Hakerzy w służbie rządów

Zastosowanie technik hakerskich w wywiadzie zagranicznym ma wiele zalet. Jest tanie, ponieważ zdobywanie informacji odbywa się zdalnie – z jednego ośrodka podłączonego do sieci można szpiegować cały świat. Pozwala też dotrzeć do informacji bez konieczności przeprowadzania trudnego werbunku tajnych współpracowników, a razie wykrycia aktywności wywiadowczej nie dochodzi do skandalu towarzyszącego zdemaskowaniu szpiega. Wszystkiego można się wyprzeć, bo malware nie ma żadnych informacji zdradzających kraj pochodzenia. Nie bez znaczenia jest to, że proces pozyskiwania informacji łatwo ukryć, dzięki czemu cyfrowi szpiedzy mogą działać bez problemu przez długie lata.

Za najbardziej wyrafinowaną operacją wywiadowczą wykorzystującą techniki hakerskie stoi grupa Equation kojarzona z amerykańską agencją wywiadu elektronicznego NSA, która działa od 2001 roku. Oznaczającą „równanie” nazwę nadała organizacji firma Kaspersky, która jako pierwsza w 2015 roku opisała metody jej działania.

Na podstawie dokumentów wewnętrznych NSA ujawnionych przez Edwarda Snowdena grupę łączy się z programem IRATEMONK prowadzonym w ramach biura Tailored Access Operations (TAO), czyli wydziału NSA zajmującego się zdobywaniem dostępu cyfrowego do wybranych, szczególnie cennych źródeł informacji. Elitę tej organizacji stanowi ukryty w podziemiach kwatery głównej NSA w Fort Mead w stanie Maryland ośrodek Remote Operations Center (ang. Centrum Operacji Zdalnych). W tej supertajnej placówce odizolowanej od reszty kampusu drzwiami pancernymi ze skanerami biometrycznymi pracuje grupa ok. 600 wysoko wykwalifikowanych hakerów, którzy non stop nielegalnie wydobywają dane z komputerów na całym świecie.

Według prestiżowego magazynu „Foreign Affairs” zajmującego się stosunkami międzynarodowymi to właśnie TAO pozyskało część najcenniejszych dla wywiadu Stanów Zjednoczonych informacji. Tylko za pomocą technik informatycznych udało się spenetrować niedostępne dla tradycyjnego wywiadu ośrodki decyzyjne w Chinach czy sieć dobrze zakamuflowanych terrorystów islamskich na Bliskim Wschodzie.

Podstawowym narzędziem hakerów z TAO jest oprogramowanie szpiegowskie instalowane w inwigilowanych sieciach oraz komputerach użytkowników, którzy są w sferze zainteresowań wywiadu Stanów Zjednoczonych. Analitycy firmy Kaspersky uznali aplikacje szpiegowskie kojarzone z grupą Equation za najbardziej wyrafinowany malware, jaki został kiedykolwiek ujawniony i opisany przez specjalistów ds. bezpieczeństwa.

Atak prowadzony przez hakerów z Equation zaczyna się od włamania w celu zainstalowania programu sprawdzającego, czy na danej maszynie są wartościowe informacje. Jest nim trojan DoubleFantasy, który nie tylko sprawdza komputer, ale także otwiera tylne drzwi, przez które można wprowadzić właściwe narzędzia szpiegowskie. Trojan może przeniknąć wieloma różnymi drogami. Najczęściej wykorzystywane są exploity zero-day, czyli niewykryte i niezałatane przez producenta oprogramowania luki, które umożliwiają zdalne wykonanie kodu z uprawnieniami administracyjnymi. Z punktu widzenia hakera zabieg jest niezastąpiony, bo niemal nie da się go wykryć. Kod pozwalający wykorzystać exploit trafia do ofiary w postaci spreparowanego e-maila albo poprzez zmodyfikowaną stronę WWW.

Druga forma to tzw. atak drive-by download, który polega na wstrzyknięciu złośliwego kodu za pomocą luki w plug-inie do przeglądarki (np. służącym do oglądania animacji Flash) lub przez inny program działający w sieci. Gdy atak zdalny jest niemożliwy lub trudny do przeprowadzenia np. ze względu na to, że komputer jest odłączony od sieci albo bardzo skutecznie zabezpieczony, hakerzy z NSA mogą liczyć na pomoc agentów, którzy potrafią uzyskać fizyczny dostęp do atakowanego komputera. Odpowiada za to grupa oddelegowanych operatorów z CIA i FBI z tzw. Access Technologies Operations Branch, którzy nie tylko potrafią dyskretnie włamać się do biura czy domu osoby rozpracowywanej, ale także przechwycić przesyłkę np. z nowym komputerem czy nośnikiem pamięci, który będzie podłączony do atakowanego komputera, podmienić zawartość i tą drogą dostarczyć złośliwe oprogramowanie.

