APT jako narzędzie globalnej rywalizacji geopolitycznej

31 maja 2016, 17:50
Cyber armia wojna

Po APT jako narzędzie walki w cyberprzestrzeni sięga coraz więcej państw. Wśród tych, które cechuje autorytarny i niedemokratyczny system władzy, APT bywa wykorzystywane nie tylko na arenie zagranicznej, ale także do zwalczania wewnętrznych przeciwników politycznych.

Niemal każdego dnia temat APT pojawia się na stronach serwisów poświęconych cyberbezpieczeństwu. Najczęściej o takie działania, mające na celu wydobycie informacji z wrogich podmiotów, są oskarżane Rosja, bądź Chiny. Tymczasem z arsenału takiego oprogramowania korzystają właściwie wszystkie liczące się potęgi, zarówno globalne, jak i regionalne. Co ciekawe, wydaje się, że zaczynają po nie sięgać państwa, których o to się zwykle nie podejrzewa - takie jak Ukraina. Wreszcie trzeba wspomnieć, że APT są używane nie tylko w rywalizacji międzynarodowej, ale także do monitorowania działań wewnątrz państw – np. przez Iran czy Chiny, które w ten sposób atakowały dysydentów.

Krajobraz APT jest głęboko zróżnicowany i przez to niewdzięczny jako przedmiot analizy, również przez pryzmat kategorii interesu. Po obu stronach – zarówno ofensywnej, jak i defensywnej – stoją zarówno aktorzy państwowi, jak i prywatni. Ich interesy są równie często zbieżne, jak i rozbieżne. Ponadto, w większości państw w obu kategoriach występują co najmniej dwa podmioty, nierzadko ze sobą konkurujące. Z pewnością ta nieczytelność sprzyja działaniom wywiadowczym. Mimo to w przypadku eskalacji działań w sieci przeciwnika przez jedną ze stron - z wywiadowczych do destrukcyjnych - trudności z jednoznaczną atrybucją mogą prowadzić do źle ukierunkowanych retorsji.

Stany Zjednoczone Ameryki

Obiektem węzłowym dla zrozumienia działań ofensywnych USA zdaje się być pierwsza cyberbroń, czyli Stuxnet. Jego atrybucja jest dokonywana nie tylko przez wzgląd na geopolityczne znaczenie celu, jakim były irańskie wirówki do wzbogacania uranu, ale również poprzez słowa whistleblower'a z NSA – Edwarda Snowdena. Jest ona o tyle istotna, że Stuxnet pochodzi z tej samej rodziny co projekty APT Gauss, Flame i Duqu. Ich aktywność była w dużej mierze skoncentrowana na Bliskim Wschodzie [1,2]. Według analityków firmy Kaspersky „pod względem architektury platforma wykorzystana do stworzenia Duqu i Stuxneta jest taka sama”, a „Duqu i Stuxnet stanowiły równoległe projekty wspierane przez ten sam zespół twórców.” Ugrupowanie to wchodziło w interakcję z grupą „Equation”, która została odkryta w 2015 r.. Dowodem ma być użycie „Equation” tych samych luk zero-day i podatności, które później zostały wykorzystane w Stuxnecie i Flame.

„Equation”, ochrzczone zostało mianem „gwiazdy śmierci w galaktyce oprogramowania malware” [1] ze względu na poziom wyrafinowania oprogramowania, jakie stosuje. Jest najdłużej działającym ugrupowaniem tego typu - jest aktywna od 2000 r., a być może nawet od lat 90., kiedy zostały zarejestrowane jej pierwsze serwery C&C. Wśród najczęściej atakowanych przez nią państw były: Iran, Rosja, Pakistan, Afganistan, Indie, Chiny, Syria, Mali, Liban, Jemen. Atakowane były instytucje rządowe. służby dyplomatyczne, firmy telekomunikacyjne i energetyczne. O zaawansowaniu technologicznym grupy świadczy fakt wykorzystania kodu pozwalającego na przeprogramowanie i użycie oprogramowania sterującego dysków twardych. W arsenale grupy znalazł się również robak pozwalający na mapowanie sieci niepodłączonych do Internetu i przenoszący się za pomocą kluczy USB.

