Trwa ładowanie...

Rosyjski niedźwiedź zamachnął się na NSA? "To jedna z największych sensacji ostatnich miesięcy"

• Nieznana grupa hakerska wykradła cyberbronie amerykańskiej Agencji Bezpieczeństwa Narodowego

• Autentyczność wykradzionych NSA narzędzi potwierdził Edward Snowden

• Część ekspertów uważa, że za wszystkim stoi Rosja

• W ten sposób ma demonstrować USA swoją potęgę w cyberprzestrzeni

• Przeciek negatywnie wpłynie na już nadszarpniętą reputację NSA oraz może osłabić zdolności ofensywne USA w cyberprzestrzeni

Rosyjski niedźwiedź zamachnął się na NSA? "To jedna z największych sensacji ostatnich miesięcy"Źródło: AFP, fot: Saul Loeb
d33eggj
d33eggj

Ujawnienie przez nieznaną dotąd grupę Shadow Brokers narzędzi hakerskich stosowanych przez powiązaną z amerykańską Agencją Bezpieczeństwa Narodowego (NSA) organizację Equation Group, to jedna z największych sensacji ostatnich miesięcy w obszarze cyberbezpieczeństwa. Zdaniem ekspertów od bezpieczeństwa opublikowane materiały są prawdziwe, choć źródło przecieku nie jest jasne. Część analityków wskazuje na przepływ wewnętrzny, podczas gdy inni uważają, że za całą operacją stała Rosja. Sytuacja stawia NSA w trudnej sytuacji, ponieważ hakerzy twierdzą, że posiadają więcej hakerskich narzędzi - pisze Andrzej Kozłowski na łamach portalu CyberDefence24.pl.

Szokująca informacja o wykradzeniu cyberbroni NSA pojawiła się w zeszłym tygodniu. Nieznana grupa umieściła w sieci dwa foldery, liczące łącznie ponad 300 megabajtów. Jeden z nich został zaszyfrowany, a hasło do niego ma zostać udostępnione zwycięzcy aukcji, którą zorganizowała grupa Shadow Brokers. Organizowanie publicznej aukcji jest jednak bez sensu, w szczególności biorąc pod uwagę ogromną kwotę, której zażądali jej organizatorzy. Osoba chcąca uzyskać dostęp do pliku musi zapłacić 500 milionów dolarów w Bitcoinach, co nie umknie uwadze służb wywiadowczych - nawet jeżeli zostanie dokonana w trudno wykrywalnej kryptowalucie.

Drugi odkodowany folder, liczący 134 MB, zawiera dane o skryptach używanych po stronie serwera, konfiguracjach, różnego rodzaju exploitach (programy mające na celu wykorzystanie błędów w oprogramowaniu - przyp. red.) umożliwiających złamanie zapór sieciowych oraz inne informacje na temat zabezpieczeń firm Fortinetu, Cisco, Snaanxi, Networkcloud Information Technology. Najnowsze z nich pochodzą z 2013 roku.

Snowden potwierdza

Sygnatury opublikowanych narzędzi hakerskich są identyczne z tymi używanymi wcześniej przez Equation Group. Potwierdza to autentyczność opublikowanych materiałów. Początkowo wiele osób w to wątpiło, ponieważ publikowanie informacji i narzędzi hakerskich należących do grup kontrolowanych przez państwa jest niezwykle rzadkie. Zresztą sama wielkość opublikowanych plików wskazuje, że nie zostały one sfałszowane.

d33eggj

Sprawę rozstrzygnął Edward Snowden, który w magiczny sposób znalazł odpowiedni dokument potwierdzający autentyczność wykradzionych materiałów. Warto podkreślić, że prawie wszystkie opublikowane przez Shadow Brokers pliki komputerowe zawierają algorytmy RC5 i RC6, znalezione również w złośliwym oprogramowaniu Sauron, o którego stworzenie podejrzewa się właśnie NSA.