Jeśli dane spływające od trojana DoubleFantasy są obiecujące, hakerzy wykorzystują wbudowany instalator do pobrania do maszyny właściwego oprogramowania szpiegującego, na przykład pakietu EquationDrug. Ta rozbudowana aplikacja składa się z 18 podstawowych modułów i 35 opcjonalnych, instalowanych jako plug-iny. Instalacja tego pakietu pozwala hakerom na przejęcie pełnej kontroli nad komputerem. Uzyskują dostęp do pamięci, wpisywanych znaków, a także obrazu wyświetlanego na ekranie.

Jednocześnie wirus maskuje się, minimalizując ryzyko wykrycia. Ogranicza komunikację z serwerami sterującymi, a zebrane informacje przechowuje w katalogu systemowym, w plikach udających fonty (w formacie FON). Dodatkowym zabezpieczeniem jest mechanizm autodestrukcji, który aktywuje się po kilku miesiącach od chwili zerwania łączności z serwerami kontrolującymi. Pozwala on całkowicie usunąć ślady obecności malware’u, tak by ofiara nigdy nie dowiedziała się o utracie kontroli nad wrażliwymi informacjami.

W przypadku nowoczesnych systemów operacyjnych, w tym 64-bitowych wersji Windows, które wykorzystują podpisy cyfrowe do weryfikacji autentyczności oprogramowania, hakerzy z Equation mogą skorzystać z najnowszego malware’u Grayfish. Jest to, jak piszą specjaliści z Kasperskiego, najbardziej finezyjnie działający pakiet szpiegowski w arsenale NSA. Szkodnik przy każdym uruchomieniu komputera wstrzykuje kod do głównego sektora rozruchowego, co pozwala mu przejąć kontrolę nad całym procesem rozruchu systemu Windows. Grayfish ładuje po kolei wszystkie procesy i sterowniki niezbędne do pracy komputera, a wśród nich przemyca narzędzia szpiegowskie, których kod ukryty jest w rejestrze systemowym.

Aby wykonać kod na poziomie jądra systemu, malware wykorzystuje lukę w podpisanym cyfrowo sterowniku CloneCD, który jest instalowany razem z wirusem. W połączeniu z dobrym zaszyfrowaniem wszystkich komponentów pozwala to wirusowi ukryć się w systemie z aktualnym programem antywirusowym. Po załadowaniu zainfekowanego systemu operacyjnego Grayfish montuje zaszyfrowany wirtualny system plików, w którym są zainstalowane aplikacje szpiegowskie, oraz katalog do przechowywania wykradzionych danych.

Asem w rękawie Equation jest złośliwy kod, który ukrywa się w… firmwarze dysku twardego. Hakerzy sięgają po niego w szczególnych sytuacjach, gdy źródło informacji jest cenne, a zabezpieczenia skuteczne. Dotąd ujawniono obecność szkodnika na zaledwie kilku maszynach na całym świecie. Przeprogramowanie dysku twardego ma na celu utworzenie skrytki na dane niedostępnej z poziomu systemu operacyjnego. Jest wyposażona w API, które pozwala oprogramowaniu szpiegowskiemu na zapis i odczyt informacji.

Hakerzy uzyskują dzięki temu możliwość przechowywania kopii programu szpiegowskiego oraz wykradzionych informacji w miejscu, z którego nie można ich wymazać podczas formatowania dysku twardego i reinstalacji systemu. Skrytka jest odporna także na software’owe próby niszczenia danych za pomocą wielokrotnego nadpisywania każdego sektora przypadkowymi informacjami, stosowanego w aplikacjach typu Ereaser. Można usunąć ją tylko poprzez fizyczne zniszczenie dysku.