Rosja

Rosję łączy się z różnymi aktorami APT, m.in. APT28 (Sofacy), APT29, Turla, Uroburos (niekiedy trzy poprzednie są traktowane jako jedno ugrupowanie), Energetic Bear / Dragon Fly, rodzinę Duke, czy SandWorm. Celami były zarówno jednostki szczebla centralnego, jak i samorządowe na obszarach będących w zainteresowaniu Federacji Rosyjskiej (Kaukaz, Europa Środkowa i Wschodnia [w tym Polska], Stany Zjednoczone, Bliski Wschód), firmy operujące w obszarze infrastruktury krytycznej, jak i organizacje międzynarodowe. Rosyjskojęzyczne APT stosują przy tym równie wyrafinowane techniki jak ugrupowania anglojęzyczne. APT28 jest oskarżana o atak na francuską TV5 w 2015 r. pod fałszywą flagą cyberkalifatu. Turla do ukrycia komunikacji serwerów C&C z ofiarami wykorzystuje komunikację satelitarną udostępnianą przez afrykańskich dostawców. 

Mimo rozwiniętych zdolności ofensywnych niewiele wiadomo o strukturze organizacyjnej stojącej za tymi ugrupowaniami. W 2003 r. rozwiązano rosyjską tajną służbę FAPSI, której zakres obowiązków był zbliżony do NSA, a jej pracowników rozdzielono do innych służb. Do FSB przydzielono Główny Zarząd Wywiadu Radioelektronicznego. W 2016 r. pojawiły się informacje, że za APT28 stoi właśnie FSB. Zastosowanie grup APT przez Moskwę jest traktowane jako wymiar wojny hybrydowej przez niemiecki kontrwywiad.

Izrael

Izraelowi przypisuje się współautorstwo Stuxnet, Duqu oraz autorstwo Duqu 2.0. Ten ostatni, zidentyfikowany w kontekście zeszłorocznych rozmów grupy 5+1 z Iranem i obchodów 70. rocznicy wyzwolenia obozu w Oświęcimiu, stanowi wyrafinowane oprogramowanie, które nie zapisywało danych na dyskach twardych, a przechowuje się w sieciach. Za izraelskie operacje w cyberprzestrzeni odpowiada jednostka 8200, która ma ponoć "reprezentować poziom NSA w każdym wymiarze, poza wielkością"

Wielka Brytania

Odkryty w 2014 r. Regin stanowi wyjątkowo skomplikowaną platformę szpiegowską, która infekuje zaatakowany komputer w pięciu etapach i posiada kilkadziesiąt modułów. W efekcie tego każda z niewielu – bo raptem około 100 starannie wyselekcjonowanych ofiar – otrzymała skrojoną niejako na miarę wersję. Mechanizm wykradania danych był wyjątkowo skomplikowany a na liście ofiar znalazły się m.in. Rosja, Pakistan, Syria, Indie, Iran, Niemcy, Brazylia, Afganistan i Belgia. W tej ostatniej zaatakowano firmę [1] pośredniczącą w przekazywaniu rozmów telefonicznych w sieciach komórkowych, co miało doprowadzić do ich przechwytywania. Atrybucja była możliwa dzięki archiwum Edwarda Snowdena. Za sprawą ujawnionych przez niego rewelacji znaleziono również połączenie między Reginem, a aplikacją WARRIORPRIDE z arsenału NSA.

Francja

Odkryte w 2014 r. Animal Farm było pierwszą francuskojęzyczną kampanią APT. Wśród jej celów znalazły się Syria, Iran, Malezja, Stany Zjednoczone, Chiny, Turcja, Holandia, Niemcy, Wielka Brytania, Rosja. Przygotowane narzędzie zawierało moduły, które zostały powiązane z operacją „Snowglobe”  ujawnioną przez Edwarda Snowdena w prezentacji kanadyjskich służb specjalnych. Na jednym ze slajdów znajdujemy informację, że służby specjalne Kanady z umiarkowaną pewnością twierdzą, że wspomniana operacja była dziełem francuskich służb specjalnych, przypuszczalnie DGSE