Cele ataków, czyli routery należące do Cisco, Juniper oraz Forinentu, to jedne z najpopularniejszych tego rodzaju urządzeń sieciowych na świecie. Używane są zarówno przez instytucje rządowe, największe korporacje oraz pojedyncze osoby. Przedstawiciel Cisco przyznał publicznie, że jedna z luk ujawnionych przez grupę Shadow Brokers była cały czas im nieznana.

Byli pracownicy NSA, wliczając w to Edwarda Snowdena, określili, że wykradzenie materiałów z serwerów agencji jest ich zdaniem bardzo mało prawdopodobne. Według nich narzędzia zostały prawdopodobnie wykradzione z serwerów zewnętrznych, używanych do przeprowadzania ataków przez hakerów powiązanych z NSA. Agencja używa tych serwerów do operacji wymierzonych w inne państwa w celu uniknięcia wykrycia. Prawdopodobnie w skutek niedopatrzenia narzędzia nie zostały usunięte po zakończeniu operacji i to pomimo że NSA przeprowadza audyt swoich systemów.

Jeżeli prawdą jest, że pliki zostały wykradzione w okolicach 11 czerwca 2013, to osoba, która uzyskała te informacje, mogła wykorzystywać te same podatności co NSA i niezauważenie przez trzy lata szpiegować wiele podmiotów na całym świecie. Należy też zauważyć, że było to dwa miesiące po ucieczce Snowdena do Hongkongu i sześć dni po pierwszej publikacji na łamach brytyjskiego "Guardiana" dostarczonych przez Amerykanina dokumentów. Prawdopodobnie w tym samym czasie NSA wzmocniła mechanizmy kontroli oraz wyłączała potencjalne źródła przecieku informacji, odcinając hakerów od serwera.

d33eggj

Equation Group prowadzi jedne z najbardziej zaawansowanych operacji hakerskich na świecie, korzystając z nieograniczonych zasobów i najzdolniejszych informatyków. Była ona prawdopodobnie zaangażowania w wykorzystaniu Stuxnetu - robaku, który zaatakował ośrodek nuklearny Natanz w Iranie, oraz przy Flamie - szpiegowskim oprogramowaniu pozyskującym informacje z komputerów na Bliskim Wschodzie.

Rosja na ławie oskarżonych

Wśród ekspertów dominują dwie główne hipotezy o możliwym przecieku informacji. Jedna z nich mówi, że za wszystkim stoi Rosja, która pragnie zademonstrować swoją potęgę w cyberprzestrzeni. Pokazać Amerykanom, że też jest w stanie wyśledzić ich poczynania w sieci. Incydent ten ma być odpowiedzią na atak na Komitet Partii Demokratycznej, gdzie wskazano na rosyjskich udział. Teza na partycypację Kremla w całym wydarzeniu wydaje się być najbardziej prawdopodobna, biorąc pod uwagę ostatnią sytuację. Potwierdził to zresztą przebywający w Rosji i całkowicie uzależniony od FSB Edward Snowden.

Druga hipoteza mówi, że wyciek danych jest dziełem osoby pracującej w NSA, która szuka rewanżu na byłym pracodawcy oraz możliwości łatwego zarobku i dlatego publikuje te informacje lub jest źródłem osobowym rosyjskiego wywiadu. Hipotezę o "wewnętrznej robocie" przedstawił Matt Suiche, założyciel MoonSols zajmującego się cyberbezpieczeństwem. Jego zdaniem takie narzędzia trzymane są na fizycznie odseparowanych serwerach, które nie mają łączności z internetem i nigdy nie są umiejscawiane na zewnątrz. Jego zdaniem ktoś specjalnie je tam umieścił. Niezmieniona hierarchia i nazwa plików sugeruje, że były one bezpośrednio przekierowane ze źródła.

d33eggj

Przeciek narzędzi używanych przez NSA negatywnie wpłynie na już nadszarpniętą reputację agencji oraz może osłabić zdolności ofensywne Stanów Zjednoczonych w cyberprzestrzeni. Inne podmioty mogą nauczyć się z opublikowanych materiałów jakich technik i metod używają Amerykanie. Wprawdzie materiał głównie pochodzi z 2013 roku, jednak NSA często korzysta ze starych rozwiązań nawet w swoich najnowszych programach, po prostu dodając nowe opcje do już istniejących fundamentów. Potwierdza to ostatnio ujawnione oprogramowanie Sauron, zawierające algorytmy z lat 90., napisane w przestarzałym już języku skryptowym Lua.

