Ataki prowadzone przez hakerów na służbie rządów znacznie różnią się od większości zagrożeń, z jakimi możesz mieć do czynienia (...) Kiedy zrozumiesz, czym kierują się agresorzy na usługach obcych rządów, jakie taktyki stosują i jakie zachowania przejawiają, będziesz mógł skuteczniej się przed nimi bronić.
ROSJA
Pewnego wieczoru w 1986 r. administrator systemowy w Lawrence Berkeley National Laboratory w Kalifornii dostrzegł intruza w środowisku komputerowym. Cliff Stoll, z wykształcenia astronom, pracujący jako inżynier systemów, zauważył dziwną rozbieżność księgową, wynoszącą 75 centów.
Zaczął analizować incydent i dosyć szybko zrozumiał, że sprawa jest znacznie poważniejsza niż błąd księgowy. Rozbieżność finansowa spowodowana była brakiem rozliczenia dziewięciu sekund czasu pracy laboratoryjnego komputera. Po krótkim badaniu Stoll ustalił, że niezidentyfikowany haker włamał się do systemu i zdobył uprawnienia administratora. Przeanalizowanie aktywności intruza w sieci laboratorium pozwoliło stwierdzić, że do ataku doszło poprzez 1200-bodowe łącze pochodzące z centrum usług telefonicznych w McLean w Wirginii. Mało prawdopodobne, by ktokolwiek z centrum mógł przeprowadzić taką operację. Stoll uznał, że raczej agresor użył centrum jako stacji pośredniczącej, by ukryć swoją prawdziwą lokalizację, sprawiając wrażenie, że atak pochodzi z McLean. Inżynier opracował więc plan ustalenia faktycznego źródła ataku.
Z pomocą współpracowników Stoll podłączył kilka terminali i dalekopis do wydzielonego segmentu sieci laboratoryjnej, którą agresor wydawał się być najbardziej zainteresowany. Stoll uważał, że przy użyciu podłączonego sprzętu będą mogli śledzić, obserwować i drukować szczegółowe zapisy działalności intruza. Dzięki wysiłkom Stolla pracownicy laboratorium mogli udokumentować każde naciśnięcie klawisza, którego dokonał agresor w trakcie połączenia. Teraz Stoll musiał jedynie czekać, aż zostanie zebrana wystarczająca ilość materiału dowodowego, by przekonać organa ścigania, administrację rządową lub kogokolwiek, kto zechciałby go wysłuchać, że coś groźnego dzieje się we wrażliwych sieciach i systemach laboratorium.
Stoll chciał zrozumieć, jakie są motywy działania agresora, aby ustalić, czego mógł szukać w zasobach laboratorium. Za pomocą swojego tymczasowego systemu monitorowania sieci dostrzegł, że intruz poszukuje wyrażeń związanych z wojskowością i obronnością, które byłyby interesujące wyłącznie dla obcego rządu. W owym czasie technologie sieciowe były jeszcze w powijakach, ale wojsko używało ich powszechnie do zarządzania wrażliwymi systemami i do przechowywania danych dotyczących satelitów i lokalizacji naziemnych wyrzutni rakietowych. Połączenia sieci wojskowych przechodziły przez systemy laboratorium, stając się łatwym celem.
Stoll zaobserwował, że intruz nie tylko poszukuje wyrażeń związanych z obronnością, lecz także instaluje w systemach laboratorium szkodliwe oprogramowanie zaprojektowane do wyszukiwania i przechwytywania danych uwierzytelniających użytkowników sieci. Co gorsza, wiele kont administratorskich dla różnorodnych technologii i systemów wciąż korzystało z domyślnej nazwy użytkownika i hasła, które zostały ustalone przez dostawcę w momencie instalacji. W wielu innych przypadkach możliwe było uzyskanie dostępu do systemu poprzez aktywne konta gościa, niewymagające podawania hasła. Intruz miał dużą swobodę w dostępie do systemu.
Finalnie Stoll zdołał opisać sposób postępowania intruza, podjęte przez niego działania, godziny aktywności, a także wykorzystywane przez niego języki komputerowe i systemy operacyjne. Haker przejawiał szczególne zainteresowanie systemem obrony przeciwrakietowej związanym z Inicjatywą Obrony Strategicznej (ang. Strategic Defense Initiative — SDI). Zgodnie z upublicznionymi informacjami Departament Obrony zainicjował ten program, nazywany programem Gwiezdnych Wojen, w 1984 r. w celu stworzenia środków obrony Stanów Zjednoczonych przed rakietową bronią jądrową.
