Cyberwojny

Cieszysz się, że żyjesz w epoce wolnej od wojen? I masz oczywiście rację. Z jednym zastrzeżeniem: wojna cały czas trwa, a nawet się nasila. Tylko że nie walczą ze sobą czołgi, a hakerzy, i robią to nie na polach bitew, a w Internecie, a Ty zazwyczaj nie masz o tym zielonego pojęcia
atak hakerów
Zapewne słyszałeś o Edwardzie Snowdenie i programie PRISM. Ten pracownik firmy Booz Allen Hamilton, wcześniej technik na usługach CIA, żył jak król na Hawajach i zarabiał rocznie 122 tysiące dolarów, jednak postanowił to rzucić, bo ruszyło go sumienie. W maju tego roku ujawnił istnienie PRISM, programu rządu USA mającego na celu szpiegowanie wszystkich uczestników ruchu internetowego odbywającego się przez terytorium Stanów Zjednoczonych. Do współpracy z programem nakłoniono ponoć większość z największych światowych firm internetowych, m.in. Google, Microsoft, Facebook czy Apple. PRISM gromadzi nasze mejle, rozmowy, dane osobowe, zdjęcia z wakacji i właściwie wszystko, co wrzuciliśmy do internetu.

Wiele hałasu o nic?

Po zamachach 11 września amerykańskie specsłużby otrzymały tak nieograniczone uprawnienia, że byłoby dziwne, gdyby nie korzystały ze wspaniałych baz danych Facebooka czy Googla. Nawet jeśli PRISM nie istnieje tak, jak opisał go Snowden, może w każdej chwili powstać i działać zupełnie legalnie. Właściwie więc dziwi, czemu Snowden wywołał taką wściekłość amerykańskich władz i stał się wrogiem publicznym nr 1. Bo PRISM, mimo że budzi emocje, jest tylko niewinnym sygnałem tego, co rozgrywa się w sieci. Śledzenie i podglądanie, choć to działania nieładne, są niczym w porównaniu z bezpośrednimi atakami hakerów, wpuszczeniem wirusów w cudze systemy informatyczne. I może głównym grzechem Snowdena wcale nie była zdrada PRISM-u (którego istnienie akceptuje 60 proc. Amerykanów), a ujawnienie mnóstwa informacji operacyjnych o metodach działania wywiadu elektronicznego USA. Tego, że Amerykanie podsłuchiwali uczestników szczytu G–20, gromadzili chińskie SMS-y i ruch sieciowy, włamali się na serwery uniwersytetu Tsinghua i dwóch firm telekomunikacyjnych w Chinach. Snowden zdradził tym zasięg i narzędzia wywiadu USA, powiedział, jakimi gra kartami. A zachowanie tych atutów w tajemnicy ma kluczowe znaczenie w cyberwojnie.

Tajna wojna
Ta wojna toczy się zakulisowo, w tajemnicy przed mediami. W niej, wyjątkowo, nikt nie chwali się swoimi sukcesami. Ba, nawet jeśli uda się zaszkodzić przeciwnikowi, najlepiej, by ten nie domyślał się, że padł ofiarą czyjegoś ataku. Informacje o operacjach w sieci wyciekają do publicznej wiadomości rzadko, a te operacje, które dokładnie zbadano, można policzyć na jednej ręce. Dobrym przykładem jest militarne zastosowanie wirusów komputerowych. Choć spekulowano o tym od dawna, to pierwszy raz natrafiono na ewidentny dowód takich działań trzy lata temu, gdy w czerwcu 2010 roku internet obiegła informacja o tajemniczym wirusie internetowym Stuxnet. Od tej pory zaprzeczanie toczeniu „wojen w internecie” nie ma sensu.

