NSA stojí za najväčším útokom hackerov v histórii
Na začiatku bola náhoda. Bezpečnostná spoločnosť Kaspersky skúmala v marci minulého roka malvér Regin, pomocou ktorého zaútočili napríklad na belgickú telekomunikačnú spoločnosť Belgacom.
Vtedy si softvéroví inžinieri na jednom z napadnutých počítačov všimli čosi nezvyčajné – zariadenie z Blízkeho východu napadnuté rôznym útočným softvérom obsahovalo aj škodlivý kód, ktorý odborníci nikdy predtým nevideli.
Po takmer ročnej analýze, stopovaní, pokusoch prelomiť rôzne kódy a šifry, preberaní riadiacich serverov i snahe pochopiť celý rozsah operácie zverejnili v pondelok prvé výsledky vyšetrovania. Analytici narazili na najväčšiu, najšikovnejšiu a najprepracovanejšiu kyberútočnú operáciu, ktorú sa dosiaľ v dejinách podarilo odkryť. Trvala najmenej štrnásť rokov a za hackermi a ich malvérom stál štát.
Podľa zdrojov agentúry Reuters totiž Kaspersky čiastočne rozkryla globálne a systematické kyberútoky americkej Národnej bezpečnostnej agentúry (NSA).
Najmenej štrnásť rokov
Keď sa analytici bezpečnostnej firmy zmocnili niekoľkých z troch stoviek riadiacich serverov, s ktorými sa útočný kód pokúšal komunikovať, postupne sa im začal rozkrývať celý rozsah operácie.
Softvéroví inžinieri zistili, že majú do činenia s rôznymi útočnými nástrojmi, z ktorých sa niektoré využívali už od roku 2001, možno už od roku 1996. Niektoré medzičasom skupina prezývaná Equation Group používať prestala, no malvér stále zostával na napadnutých počítačoch. Na niektorých aj dvanásť rokov a nik si škodlivý kód nevšimol.
Dôvodom totiž bola extrémna šikovnosť útočníkov, taká, s akou sa bezpečnostní odborníci podľa magazínu Wired dosiaľ nestretli. Malvér sa napríklad ukrýval na miestach, kde ho nedokáže vystopovať ani antivírusový softvér. Dával si extrémny pozor, kedy vôbec zaútočí a ktoré ciele má ignorovať.
A svoju škodlivú činnosť začal vykonávať až v prípadoch, keď bolo splnených niekoľko podmienok – i tak však mal útočný náklad ukrytý za viacerými zašifrovanými vrstvami, takže analytici dodnes netušia, čo by niektoré útočné kódy dokázali.
„Keď sme odkrývali čoraz viac z týchto operácií, až vtedy sme si začali uvedomovať, ako málo vieme o skutočných schopnostiach útočníkov,“ priznáva podľa technologického magazínu Costin Raiu, šéf analytického a výskumného tímu bezpečnostnej spoločnosti.
Napadnúť firmvér
Dôsledné šifrovanie obsahu pripomína malvér Gauss, ktorý objavili v roku 2012 a za ktorým pravdepodobne stoja tvorcovia Stuxnetu. Tento program podľa zistení denníka New York Times vytvorili americká NSA spolu s Izraelčanmi a jeho cieľom bolo napadnúť iránske zariadenia na obohacovanie jadrového paliva – čo sa podarilo a iránsky nukleárny program útok spomalil o niekoľko rokov.
V skutočnosti bol však Stuxnet len časťou väčšej operácie. Odhalený malvér totiž dokázal rovnaké veci, no odborníci narazili aj na jednu zásadnú novinku. Novoobjavený kód prezývaný EquationDrug i jeho nástupca malvér GrayFish dokázali napadnúť a pozmeniť firmvér harddiskov.
Škodlivý kód sa následne dokázal ukryť tak, že prežil aj premazávanie diskov či preinštalovanie operačného systému na dôkladnej armádnej úrovni. Magazín Ars Technica dokonca zdôrazňuje, že vlastne nejestvuje možnosť, ako takýto program odhaliť či zbaviť sa ho.
„Nielenže títo chlapíci dokázali neuveriteľne komplikovanú vec,“ dodáva pre Ars Technica Raiu, „ale dokázali to nielen na jednom druhu harddisku.“
V prípade GrayFishu dokázali útočníci ovládnuť zariadenie až od dvanástich rôznych výrobcov vrátane firiem ako Samsung či Seagate.
Krok za krokom
Sofistikovaný malvér mal aj ďalšiu zákernú schopnosť: nielen ukradne procesy pri štartovaní počítača do systému Windows a má kompletnú kontrolu nad týmto operačným systémom, či, presnejšie, sám sa týmto operačným systémom stáva. Ak sa však počas tohto procesu čosi pokazí, GrayFish okamžite svoju činnosť zastaví a zničí sa – takže Windows fungujú normálne a on z počítača zmizne.
„Umožňuje mu to kontrolovať štart Windows, a to v každom jednotlivom kroku,“ opisuje správa bezpečnostnej spoločnosti. „Vlastne, po napadnutí už počítač nebeží sám, je to GrayFish, ktorý ho krok za krokom kontroluje a všetky nevyhnutné zmeny robí za pochodu.“
Aj hackeri však urobili niekoľko chýb. Prvou bolo, že sa nechali nachytať a dovolili, aby Kaspersky získala moc nad niektorými riadiacimi servermi, čím analytici uvideli prebiehajúce i minulé operácie.
Niektoré využívané bezpečnostné slabiny bývali totožné s tými, ktoré sa v minulosti využívali práve v prípade kódov ako Stuxnet či Flame. A v ďalších kúskoch škodlivého kódu zostávali zabudnuté zmienky, ktoré mohli naznačovať previazanosť s aktivitami NSA.
Až potom dvaja bývalí zamestnanci NSA pre spravodajskú agentúru Reuters potvrdili, že analýza kyberaktivít je správna. A že NSA naozaj vyvinula spôsob, ako napadnúť firmvér harddiskov i ako v ňom ukryť škodlivý kód.
Tisícky štátnych hackerov
Dnes sa odhaduje, že len NSA zamestnáva priamo i nepriamo tisícky hackerov, horné odhady hovoria o číslach prekračujúcich desaťtisíc kyberexpertov len v tejto jedinej americkej agentúre.
Všeobecne sa považujú za najlepších na svete s prakticky neobmedzenými zdrojmi a technologickými možnosťami.
Len aktuálna analýza pritom ukazuje, že obeťami podobných útokov sa stávajú zariadenia i ľudia v desiatkách krajín po celom svete. Podobné štátne tímy a programy však majú aj Rusko, Čína, Veľká Británia, Francúzsko či Nemecko, no aj krajiny ako Irán či Severná Kórea.
„Čo ma však na tom najviac desí, je vlastne zistenie, že my nemáme žiadne vzorky z aktivít skupiny z roku 2014,“ uzatvára pre Wired Raiu.
About The Author
