Ο σκιώδης πόλεμος Ρωσίας - Δύσης - Επιχείρηση Medusa κατά Snake, ο ρόλος της Μονάδας 71330
Το κακόβουλο λογισμικό (malware) Snake, που χρησιμοποιείται από τη ρωσική υπηρεσία κατασκοπείας FSB, τέθηκε εκτός λειτουργίας από τη δυτική συμμαχία κ
Κανείς δεν πιστεύει ότι το ρώσικο κακόβουλο λογισμικό πατάχθηκε
"Ένας πραγματικός πόλεμος διεξάγεται εναντίον της πατρίδας μας!" βροντοφώναξε ο Vladimir Putin προς τα πλήθη στην Κόκκινη Πλατεία της Μόσχας αυτή την εβδομάδα.
Ωστόσο, ακόμη και όταν τα τεθωρακισμένα αυτοκίνητα και τα στρατιωτικά φορτηγά του κυλούσαν στα πλακόστρωτα στην ετήσια παρέλαση της Ημέρας της Νίκης, οι δυτικοί εμπειρογνώμονες στον κυβερνοχώρο παρέδιδαν στον Ρώσο ηγέτη ένα δώρο που θα θυμόταν.
Το κακόβουλο λογισμικό (malware) Snake, που χρησιμοποιείται από τη ρωσική υπηρεσία κατασκοπείας FSB, τέθηκε εκτός λειτουργίας από τη δυτική συμμαχία κατασκοπείας Five Eyes σε μια πολυεθνική επιχείρηση με την κωδική ονομασία Operation Medusa.
Η κατάργησή τους έθεσε εκτός λειτουργίας ένα ζωτικής σημασίας εργαλείο του Κρεμλίνου για την παρέμβαση στις δυτικές εκλογές, τη διατάραξη επιχειρήσεων και τη συλλογή πληροφοριών για τους εχθρούς της Μόσχας - τερματίζοντας μια εκστρατεία κυβερνοκατασκοπείας δύο δεκαετιών που στόχευε αδιακρίτως επιχειρήσεις και δυτικές κυβερνήσεις.
Ο Paul Chichester, διευθυντής επιχειρήσεων του Εθνικού Κέντρου Κυβερνοασφάλειας, περιγράφει το Snake ως "ένα εξαιρετικά εξελιγμένο εργαλείο κατασκοπείας που χρησιμοποιείται από τους ρωσικούς κυβερνοπαράγοντες", προσθέτοντας ότι η Op Medusa βοήθησε στην αποκάλυψη των τακτικών και τεχνικών που χρησιμοποιούνταν εναντίον στόχων, στους οποίους, σύμφωνα με τους Αμερικανούς ομολόγους του, συμπεριλαμβάνονταν κυβερνήσεις του ΝΑΤΟ και αμέτρητες εταιρείες.
Εκπρόσωπος του Communications Security Establishment του Καναδά ανέφερε ότι "αυτή η συλλογική προσπάθεια για την αντιμετώπιση του Snake και των εργαλείων που σχετίζονται με αυτό συνεχίζεται εδώ και σχεδόν 20 χρόνια, καθώς ο φορέας απειλής έχει προσαρμόσει και προσαρμόζει το κακόβουλο λογισμικό του για να το διατηρήσει βιώσιμο μετά από επανειλημμένες δημόσιες αποκαλύψεις και προσπάθειες μετριασμού".
Σε μια συνεργασία ορόσημο μεταξύ των πέντε κατεξοχήν κυβερνοδυνάμεων της Δύσης - Αυστραλία, Βρετανία, Καναδάς, Νέα Ζηλανδία και ΗΠΑ - τα δίκτυα των υπολογιστών που χρησιμοποιούνταν για τον έλεγχο του κεντρικού κακόβουλου λογισμικού του Snake απομακρύνθηκαν από το διαδίκτυο, καθιστώντας ουσιαστικά τους Ρώσους πράκτορες τυφλούς.
Οι πρακτικές του Snake
Σε δημόσια έγγραφα, οι δυτικές μυστικές υπηρεσίες περιγράφουν ότι το Snake αναπτύσσεται σε μια ύπουλη και πολυετή εκστρατεία κατά των συμφερόντων της παγκόσμιας δημοκρατίας.
Η FSB το χρησιμοποίησε για να κλέψει ευαίσθητα διπλωματικά έγγραφα από μια χώρα του ΝΑΤΟ, ενώ παράλληλα στόχευε χρηματοπιστωτικές υπηρεσίες, κρίσιμους κατασκευαστές και οργανισμούς μέσων ενημέρωσης σε ολόκληρο τον ελεύθερο κόσμο.