W owym czasie o cyberszpiegostwie jeszcze nie słyszano, więc Stoll musiał przeprowadzić większość dochodzenia samodzielnie — oprócz wykonywania codziennych obowiązków w laboratorium. Jak twierdził, federalne organa ścigania początkowo nie przejawiały zainteresowania włamaniem, ponieważ nie doszło do bezpośrednich strat finansowych. Mimo to Stoll zainicjował kontakt z innymi agencjami rządowymi: Air Force Office of Special Investigations (AFOSI), Centralną Agencją Wywiadowczą (ang. Central Intelligence Agency — CIA) i Narodową Agencją Bezpieczeństwa (ang. National Security Agency — NSA). W końcu udało mu się przekonać agencje do wysłuchania go.
W celu identyfikacji hakera Stoll postanowił zastawić pułapkę poprzez zwabienie intruza do konkretnej części systemu, dzięki czemu mógłby prześledzić szkodliwą działalność aż do źródła. Było to pierwsze znane zastosowanie pułapki sieciowej, tzw. honeypot. Działanie tego rodzaju pułapek polega na przygotowaniu środowiska cyfrowego opartego na fałszywych systemach i danych, by zwieść agresora. Taka przynęta pozwala obrońcom obserwować agresora i zbierać o nim informacje, w miarę jak wchodzi on w interakcje z fikcyjnym środowiskiem.
Stoll wiedział już, że intruz jest szczególnie zainteresowany programem SDI, więc przygotował doskonałą pułapkę. Utworzył konto o nazwie SDInet, którego katalog domowy zapełnił fikcyjnymi, ale pozornie sensownymi dokumentami. Haker połknął haczyk i pozostawił wystarczająco dużo materiału dowodowego, by Stoll, we współpracy z organami ścigania, mógł go zidentyfikować jako Markusa Hessa zamieszkałego w Hanowerze w Niemczech. Okazało się, że Hess był studentem Uniwersytetu w Hadze wynajętym przez KGB do przeprowadzania włamań komputerowych na rzecz ZSRR.
Jest to pierwsza znana kampania cyberszpiegowska prowadzona przez Rosję, a jej odkrycie było otrzeźwieniem dla laboratoriów Berkeley i Departamentu Obrony. Po atakach infrastruktura laboratorium została uszczelniona, zbędne konta użytkowników zablokowano i wprowadzono wymogi regularnych zmian haseł uwierzytelniających. Program SDI był prowadzony przez wiele kolejnych lat, a w 1993 r. jego główne cele zostały przeformułowane, aby skupić się na obronie przed pociskami balistycznymi, a mniej zajmować się instalacjami kosmicznymi.
Nie był to ostatni rosyjski atak cyberwywiadowczy. Obecnie w Rosji działa jeden z najbardziej zaawansowanych na świecie ofensywnych programów operacji w cyberprzestrzeni...
Fragment pochodzi z książki "Sztuka wojny cyfrowej. Przewodnik dla śledczego po szpiegostwie, oprogramowaniu ransomware i cyberprzestępczości zorganizowanej" 🆕
Sięgnij po lekturę 🔐🆕👇
Dziś hakerzy mogą nie tylko wykradać dane i pieniądze, ale i atakować instytucje rządowe czy dokonywać aktów terroru 😤 Więc aby się lepiej bronić, dobrze jest najpierw poznać wroga!
W tym pomoże Ci książka "Sztuka wojny cyfrowej. Przewodnik dla śledczego po szpiegostwie, oprogramowaniu ransomware i cyberprzestępczości zorganizowanej"
Dzięki lekturze:
🔐 nauczysz się analizować i śledzić ataki, a także stawiać hipotezy dotyczące ich sprawców
🔐 przeczytasz opisy najważniejszych cyberataków, w tym przeprowadzonych na zlecenie rządów
🔐 poznasz świat ukierunkowanych ataków szyfrujących i prób wymuszeń okupu, które sparaliżowały wiele korporacji
🔐 dowiesz się także, w jaki sposób cyberataki służą do zakłócania przebiegu wyborów na całym świecie
🔐 prześledzisz krok po kroku proces analityczny, stosowany przez obrońców do badania każdego etapu cyberkampanii, pozwalający poprawnie zidentyfikować agresora i przygotować się do odpierania kolejnych ataków 😉
Książka pozwoli Ci zrozumieć techniki ataków, jak również metody śledcze obrońców 😃