Operacja „Igrzyska olimpijskie”

Stuxnet był niezwykłym wirusem. Tradycyjnie wirusy wykorzystują zwykle pojedynczą wadę oprogramowania, by jak najszybciej zainfekować jak największą liczbę komputerów. Dlatego ich twórcy starają się, aby były małe, szybko się wykonywały, zajmowały mało miejsca i aby ich przesłanie siecią nie trwało za długo. Ich cykl życia jest krótki – infekują dużo maszyn, są szybko rozpoznawane, a następnie powoli tępione w miarę postępu aktualizacji systemów i programów antywirusowych. W XXI wieku najskuteczniejszą metodą rozmnażania się wirusów są wady w oprogramowaniu korzystającym z sieci – np. błędy w klientach poczty elektronicznej. Stuxnet był zupełnie... inny. Niczym wirusy rodem z wczesnych lat 90. przenosił się nie z użyciem internetu, a za pośrednictwem współczesnych dyskietek – pendrive’ów – i sieci lokalnych.

Z jakiegoś powodu nie rozmnażał się przy byle okazji. Ponadto na większości zainfekowanych komputerów pozostawał... nieaktywny! Wszystkie te cechy czyniły go ciekawym, ale dopiero analiza częściowo rozszyfrowanego kodu wstrząsnęła branżą. Stuxnet potrafił wykorzystać kilka luk systemu Windows, z których większość zidentyfikowano jako zero–day (patrz słownik). Każda z nich oddzielnie wystarczyłaby do skonstruowania bardzo skutecznego wirusa, a użycie tak wielu naraz zaobserwowano po raz pierwszy. Oczywistym pytaniem było, kto i jak wszedł w posiadanie tylu nieznanych informacji o atakowanym systemie. Wydawało się niemożliwe pozyskanie takiej wiedzy tradycyjnymi metodami inżynierii wstecznej (patrz słownik), dlatego podejrzenia padły na amerykańskie agencje wywiadowcze, które mogłyby zmusić twórców Windowsa do współpracy. Podejrzenia padły też na firmy Realtek i JMicron; część wirusa była sygnowana ich (podobno ukradzionymi) podpisami elektronicznymi. Zapewne teoretycznie ktoś mógł potrzebne informacje z tych firm wykraść, ale w tym celu musiałby dysponować doskonałym zapleczem operacyjnym. Było jasne, że Stuxneta nie mogło napisać w garażu czterech kolesiów w koszulach w kratę. Wyglądał na zorganizowaną robotę dużego zespołu wspomaganego albo bezpośrednio przez przemysł, albo przez organizację, która ten przemysł ma świetnie zinfiltrowany. Stuxnet to nie był terroryzm. To była przemyślana operacja, dziś zna-na pod kryptonimem „Igrzyska olimpijskie”. Jaki był jej cel?

Wirujący cel
Stuxnet uaktywniał się tylko na komputerach podłączonych do kontrolerów przemysłowych wirówek gazów konkretnych producentów. Takich wirówek, jak te stosowane w procesie wzbogacania uranu, którego potem można użyć np. do budowy bomb atomowych. Atak przebiegał wielofazowo. Wirus najpierw przejmował kontrolę nad modułem komunikacji między komputerem a zewnętrznym kontrolerem, potem przeprogramowywał sam kontroler, wykorzystując lukę zero-day w jego oprogramowaniu. Następnie zaburzał komunikację między urządzeniami tak, by operator systemu nie był w stanie zauważyć destrukcyjnych zmian w działaniu wirówki. A wszystko to działo się tylko w systemach, które wirus wcześniej zidentyfikował jako podłączone do interesującego go sprzętu. Jaki jest sens pisania takiego wirusa?

