Obete je možné počítať v desiatkach tisíc, vo viac než 30 krajinách sveta. Najviac zarážajúci je ale fakt, ako dlho dokázal unikať pozornosti. Spoločnosti Kapsersky Lab sa ho ako prvej podarilo odhaliť až po 14 rokoch.
Najväčší a najrozsiahlejší útok sa dokázal skrývať až 14 rokov
Odborníci o objavenom špionážnom útoku hovoria v superlatívoch. Skupinu, ktorá za útokom stojí, Kasperksy označuje ako The Equation Group. V internetovom podsvetí je aktívna už dovedna dvadsať rokov. Od roku 2001 napadla prakticky všetky dôležité inštitúcie, ktoré sú ideálnym cieľom pre špionáž. Nechýbajú medzi nimi vládne a diplomatické inštitúcie, telekomunikačné firmy, letecký a energetický sektor, jadrový výskum, armáda, islamskí aktivisti, finančné inštitúcie či dokonca médiá. Podľa Kaspersky sa skupine podarilo infiltrovať aj do prostredia firiem vyvíjajúcich šifrovacie technológie.
Malvér prešiel bezpečnostným expertom cez rozum. Tí majú zviazané ruky
Prekvapivá je najmä precíznosť celého útoku a dôraz na najmenšie detaily. Útočníci využívali rozsiahlu kontrolnú infraštruktúru, ktorá pozostávala z viac ako 300 domén a stovky serverov po celom svete. Útočníkom od začiatku záležalo na tom, aby prípadné odhalenie expertov nenasmerovalo len k jednému cieľu. Využívali preto servery umiestnené v Spojených štátoch, Veľkej Británii, Taliansku, Nemecku, Holandsku, Paname, Kostarike, Malajzii a dokonca aj v Českej republike.
Útok prebiehal rovnako sofistikovane. “Na infikovanie obetí skupina využíva silný a moderný arzenál malvéru,” tvrdí Kaspersky. Analytikom sa podarilo získať dva kľúčové nástroje, vďaka ktorým dokázali útočníci preprogramovať hlavný ovládací softvér (takzvaný firmvér) väčšiny pevných diskov. Vlastnú verziu firmvéru dokázali útočníci nainštalovať do pevných diskov od viac ako desiatich najznámejších výrobcov. S ničím podobným sa výskumníci doposiaľ nestretli. Ide zrejme o vôbec prvý známy malvér, ktorý dokáže pevné disky priamo infikovať.
Foto: Kaspersky Lab
Infikované disky už nie je možné opraviť. Jediným riešením je ich zničenie
Na otázku, prečo útočníci infikovali práve firmvér pevných diskov, existuje jednoduchá odpoveď. Softvér takto infikovaného pevného disku prakticky nie je možné opraviť. Nepomôže naformátovanie disku ani preinštalovanie operačného systému. Ak sa malvér už raz do stane do firmvéru pevného disku, môže sa nekonečne obnovovať. Vie totiž zabrániť zmazaniu určitého oddielu a spolu s obnovením systému sa obnoví aj škodlivý kód. “Keď je pevný disk infikovaný, nie je možné jeho firmvér skenovať. Sme prakticky slepí a nemôžeme odhaliť napadnuté pevné disky,” dopĺňa Costin Raiu z Kaspersky Lab. Jediným účinným riešením je ich zničenie.
Šifrovanie súborov nepomôže. Malvér si s ním poradí
Práve schopnosť malvéru vytvoriť na pevnom disku neviditeľné a odolné oblasti robí výskumníkom vrásky na čele. Tieto oblasti sú využívané na ukladanie určitého typu informácií a môžu byť útočníkmi kedykoľvek použité. Vďaka tomu je niekedy možné prelomiť aj šifrovanie. Nezáleží na algoritme ani šifrovacom kľúči. Škodlivý kód je aktívny od spustenia systému, dokáže preto zachytiť čokoľvek čo užívateľ v systéme robí, vrátane zadávania hesiel a komunikácie.
Skupina Equation využívala pri svojich aktivitách takisto červa Fanny, ktorý sa šíril prostredníctvom infikovaného USB kľúča. Z počítača sa následne na kľúč ukladali základné systémové informácie a pri pripojení na internet boli zasielané na kontrolné servery. Následne, ak útočníci chceli spustiť konkrétnu úlohu v izolovanej sieti (napríklad v intranete), mohli červ uložiť na skrytú oblasť USB kľúča. Následne po pripojení do takéhoto počítača červ Fanny dokázal príkazy rozpoznať a vykonať ich.
Za útoky je údajne zodpovedná americká bezpečnostná agentúra NSA
Podľa výskumníkov je zaujímavý pôvodca špionážnych útokov. Údajne existujú hodnoverné dôkazy, že útočníci komunikovali aj s ďalšími vplyvnými skupinami, napríklad aj tvorcami červa Stuxnet, ktorý dokázal vážne poškodiť priemyselné počítačové systémy v iránskych centrifúgach na obohacovanie uránu. Za červom Stuxnet, ktorý je považovaný za jednu z doposiaľ najúčinnejších kybernetických zbraní, pravdepodobne pochádzal z laboratórií americkej bezpečnostnej agentúry NSA. Skupina Equation navyše vedela o mnohých zraniteľnostiach skôr než samotní tvorcovia softvéru a následne tieto informácie zdieľala s ďalšími skupinami.
Foto: Kaspersky Lab/Securelist.com
Kaspersky o konkrétnom pôvodcovi útokov síce nehovorí, no viacero indícií nasvedčuje, že do útokov je priamo zaangažovaná agentúra NSA. V rozsiahlej dokumentácii, ktorú spoločnosť sprístupnila, je zrejmé že za útokmi stojí sofistikovaná jednotka, s najväčšou pravdepodobnosťou americká špionážna agentúra. Agentúra Reuters sa tiež odvoláva na vyjadrenia bývalého zamestnanca NSA, ktorý potvrdil, že analýza spoločnosti Kaspersky Lab bola správna, a že ľudia v prostredí bezpečnostnej agentúry si špionážny program cenia rovnako ako Stuxnet. Agentúra NSA obvinenia odmietla komentovať.