Ο προσωπικός υπολογιστής ενός μη κατονομαζόμενου δημοσιογράφου σε μια αμερικανική εταιρεία μέσων ενημέρωσης μολύνθηκε επίσης.
Ο John Hultquist, επικεφαλής της Mandiant Intelligence Analysis, που ανήκει στην Google, προσθέτει ότι σε ένα σημείο η FSB χρησιμοποίησε το Snake για να κρυφακούσει μια ιρανική εκστρατεία hacking, αποκτώντας πληροφορίες που εκλάπησαν από έναν δυτικό οργανισμό, ακόμη και όταν οι Ιρανοί συγχαίρονταν για το πραξικόπημα των μυστικών υπηρεσιών.
Οι ειδικοί συμφωνούν ότι το Snake είναι ένα από τα πιο ύπουλα εργαλεία του είδους του.
Ο Hultquist περιγράφει την εκστρατεία στον κυβερνοχώρο ως "μία από αυτές που γνωρίζουμε για πολύ καιρό", καθώς και ως "ίσως μία από τις πιο επιδέξιες και πιο δύσκολο να εντοπιστούν".
"Στοχεύουν το Ηνωμένο Βασίλειο εδώ και πολύ καιρό", λέει ο Hultquist.
"Είχαν πολλές επιχειρήσεις εκεί κατά την εμπειρία μου.
Αλλά, ξέρετε, υπάρχουν επιχειρήσεις στην Ουκρανία αυτή τη στιγμή, υπάρχουν επιχειρήσεις σε όλη την Ευρώπη".
"Πραγματικά δεν υπάρχει καλύτερη στιγμή για να τυφλώσουν τους συλλέκτες πληροφοριών τους από τότε που τις χρειάζονται περισσότερο", συνεχίζει, αναφερόμενος στην άμυνα της Ρωσίας απέναντι στην πολυαναμενόμενη στρατιωτική αντεπίθεση της Ουκρανίας.
Πάνω από 20 χρόνια η συλλογή πληροφοριών
Η άμεση προέλευση του Snake εντοπίζεται στο 2003, όταν οι ειδικοί υπολογιστών της FSB άρχισαν να αναπτύσσουν ένα προσαρμοσμένο κακόβουλο λογισμικό με την κωδική ονομασία Ouroboros από τους δυτικούς συναδέλφους τους.
Αυτό το σύστημα αναπτύχθηκε τελικά εναντίον της Δύσης το 2008, όταν ένας περίεργος Αμερικανός στρατιώτης στη Μέση Ανατολή πήρε ένα USB με κακόβουλο λογισμικό και το εισήγαγε σε έναν υπολογιστή.
Ο επακόλουθος καταιγισμός μολύνσεων από ιούς πήρε 14 μήνες στον αμερικανικό στρατό για να εξαλειφθεί πλήρως από τα δίκτυά του, με τους απελπισμένους διοικητές να καταφεύγουν ακόμη και στην καθολική απαγόρευση των USB.
Το κακόβουλο λογισμικό που δημιουργήθηκε και συντηρήθηκε από μια ρωσική μονάδα, γνωστή ως Κέντρο 16 ή Μονάδα 71330, ήταν τόσο ισχυρό που ακόμη και το προσωπικό της FSB στη βάση τους στο Ριαζάν, 130 μίλια νοτιοανατολικά της Μόσχας, δυσκολευόταν να το χρησιμοποιήσει σωστά.
"Οι έρευνές μας εντόπισαν παραδείγματα χειριστών της FSB... οι οποίοι φάνηκε να μην είναι εξοικειωμένοι με τις πιο προηγμένες δυνατότητες του Snake", δήλωσαν οι εισαγγελείς του FBI στα ομοσπονδιακά δικαστήρια των ΗΠΑ.
Αλλά ακόμη και καθώς οι Ρώσοι πάλευαν με το Snake, οι κατάσκοποι των ΗΠΑ παρακολουθούσαν τη δραστηριότητα στα 16 κτίρια του Κέντρου από όπου αναπτύχθηκε το εργαλείο κατασκοπείας και μάθαιναν τις αδυναμίες του.
Το αποκορύφωμα της Επιχείρησης Medusa ήταν μια τεχνική του FBI για την "αντικατάσταση ζωτικών συστατικών του κακόβουλου λογισμικού Snake χωρίς να επηρεάζονται νόμιμες εφαρμογές ή αρχεία" σε μολυσμένα μηχανήματα, σβήνοντας το ρωσικό πρόγραμμα από κάθε υπολογιστή με μια κίνηση.