Irański pacjent
Jest jasne, że celem ataku Stuxneta były irańskie instalacje nuklearne w mieście Natanz. Dokładnie takie wirówki, jakie infekował, są tam wykorzystywane w procesie wzbogacania uranu na potrzeby irańskiego programu nuklearnego. Zdaniem firm antywirusowych, Stuxnet został najprawdopodobniej dostarczony bezpośrednio do celu w 2007 roku. Miał tam operować do kwietnia 2010, gdy - pewnie przypadkowo - trafił do „publicznego” obiegu, gdzie dorwały go i ujawniły firmy antywirusowe. Zapewne jakiś irański pracownik postanowił pożyczyć do domu służbowego pendrive’a i niechcący rozwalił w ten sposób cybermilitarną operację, narażając na szwank reputację kilku firm komputerowych i pokój na Bliskim Wschodzie. Choć żaden z krajów nigdy nie przyznał się oficjalnie do stworzenia Stuxnetu, to uważa się, że najwięcej zyskały na tej operacji USA i Izrael. Od dawna były zaniepokojone atomowymi ambicjami Iranu, nie wierząc, że jego program nuklearny ma tylko cywilne zastosowanie. Użycie wirusa zamiast konwencjonalnej broni miało spowolnić proces gromadzenia wzbogaconego uranu, dając czas dyplomatom.

W czerwcu 2012 roku „New York Times”  potwierdził te przypuszczenia, powołując się na „wywiady z atak hakerówamerykańskimi, izraelskimi i europejskimi urzędnikami zaangażowanymi w program”, którzy jednak „odmawiają publikacji nazwisk”. Izraelska gazeta „Haaretz” napisała potem, że sabotaż Stuxnetem spowodował utratę 30 proc. mocy przerobowej irańskich wirówek. Podobno tysiąc z nich uległo uszkodzeniu, a program atomowy Iranu opóźniono o dwa lata. Skutkiem ubocznym odkrycia Stuxneta jest otwarcie nowego rozdziału historii sztuki militarnej. Zimną wojnę zastąpiła wojna w internecie. To, co kilka lat temu wydawało się pomysłem na scenariusz filmu science fiction, okazało się rzeczywistością z kilkuletnią już historią.

Następna wpadka – Flame

Udowodnił to odkryty w maju 2012 roku superwirus Flame. Był jeszcze większy od Stuxneta, którego rozmiary wynikały z niezbędnego „uzbrojenia” wirusa w kilka metod obchodzenia zabezpieczeń systemu i kontrolera wirówki. Flame ważył aż 20 megabajtów, czyli mniej więcej połowę tego co Windows 95. Jego twórcy zdecydowali się wykorzystać język wysokiego poziomu, to jest taki, w którym szybko się pisze, ale program dużo zajmuje i wolno działa. Dlaczego? Prawdopodobnie dlatego, że pisząc Flame’a, nie znali do końca jego... zastosowania. Celem Flame’a było gromadzenie danych wywiadowczych. Interesowały go przede wszystkim dokumenty administracji rządowych, plany sieci, projekty budynków i dróg. Wirus potrafił czytać pocztę, gromadzić dokumenty, podglądać konferencje na Skype, nagrywać dźwięk, zbierać informacje o urządzeniach Bluetooth. Posiadał nawet wbudowaną bazę danych, kilka sterowników (np. sfałszowany sterownik dźwięku) i kilka modułów odpowiedzialnych za replikację.

Najciekawszą jednak cechą Flame’a była umiejętność samozniszczenia, dzięki której infekował głównie „interesujące” maszyny, a z pozostałych sam się usuwał, w ten sposób opóźniając swoje wykrycie.
Według firmy antywirusowej Kaspersky Lab, większość „interesujących” wirusa maszyn działało w Iranie, Izraelu, Syrii, Libanie, Arabii Saudyjskiej i Egipcie. 8 czerwca 2012 r., czyli w niecałe 2 tygodnie po odkryciu, większość kopii wirusa dokonała samozniszczenia. Nie wiadomo, jak długo Flame działał (firmy antywirusowe wskazują na 2010 rok) i jakich informacji dostarczył swoim twórcom. Nieznany jest też pełny zakres jego możliwości, bo nie ma pewności, że analitykom firm antywirusowych udało się „złapać” wszystkie jego moduły, zanim został wyłączony. Tak jak w przypadku Stuxneta, nikt nie przyznał się do stworzenia Flame’a. Uważa się jednak, że oba wirusy powstały w jednym czasie i mają to samo źródło, na co wskazują podobieństwa między nimi – np. oba używały wspólnego zero-daya. Także rozkład atakowanych maszyn, koszt wyprodukowania wirusa i rozmach przeprowadzonej operacji zawęża krąg podejrzanych