Drugi problem leży w braku reakcji NSA na publikację dokumentów. Wynika to z tego, że dokładnie nie wiadomo, co zostało skradzione. Pokazuje to, jak niewiele wiadomo o stosowanych rozwiązaniach, narzędziach i podatnościach.

Trzecim problemem jest wpływ działalności NSA na światowe cyberbezpieczeństwo, w tym ochronę przedsiębiorstw i firm komercyjnych. NSA świadoma istnienia luk w ich zabezpieczeniach, nie informuje o nich. W ten sposób naraża firmy komercyjne na włamania, ponieważ każdy może uzyskać dostęp do luk w systemie - od pojedynczych hakerów aż po agencje szpiegowskie państw, posiadające zaawansowane narzędzia w świecie wirtualnym.

d33eggj

Obecnie w Stanach Zjednoczonych istnieje procedura ujawniania luk oprogramowania. Agencje takie jak NSA czy FBI powinny każdy odkryty exploit przesyłać do grupy ekspertów wywodzących się z różnych instytucji, którzy następnie decydują, czy bardziej opłacalne jest jego ujawnienie czy utrzymanie w sekrecie. Zdaniem Micheala Denisa, koordynatora Białego Domu ds. cyberbezpieczeństwa, w zdecydowanej większość przypadków dochodzi do ujawniania informacji.

Ten proces oceny jest jednak dość nowy, został wprowadzony wiosną 2014 roku. Wcześniej NSA posiadała wewnętrzny proces analizy zagrożeń. Jednak w jego rezultacie ujawniano nieliczne wykryte luki. Taka polityka wynikała z przekonania, że podatności mogą służyć przez długi czas jako przydatna broń, a ujawnienie ich zmusi agencję do kosztowych poszukiwań kolejnych.

Andrzej Kozłowski, CyberDefence24.pl

Polecamy również: Oko Saurona w służbie NSA

d33eggj
Oceń jakość naszego artykułu:
Twoja opinia pozwala nam tworzyć lepsze treści.

WP Wiadomości na:

Komentarze

Trwa ładowanie
.
.
.
d33eggj
Więcej tematów

Pobieranie, zwielokrotnianie, przechowywanie lub jakiekolwiek inne wykorzystywanie treści dostępnych w niniejszym serwisie - bez względu na ich charakter i sposób wyrażenia (w szczególności lecz nie wyłącznie: słowne, słowno-muzyczne, muzyczne, audiowizualne, audialne, tekstowe, graficzne i zawarte w nich dane i informacje, bazy danych i zawarte w nich dane) oraz formę (np. literackie, publicystyczne, naukowe, kartograficzne, programy komputerowe, plastyczne, fotograficzne) wymaga uprzedniej i jednoznacznej zgody Wirtualna Polska Media Spółka Akcyjna z siedzibą w Warszawie, będącej właścicielem niniejszego serwisu, bez względu na sposób ich eksploracji i wykorzystaną metodę (manualną lub zautomatyzowaną technikę, w tym z użyciem programów uczenia maszynowego lub sztucznej inteligencji). Powyższe zastrzeżenie nie dotyczy wykorzystywania jedynie w celu ułatwienia ich wyszukiwania przez wyszukiwarki internetowe oraz korzystania w ramach stosunków umownych lub dozwolonego użytku określonego przez właściwe przepisy prawa.Szczegółowa treść dotycząca niniejszego zastrzeżenia znajduje siętutaj