Chiny

Operacje szpiegowskie w cyberprzestrzeni Chiny prowadzą od czasów operacji „Titan Rain”, czyli co najmniej od lat 2003-2004 r. W 2013 r. szacowano, że ponad 20 grup APT miało swoje źródło w Chinach. Wśród grup, którym przypisywane jest chińskie pochodzenie (w różnym stopniu potwierdzone), są APT1 (jednostka 61398, od co najmniej 2006 r.), Naikon (jednostka 78020, od co najmniej 2010 r.) [1], APT3 (aka UPS), APT12 [1], APT18, APT30 (od co najmniej 2005 r.). Kierunki działalności wspomnianych grup odzwierciedlały geopolityczne zainteresowania Państwa Środka. W ich zainteresowaniu były Stany Zjednoczone, Indie, Niemcy, Japonia, Korea Południowa, Arabia Saudyjska czy państwa ASEAN. Po podpisaniu w 2015 r. porozumień chińsko-amerykańskich i chińsko-brytyjskich o zaprzestaniu działalności szpiegowskiej w Internecie zaobserwowano zwrot w działalności chińskich APT, które przesunęły ciężar swojej aktywności z USA i Wielkiej Brytanii na Rosję.

Niewiele wiadomo o działaniach cywilnych służb specjalnych Chin. Natomiast dużo więcej wiemy o wojskowych służbach tajnych Pekinu. Przez lata w ramach Sztabu Generalnego Chińskiej Armii Ludowo-Wyzwoleńczej funkcjonowały trzy jednostki odpowiedzialne za cyberprzestrzeń: II Zarząd (wywiad zagraniczny, wywiad obrazowy), II Zarząd (wywiad sygnałowy) oraz IV Zarząd (odpowiedzialny za działania ofensywne). W ramach III Zarządu  działały 3 instytuty badawcze, centrum obliczeniowe oraz 12 biur operacyjnych, w tym najbardziej znane Biuro II (jednostka 61398). Po zmianach organizacyjnych z przełomu 2015/2016 operacje cyfrowe mają ulec konsolidacji w ramach nowo utworzonych Sił Wsparcia Strategicznego.

Ukraina

Z końcem 2015 r. firma ESET zidentyfikowała nieznaną wcześniej grupę używającą APT, któremu nadano nazwę Prikormka. Dalsze badania wykazały, że oprogramowanie to jest w użyciu od co najmniej 2008 r., a kraj, gdzie jest ono najbardziej widoczne, to Ukraina. Głównym celem tej grupy są prorosyjscy separatyści z regionów Doniecka i Ługańska. Wskazuje na to (1) zastosowanie politycznie zorientowanej socjotechniki w celu nakłonienia użytkownika z tej właśnie grupy do otwarcia zainfekowanego pliku, (2) największa liczba zainfekowanych maszyn na obszarze dwóch zbuntowanych republik i (3) użycie języka rosyjskiego. Innym przypuszczalnym celem są grupa Prawy Sektor (ukraińscy nacjonaliści) i politycy. 

Korea Północna

O zagrożeniu ze strony Korei Północnej zrobiło się szczególnie głośno w 2014 r. w wyniku włamania do systemów komputerowych Sony Pictures Entertainment. Śledztwo przeprowadzone łącznie przez kilka firm wyspecjalizowanych w usługach z dziedziny cyberbezpieczeństwa zostało nazwane operacją „Blockbuster.” W jego trakcie okazało się, że stojąca za włamaniem grupa „Lazarus” ma za sobą również ataki z lipca 2009 r., marca 2011 r., czerwca 2012 r. oraz DarkSeoul z marca 2013 r.. W ocenie analityków firmy McAfee instytucje południowokoreańskie były przedmiotem ciągłego cyberszpiegostwa w latach 2009 – 2013, po którym nastąpił wspomniany wyżej atak mający na celu usunięcie danych z dysków twardych. Ze względu na charakter systemu politycznego Korei Północnej należy zakładać, że każde – nie tylko szpiegowskie - oprogramowanie jest tworzone przez struktury rządowe. Trojan bankowy BlackMoon, który jest przeznaczony do kradzieży danych użytkowników z południowokoreańskich instytucji bankowych, ma na swoim koncie prawie 109 tys. zarażeń. Za działania w cyberprzestrzeni odpowiedzialnością obarczane są Biuro 121 [1] i Biuro 91, oba działające w strukturach Głównego Biura Rozpoznania Sztabu Generalnego Pjongjang (dawn. Phenian).