Operacja „Aurora”
Chińskie agencje specjalne są mniej dyskretne w swych działaniach w sieci. Kraj, który najpierw odciął swoich obywateli od internetu za pomocą największego na świecie firewalla („Great Firewall”) i filtruje treści, z jakimi mogą się interesować, dysponuje jedną z najliczniejszych armii hakerów na świecie, podobno tworzących samodzielną jednostkę Armii Ludowo-Wyzwoleńczej Chin. Hakerzy ci dość regularnie atakują zachodnie firmy, zastawiając swoje sidła na słabiej strzeżonych stronach, by – za pośrednictwem zaatakowanych maszyn pojedynczych użytkowników  - powoli przenikać w głąb firm bardziej interesujących, np. podwykonawców producentów broni albo wywiadów krajów zachodnich. Raz jednak się nacięli, bo wycelowali w firmę Google, która w styczniu 2010 poinformowała o zorganizowanym ataku na swoje serwery i rozpoczęła śledztwo. Wg Googla, hakerom chodziło głównie o zdobycie korespondencji podejrzanych dla reżimu osób (w Chinach dostępny był Gmail) i kodów źródłowych niektórych usług Googla. Hakerzy zaatakowali przez lukę w Internet Explorerze - aż dziwne, że jakiś pracownik Googla go używał. Microsoft przyznał się, że o luce wiedział od paru miesięcy, ale zwlekał z jej zatkaniem. W rezultacie rządy Au-strii, Niemiec i Francji uznały Internet Explorera za „potencjalnie dziurawego” i zaleciły urzędnikom używanie innych przeglądarek. Co rzadkie, atak został oficjalnie zauważony i potępiony przez administrację USA ustami Hillary Clinton. W odpowiedzi chińskie media oskarżyły Zachód o „zorganizowaną prowokację”.

Operacja „Aurora” – bo tak nazwano w fachowej literaturze chińskie działania – trwała co najmniej od października 2009 roku do lutego 2010. Prócz Googla zaatakowano również kilkanaście firm z listy Fortune 100. Hakerzy, dysponując jedną luką w Internet Explorerze, przeprowadzili zmasowany atak na wszystko, co ich zainteresowało. Zadziałał efekt skali – tylko najpotężniejsze firmy z sektora IT były w stanie zareagować na czas i publicznie powiedzieć o ataku. Mniejsze zostały zmuszone do wyłączenia maszyn, choć niektórzy twierdzą, że to również była robota Chińczyków.

Trochę spekulacji
Stuxnet pokazał, jak precyzyjnie można spenetrować sieć nieprzyjaciela, nie mając do niej bezpośredniego dostępu. Flame pokazał, że atak nie musi kończyć się na wypuszczeniu nawet najgroźniejszego wirusa. Może być trwającą wiele lat operacją, której narzędzie podlega ciągłej ewolucji, a atakowane cele są selekcjonowane. Aurora pokazała, jak szeroko zakrojony może być cel hakerskiego ataku. Być może wkrótce od Snowdena usłyszymy rewelacje o kolejnych tajnych operacjach. Już dziś jednak, jeśli gdzieś zdarzy się jakaś zaskakująca katastrofa o charakterze militarnym albo jakiś wojskowy wynalazek dziwnie przypomina ci coś, co stworzył wcześniej jakiś inny kraj - zastanów się. Może to oczywiście być przypadek. Ale równie dobrze wynik cyberataku... 

Dodał(a): Andrzej Brush Czwartek 19.09.2013