E-szpiegostwo

Chińczycy najchętniej atakują USA, ponieważ amerykańskie korporacje, szczególnie zbrojeniowe, dysponują najnowszą technologią na świecie.

Kluczowa rola Chińczyków w szpiegostwie cyfrowym została nagłośniona w 2010 roku przez Google, która przebadała i ujawniła szczegóły operacji wymierzonej przeciwko jej serwerom. W wyniku włamania hakerzy zdobyli fragmenty kodu źródłowego aplikacji Google, a także przetrząsnęli i skopiowali zawartość skrzynek e-mailowych dysydentów walczących z chińską dyktaturą.

W czasie tego ataku, który został przez hakerów nazwany operacją Aurora, Chińczycy zaatakowali nie tylko Google, ale także kilkadziesiąt innych z listy 500 największych amerykańskich firm, m.in.: Adobe, Symantec, Juniper Networks, Dow Chemicals czy Northrop Grumman.

Analiza adresów IP i kodu samych eksploitów poprowadziła analizujących atak ekspertów Symanteca do Pekinu. Tam rezyduje grupa hakerów związana z Chińską Armią Ludowo-Wyzwoleńczą i wykonuje rozkazy z biura politycznego, najwyższego szczebla w strukturze władzy. Ta sama grupa jest odpowiedzialna za ponad 1000 innych ataków hakerskich. Celem jej działań jest nie tylko kradzież plików z własnością intelektualną. Grupa stara się także o pozyskanie informacji ułatwiających dalsze włamania.

Hakerzy włamują się też, by poznać strategię negocjacyjną. Przykładem może być atak na Coca-Colę w 2009 roku, który zbiegł się w czasie z próbą przejęcia dużego chińskiego producenta soków, Huiyuan Juice Group, przez tę korporację.

Atak na Coca-Colę był dziełem innej znanej chińskiej grupy hakerskiej – Comment Crew. Została nazwana w taki sposób ze względu na chętnie używaną technikę umieszczania eksploitów w komentarzach do kodu HTML. Po przeanalizowaniu ponad 140 przypisywanych jej włamań od 2006 roku analitycy Mandiant powiązali ekipę z jednostką wojskową Armii Ludowo-Wyzwoleńczej nr 61 398, która podlega bezpośrednio sztabowi generalnemu.

Geolokacja adresów IP zaprowadziła analityków do zlokalizowanego na przedmieściach Szanghaju budynku biurowego, który jak się okazało, jest wyposażony w zaawansowaną, światłowodową infrastrukturę telekomunikacyjną.

Jednostka nr 61 398 atakuje nie tylko biznes. W ostatnich latach w coraz większym stopniu interesuje się organizacjami, które administrują siecią energetyczną, wodną i innymi elementami kluczowej dla funkcjonowania państwa infrastruktury. Comment Crew wzięła także udział w głośnym ataku na firmę RSA, która dostarcza rozwiązania kryptograficzne. Wskutek udanego ataku wykradziono klucze pozwalające na złamanie zabezpieczeń w sieciach klientów RSA, co kosztowało firmę 66 mln dolarów, jakie musiała wydać na naprawę szkód.

Skuteczność chińskich ataków bierze się przede wszystkim z doskonale opracowanego malware, przed którym bardzo trudno się bronić. To konsekwencja użycia tzw. zero-day-exploits, czyli luk w zabezpieczeniach, które nie zostały jeszcze odkryte. Przez taką lukę wprowadzany jest do systemu kod przejmujący kontrolę nad komputerem ofiarą, penetrujący następnie zabezpieczenia całej sieci w organizacji. W najgorszym dla ofiary wypadku, jeśli hakerowi uda się spenetrować serwer kontrolujący całą sieć, zyskuje dostęp do wszystkich danych korporacji. Taki przebieg miało włamanie do redakcji Washington Post. W efekcie chińscy hakerzy przez trzy lata (2009–11) mieli dostęp do serwera zarządzającego kontami dziennikarzy i do wszystkich informacji w ich komputerach.