Korea Południowa

Od 2007 r. grupa APT prowadziła działalność szpiegowską instalując swoje oprogramowanie poprzez sieci wi-fi w hotelach o wysokim standardzie. Dzięki temu jej ofiarami padł personel korporacyjny najwyższego szczebla z kluczowych sektorów, w tym także zbrojeniowego. Kampania była ukierunkowana na pracowników przedsiębiorstw z Korei Północnej, Chin, Rosji Japonii i Indii. Dwie poszlaki sugerują, że operacja mogła być prowadzona przez służby specjalne Seulu. Po pierwsze, zaawansowany key logger użyty w ataku stanowił rozwinięcie kodu stworzonego przez południowokoreańskiego developera. Po drugie, jeden z wariantów malware dezaktywował się w przypadku wykrycia południowokoreańskiej strony kodowej. Analityk Costin Raiu z Kaspersky Lab, uznał, że aktor ten dysponuje możliwościami na poziomie NSA.

Iran

Historia destrukcyjnych ataków ze strony państwa ajatollahów zasadniczo rozpoczyna się od odpowiedzi na wcześniejsze ataki APT z lat 2009-2012, jaką był Shamoon, który wyczyścił dyski twarde 30 tys. komputerów koncernu naftowego Saudi Aramco.  Mimo, że był on pełen błędów, to wskazywał na szybko rosnące zdolności Iranu. Islamskiej Republice Iranu przypisuje się również aktywne od 2011 APT Rocket Kitten i operację „Saffron” wymierzoną w irańskich dysydentów. Wreszcie w operacji „Cleaver” ofiarami rzekomo padły intranet Korpusu Piechoty Morskiej USA, firmy sektora energetycznego Calpine, Saudi Aramco i Pemex, oraz linie lotnicze Qatar Airlines i Korean Air. Za irańskie zdolności w cyberprzestrzeni odpowiadają zarówno siły Korpusu Strażników Rewolucji, jak i grupy o wyraźnych afiliacjach z Teheranem - Ajax Security Team i Iranian Cyber Army.

Indie i Pakistan

W wyniku ataku na norweskiego dostawcę usług komunikacyjnych w 2013 r. odkryto grupę „Hangover”, aktywną od 2010 r. Wśród celów był oczywiście Pakistan, ale również Iran, Stany Zjednoczone, Chiny i wewnętrzni separatyści. Mimo istotnych śladów wskazujących na Indie jako kraj pochodzenia brak jednak bliższych informacji jaka organizacja rządowa mogłaby stać za tymi atakami.

Rok 2016 obfituje w aktywność pakistańską w cyberprzestrzeni. Najpierw w ramach operacji „Transparent Tribe” zidentyfikowano malware użyty do ataków na ambasady Indii w Kazachstanie i Arabii Saudyjskiej. Doprowadził on śledczych na trop fałszywego bloga o indyjskich siłach zbrojnych, który propaguje to samo oprogramowanie. Drugi incydent miał miejsce w marcu br. i dotyczył aplikacji SmeshApp przeznaczonej dla systemu Android. Zbierała ona informacje z telefonów pracowników indyjskich sił zbrojnych (zdjęcia, kontakty etc.) i wysyłała je na serwer w Niemczech, wynajęty przez osobę zamieszkałą w Karaczi. Wreszcie w ramach ujawnionej operacji „C-Major” atakowano wysokiej rangi indyjskich urzędników cywilnych i przedstawicieli wojska poprzez phishing i wykorzystywanie podatności w Adobe Reader w celu kradzieży danych osobowych (skany dokumentów, informacje podatkowe etc.).