Hakerzy z NSA opracowali także niezwykłą metodę penetrowania systemów, które są odcięte od światowej sieci. Wirus Fanny przemieszcza się pomiędzy komputerami, korzystając z pamięci USB. Do infekcji systemu używa exploitu, który umożliwia przejęcie uprawnień administracyjnych w systemie Windows oraz wstrzyknięcie złośliwego kodu od razu po podłączeniu zainfekowanego pendrive’a. Co ciekawe, ten sam exploit znajdował się we wczesnych wersjach znanego wirusa Stuxnet, zaprojektowanego do zakłócania pracy wirówek wzbogacających materiały rozszczepialnew ramach irańskiego programu nuklearnego. Pozwala to domniemywać, że Stuxnet był dziełem, przynajmniej częściowo, NSA i działającej w jej strukturach grupy Equation.

Przeciętny użytkownik raczej nie zetknie się z narzędziami cyberszpiegów. Malware ujawniane jest przede wszystkim na maszynach administracji państwowych oraz działających w strategicznych sektorach gospodarki, a także należących do islamskich fanatyków. Listę krajów, w których znaleziono najwięcej kopii wirusów, otwierają Iran, Rosja, Pakistan oraz Afganistan.

Szpiegostwem cyfrowym zajmują się nie tylko Amerykanie. Wśród najbardziej aktywnych w tej dziedzinie krajów jest Federacja Rosyjska. Świadczy o tym działalność związanej z rosyjskim wywiadem grupy hakerów The Dukes (ang. książęta). Na przestrzeni ostatnich kilku lat wypuściła ona serię trojanów wykorzystujących zero-day, przed którymi nie ma skutecznych zabezpieczeń.

Przykładem rosyjskiego malware’u jest CozyDuke, modułowy trojan, który w zależności od potrzeb możne pobierać plug-iny z serwerów kontrolnych. Standardowo wyposażony jest w funkcje rejestrowania wpisanych znaków i robienia zrzutów ekranowych, a także moduł wykradający hasła, także sieciowe, co umożliwia szkodnikowi rozpowszechnianie się wewnątrz sieci lokalnej organizacji. Trojany są rozsyłane przez zainfekowane serwery oraz węzły sieci TOR. Dostarczane są także w wyniku ataków phishingowych.

Działająca od 2008 roku organizacja na cel bierze źródła informacji interesujące z punktu widzenia rządu rosyjskiego. W okresie poprzedzającym kryzys na Ukrainie hakerzy inwigilowali liczne instytucje w tym kraju. Grupa szpieguje także zachodnie rządy i związane z nimi agencje państwowe, a także kraje postsowieckie, członków organizacji przestępczych oraz czeczeńskich terrorystów.

Inną zidentyfikowaną grupą hakerów na usługach rządu Federacji Rosyjskiej jest Sand Worm. Przeprowadziła ona atak wymierzony w NATO, rząd ukraiński oraz w jedną z polskich firm energetycznych. Dokonano go za pośrednictwem nieznanej wcześniej luki w systemie Windows. Kod został indywidualnie przygotowany dla każdej z ofiar oraz dostarczony za pomocą spersonalizowanego ataku phishingowego. Grupa Sand Worm przeprowadziła atak w połowie 2014 roku.

Mógłby to być scenariusz pierwszych godzin fikcyjnej XXI-wiecznej wojny, ale opisane wydarzenia naprawdę miały miejsce. 23 grudnia 2015 roku w połowie budynków ukraińskiego Iwanofrankowska, miasta liczącego 1,5 mln mieszkańców, znienacka zgasło światło. Okazało się, że awaria – przerwa w dostawie prądu – była skutkiem ataku hakerów, którzy za pomocą szkodliwego oprogramowania zdołali odłączyć lokalną rozdzielnię prądu od elektrowni. Atak został przeprowadzony za pomocą pakietu BlackEnergy, który jest zaprojektowany do uszkadzania komputerów w taki sposób, by nie można było ich ponownie uruchomić.

Po zainfekowaniu komputerów w elektrowni trojan pobrał z serwera komponent KillDisk, który potrafi nie tylko zniszczyć twardy dysk, ale także niektóre komponenty urządzeń do kontroli procesów przemysłowych, m.in konsolę zdalnego zarządzania. Atak przeprowadzono za pomocą niepozornych makr wbudowanych w pliki MS Office (patrz ilustracja) – zainfekowane dokumenty otworzył jeden z pracowników. Według firmy iSight za atakiem stoi grupa hakerów pracujących dla rosyjskiego rządu. Wcześniej celem podobnego ataku były instalacje naftowe w Arabii Saudyjskiej, ale wówczas nie udało się zakłócić procesu przemysłowego.