Chińczycy w swoich atakach potrafią wykorzystać jednocześnie wiele luk typu zero-day. Według informacji podanych przez Orlę Cox z Symantec Security Response Division, tylko w jednej serii włamań z wiosny i lata 2012 roku grupa posłużyła się aż 8 różnymi lukami zero-day. Jak hakerzy zdobywają informacje o dziurach w zabezpieczeniach? Służy do tego m.in. technika fuzzing, prowokująca błędy w aplikacji. Późniejsza analiza raportów może prowadzić do znalezienia wskazówek dotyczących nieszczelności w systemie zabezpieczeń. Dzięki narzędziom, takim jak: SPIKE Proxy, Peach Fuzzer czy WebScarab, proces ten można zautomatyzować.

Ponadto regularnie przyłapuje się chińskich hakerów na testowaniu zabezpieczeń sieci za pomocą gotowych zestawów hakerskich, które sprawdzają skuteczność tysięcy znanych eksploitów, w nadziei, że któraś ze znanych luk nie została załatana. Są to zarówno powszechnie dostępne, opensource’owe narzędzia, jak Metasploit, jak też własne, wewnętrznie opracowane skrypty.

Aby włamanie się udało, złośliwy kod musi być uruchomiony na komputerze w atakowanej korporacji. Najprościej „przekonać” do tego nieświadomego zagrożenia pracownika, stosując sztuczki socjotechniczne: zachęcić go do kliknięcia linku w e-mailu, otwarcia załącznika z ukrytym eksploitem itp. Zanim haker napisze komunikat zachęcający ofiarę do podjęcia oczekiwanej czynności, przeprowadza staranne rozpoznanie. Uzyskana w ten sposób wiedza pomaga tak spreparować komunikat, by wyglądał np. jak e-mail przesłany przez szefa czy bliskiego współpracownika.

Innym sposobem przemycenia złośliwego kodu do organizacji jest zastosowanie techniki waterhole (ang. wodopój). Haker, tak jak lew atakujący zwierzynę przy wodopoju, czai się w miejscu odwiedzanym przez pracowników firmy. Najczęściej jest to popularna wśród pracowników strona WWW, z treścią wzbogaconą o szkodliwy kod.

Według szacunków straty gospodarki USA powodowane przez cyberprzestępców wynoszą od 25 do 100 mld. dolarów rocznie. Pentagon w szybkim tempie rozbudowuje swoje oddziały do walki w cyberprzestrzeni. Co więcej, zmiany wprowadzane do doktryny użycia sił zbrojnych zakładają, że w odpowiedzi na atak cybernetyczny można będzie użyć siły, np. zniszczyć lokalizację, w której przebywa haker, za pomocą rakiety.

Metody hakerskie są także wykorzystywane w zadaniach amerykańskich sił specjalnych, np. sabotażu. Przykładem zastosowania technik informatycznych do tego celu jest wirus Stuxnet, którego zadaniem było rozregulowanie irańskich wirówek do wzbogacania uranu do poziomu pozwalającego na zastosowanie go w broni jądrowej. Ocenia się, że wirus zniszczył ok. 100 takich urządzeń i spowolnił program nuklearny o trzy lata. Firmy zajmujące się doradztwem wojskowym analizują inne scenariusze wykorzystania technik hakerskich w operacjach militarnych. Na przykład zamiast wysyłać oddział komandosów w celu zlikwidowania groźnego terrorysty, można poczekać, aż znajdzie się on w szpitalu. Następnie po zhakowaniu bazy danych, w której są przechowywane elektroniczne recepty, można sekretnie dodać do niej lekarstwo, np. na które terrorysta ma silne uczulenie. Jednocześnie opracowywane są techniki ochrony przed tego typu atakami. Funkcjonariusze mogą już ćwiczyć w specjalnie zorganizowanych wirtualnych miastach, w których symulowane są najważniejsze systemy. Efekt działania drużyny atakującej i broniącej są wizualizowane na makietach, na których widać, jakie systemy udało się wyłączyć, a jakie obronić.

Biorąc pod uwagę, że wszystkie nowoczesne armie wykorzystują komputerowe systemy dowodzenia, zamiast wykrywać ich położenie i niszczyć za pomocą bomb i rakiet, można atakować je za pomocą technik hakerskich. Armia amerykańska tworzy już jednostki informatyczne, które będą dostarczały wsparcia taktycznego, tak jak dywizjony artylerii czy lotnictwo. NATO opracowało już regulacje prawne dotyczące wojny cyfrowej.