco ponad miesiąc przed formalnymi nominacjami Donalda Trumpa i Hillary Clinton na kandydatów na urząd prezydenta USA, które nastąpiły podczas konwencji wyborczych Partii Republikańskiej i Partii Demokratycznej (dzieliło je kilka dni), na blogu kalifornijskiej firmy CrowdStrike, która w branży zabezpieczeń sieci komputerowych obecna jest od 2011 roku, pojawił się wpis jej współzałożyciela oraz szefa w zakresie technologii informatycznych Dimitrija Alperowicza (emigranta z ZSRS) na temat ataków na sieć komputerową DNC (Democratic National Committee) – komitetu wyborczego Partii Demokratycznej. [9] Pół godziny wcześniej, informację na ten temat zamieścił liberalny dziennik Washington Post. CrowdStrike zaangażowana została przez DNC w maju 2016, po stwierdzeniu odbiegającego od normy, przepływu danych w sieci komputerowej tej instytucji. Wysłany przez firmę zespół specjalistów, bardzo szybko odkrył, że sieć DNC została zaatakowana i spenetrowana przez dwie różne grupy hakerskie. Obie grupy były już wcześniej przez firmę zidentyfikowane, jako jedne z najbardziej zaawansowanych technicznie i operacyjnie grup, zaangażowanych w szpiegostwo komputerowe. CrowdStrike nadała im nazwy FANCY BEAR oraz COZY BEAR. Analizując ich malware, przypisała im ścisłe związki z Kremlem. Profil ofiar ataków oraz tematyka danych, będących przedmiotem zainteresowania ze strony FANCY BEAR, wskazywała na jej bliski związek z GRU – sowieckim wywiadem wojskowym. Z kolei COZY BEAR, CrowdStrike powiązała z SVR – razwiedką cywilną. Pierwsza z tych grup, to nic innego jak APT28, zaś druga to APT29. APT29/COZY BEAR włamała się do sieci komputerowej DNC latem 2015 roku, natomiast APT28/FANCY BEAR w kwietniu 2016. Fakt, że oba zespoły wywiadowczo-szpiegowskie wybrały ten sam cel, autor wpisu tłumaczy tym, że w praktyce służb Federacji Rosyjskiej nie jest to niczym nadzwyczajnym, gdyż tamtejsze służby wywiadowcze ze sobą rywalizują. Alperowicz zamieścił opisy malware użytego do włamania, fragmenty jego kodu oraz IOCs (Identifiers Of Compromise) – dowody-ślady włamań do systemu komputerowego. W tym miejscu warto zwrócić uwagę, że wymienione we wpisie Alperowicza malware o nazwie SeaDaddy, to inna nazwa dla wspomnianego wcześniej SeaDuke. Brak w tej dziedzinie jednolitego nazewnictwa powoduje, niestety, sporo zamieszania i dezorientacji. W jakimś stopniu wytłumaczyć to można faktem ciągłej ewolucji malware.

_____

  1. http://wydawnictwopodziemne.com/category/cykle/wojna-w-cyberprzestrzeni/
  2. http://www.academia.edu/6182336/MOONLIGHT_MAZE._The_beginning_of_a_new_era
  3. https://arstechnica.com/security/2015/10/how-soviets-used-ibm-selectric-keyloggers-to-spy-on-us-diplomats/
  4. https://www.fireeye.com/content/dam/fireeye-www/global/en/current-threats/pdfs/rpt-apt28.pdf
  5. https://www.recordedfuture.com/russian-malware-analysis/
  6. https://www2.fireeye.com/rs/848-DID-242/images/rpt-apt29-hammertoss.pdf
  7. https://www.symantec.com/connect/blogs/forkmeiamfamous-seaduke-latest-weapon-duke-armory
  8. https://www.f-secure.com/documents/996508/1030745/CozyDuke
  9. https://www.crowdstrike.com/blog/bears-midst-intrusion-democratic-national-committee/
Zamknij