Oba kraje łączą dwie cechy. Po pierwsze, brak jest powszechnie dostępnych informacji o oficjalnych jednostkach zajmujących się działaniami w cyberprzestrzen; ich rolę obecnie prawdopodobnie pełnią cybermilicje. Po drugie, badacze wskazują na brak wyrafinowania technicznego, a nierzadko wręcz błędy w tworzonym oprogramowaniu. Mimo to upór obu aktorów i inteligentne zastosowanie socjotechniki zwykle prowadzą do osiągnięcia celu

Podsumowanie

Świat APT to przestrzeń pełna niedopowiedzeń i niejasności – jednym słowem środowisko naturalne służb wywiadowczych. Atrybucja działań konkretnych aktorów jest trudna, żeby nie powiedzieć, wręcz niemożliwa. Nieustannie zmieniają się nazwy grup, prowadzonych przez nie kampanii i operacji, a nawet zdarzają się działania pod fałszywą flagą. Oprogramowanie ulega ciągłej ewolucji i jest dostosowywane do określonych celów. W efekcie badacze otrzymują tysiące próbek, które nie jest łatwo ze sobą powiązać. W związku z tym atrybucji dokonuje się poprzez identyfikację interesów geopolitycznych atakujących, strefę czasową kompilacji i pracy operatorów nadzorujących oprogramowanie oraz język, jaki można odnaleźć w oprogramowaniu. Łącznikami pozwalającymi na identyfikację są pliki (np. te same biblioteki .dll wykorzystywane w różnych malware), stosowanie tych samych exploitów, fragmentów kodu lub nawet hasła znajdowane w różnych próbkach szkodliwego oprogramowania.

Co więcej, nie zawsze możliwa jest identyfikacja, kto w danym kraju stoi za atakami. W krajach o rozbudowanych strukturach bezpieczeństwa – takich jak Rosja, Chiny czy USA –dochodzi lub może dochodzić do rywalizacji między różnymi służbami specjalnymi. Miewamy nawet do czynienia interakcjami ugrupowań szpiegowskich. W ub.r. doszło do konfrontacji dwóch grup APT, którym jest przypisywane chińskie pochodzenie. Gdy jedna z nich próbowała dokonać infiltracji instytucji bezpieczeństwa za pomocą spear-phishingu spotkała się z taką samą odpowiedzią. W innej sytuacji, jedna osoba stała się celem ataku dwóch anglojęzycznych grup APT naraz, co może być oznaką konkurencji między nimi, ale również próbą zdobycia tych samych informacji przez współpracujących ze sobą aktorów.

W tej rywalizacji geopolitycznej uczestniczą prywatne firmy zajmujące się cyberbezpieczeństwem. Prowadząc dochodzenia firmy te stają się brokerami informacji wywiadowczych. Pomimo że mają one charakter komercyjny i – teoretycznie – powinny być neutralne politycznie, wskazuje się na powiązania między ich szefami a instytucjami bezpieczeństwa poszczególnych państw. I tak np. szef Kaspersky'ego wywodzi się z sowieckiego KGB, szef Mandiant pracował dla sił zbrojnych USA, a w tworzenie FireEye zaangażowany był fundusz In-Q-Tel, związany z CIA. Takie afiliacje podważają zaufanie do dostawców oprogramowania ochronnego.

Wraz z Internetem, który z technologicznej ciekawostki stał się równoległą rzeczywistością ludzkiej działalności, ewoluowały cyfrowe narzędzia szpiegowskie. Technologiczne wyrafinowanie powoduje, że APT wyjątkowo często trafiają na nagłówki serwisów internetowych. Nie zmienia to faktu, że stały się one chlebem powszednim działalności wywiadowczej i jeszcze jednym wymiarem rywalizacji o potęgę.

Maciej Hacaga jest członkiem Zespołu Młodych Naukowców przy Komitecie Prognoz PAN „Polska 2000 Plus”. Absolwent London School of Economics i Uniwersytetu Wiedeńskiego w ramach programu Erasmus Mundus Global Stiudies, a także Instytutu Stosunków Międzynarodowych Uniwersytetu Warszawskiego.

 

CyberDefence24
CyberDefence24
KomentarzeLiczba komentarzy: 1
hehehe
wtorek, 31 maja 2016, 20:05

Dzięki rządowym wirusom jak Stuxnet Amerykanie "osiągnęli" to, że Rosja wydziela się z Internetu, produkuje własne procesory, administracja w Rosji przechodzi na rosyjskie komputery na rosyjskich częściach, Rosja wdraża swój system operacyjny (klon Linuksa) zamiast Windows i analogicznie jest z innym oprogramowaniem, a teraz chce produkować własne telefony komórkowe na własnym systemie operacyjnym. Bardzo prawdopodobne, że inne kraje będą brać przykład. Chyba nie o to USA chodziło...