Ο Chester Wisniewski, επικεφαλής τεχνικός υπεύθυνος για την εφαρμοσμένη έρευνα στην εταιρεία κυβερνοασφάλειας Sophos, λέει ότι οι Ρώσοι χρειάστηκαν "χρόνια και χρόνια για να αναπτύξουν το Snake" και ότι η απώλειά του θα πλήξει καίρια τους κατασκόπους του Putin.
Λίγες οι ανάσες
Η ιστορία της κατάρρευσης του συστήματος ρίχνει νέο φως στη σκιώδη μάχη που διεξάγεται μεταξύ αντίπαλων κυβερνήσεων στο διαδίκτυο.
Οι πράκτορες των μυστικών υπηρεσιών του FBI ανέπτυξαν έναν τρόπο για να παρακολουθούν κρυφά τον τρόπο με τον οποίο το Snake μπορούσε να μολύνει τους υπολογιστές-στόχους και να στέλνει αθόρυβα ping στους Ρώσους χειριστές του για να τους πει ότι ένας πρόσφατα μολυσμένος υπολογιστής ήταν διαθέσιμος για χρήση.
Χρησιμοποιώντας αυτή την τεχνική, το FBI χαρτογράφησε όχι μόνο τα θύματα του Snake αλλά και το σημαντικό δίκτυο διοίκησης και ελέγχου που έδινε στο λογισμικό το "δηλητήριό" του.
Ο καθηγητής Alan Woodward, ειδικός σε θέματα ασφάλειας στον κυβερνοχώρο από το Πανεπιστήμιο του Surrey, λέει ότι τα τεχνικά χαρακτηριστικά του Snake καθιστούσαν εξαιρετικά δύσκολο για τη Δύση να εντοπίσει τα αδύνατα σημεία του.
Ωστόσο, οι Ρώσοι έκαναν κρίσιμα λάθη που βοήθησαν τους ειδικούς του κυβερνοχώρου να κόψουν τα κεφάλια του Snake.
Ο Woodward εξηγεί ότι το Snake χρησιμοποιεί ένα κοινό κομμάτι λογισμικού που ονομάζεται OpenSSL για να βοηθήσει στην κρυπτογράφηση της διαδικτυακής του κίνησης, ώστε να είναι δύσκολο για τα αδιάκριτα μάτια να την αποκωδικοποιήσουν.
Ωστόσο, ένα λάθος ενός χρήστη σήμαινε ότι οι κατάσκοποι της Δύσης μπόρεσαν να σπάσουν αυτή την προστασία.
"Κάποιος χρησιμοποίησε αυτή τη λειτουργία λανθασμένα και δημιούργησε κλειδιά κρυπτογράφησης που δεν ήταν αρκετά ισχυρά για να αντέξουν τις γνωστές επιθέσεις", λέει.
"Ως εκ τούτου, οι υπηρεσίες επιβολής του νόμου ήταν σε θέση να δουν ακριβώς πώς λειτουργούσε και να εντοπίσουν τους τελικούς αποδέκτες των δεδομένων που είχαν κλαπεί.
"Άφησαν κάποιους δείκτες για τους ερευνητές, όπως λέξεις-κλειδιά και ονόματα λειτουργιών...
Γίνεται εύκολα όταν βιάζεσαι, αλλά δεν είναι θεμελιώδες ελάττωμα του Snake".
Παρ' όλα τα συγχαρητήρια της Δύσης για την επιτυχία αυτή την εβδομάδα, ωστόσο, όλοι οι ειδικοί συμφωνούν ότι η κατάσχεση είναι μια προσωρινή οπισθοδρόμηση και όχι μια μόνιμη νίκη.
Ο Don Smith, της εταιρείας κυβερνοασφάλειας Secureworks, εκτιμά ότι το Snake μπορεί να επανέλθει στο διαδίκτυο μέσα σε λίγες εβδομάδες.
Ο Wisniewski της Sophos και ο Hultquist της Mandiant δίνουν το πολύ μήνες.
Όλοι συγκρίνουν τις επιχειρήσεις του κακόβουλου λογισμικού με δίκτυα κυβερνοεγκλήματος του είδους που παρακολουθούν οι αντίστοιχες εταιρείες τους - και όλοι αναμένουν ότι η FSB θα αναστήσει σύντομα το αποκεφαλισμένο Snake.
"Αυτή ήταν μια πύρρειος νίκη", λέει ο Wisniewski, "αλλά τα ποντίκια είναι πονηρά - και αναπαράγονται γρήγορα".
www.bankingnews.gr
Κατηγορίες:
Σχόλια