ŚwiatRosyjski niedźwiedź zamachnął się na NSA? "To jedna z największych sensacji ostatnich miesięcy"

Rosyjski niedźwiedź zamachnął się na NSA? "To jedna z największych sensacji ostatnich miesięcy"

• Nieznana grupa hakerska wykradła cyberbronie amerykańskiej Agencji Bezpieczeństwa Narodowego

• Autentyczność wykradzionych NSA narzędzi potwierdził Edward Snowden

• Część ekspertów uważa, że za wszystkim stoi Rosja

• W ten sposób ma demonstrować USA swoją potęgę w cyberprzestrzeni

• Przeciek negatywnie wpłynie na już nadszarpniętą reputację NSA oraz może osłabić zdolności ofensywne USA w cyberprzestrzeni

Rosyjski niedźwiedź zamachnął się na NSA? "To jedna z największych sensacji ostatnich miesięcy"
Źródło zdjęć: © AFP | Saul Loeb

26.08.2016 | aktual.: 27.08.2016 10:59

Ujawnienie przez nieznaną dotąd grupę Shadow Brokers narzędzi hakerskich stosowanych przez powiązaną z amerykańską Agencją Bezpieczeństwa Narodowego (NSA) organizację Equation Group, to jedna z największych sensacji ostatnich miesięcy w obszarze cyberbezpieczeństwa. Zdaniem ekspertów od bezpieczeństwa opublikowane materiały są prawdziwe, choć źródło przecieku nie jest jasne. Część analityków wskazuje na przepływ wewnętrzny, podczas gdy inni uważają, że za całą operacją stała Rosja. Sytuacja stawia NSA w trudnej sytuacji, ponieważ hakerzy twierdzą, że posiadają więcej hakerskich narzędzi - pisze Andrzej Kozłowski na łamach portalu CyberDefence24.pl.

Szokująca informacja o wykradzeniu cyberbroni NSA pojawiła się w zeszłym tygodniu. Nieznana grupa umieściła w sieci dwa foldery, liczące łącznie ponad 300 megabajtów. Jeden z nich został zaszyfrowany, a hasło do niego ma zostać udostępnione zwycięzcy aukcji, którą zorganizowała grupa Shadow Brokers. Organizowanie publicznej aukcji jest jednak bez sensu, w szczególności biorąc pod uwagę ogromną kwotę, której zażądali jej organizatorzy. Osoba chcąca uzyskać dostęp do pliku musi zapłacić 500 milionów dolarów w Bitcoinach, co nie umknie uwadze służb wywiadowczych - nawet jeżeli zostanie dokonana w trudno wykrywalnej kryptowalucie.

Drugi odkodowany folder, liczący 134 MB, zawiera dane o skryptach używanych po stronie serwera, konfiguracjach, różnego rodzaju exploitach (programy mające na celu wykorzystanie błędów w oprogramowaniu - przyp. red.) umożliwiających złamanie zapór sieciowych oraz inne informacje na temat zabezpieczeń firm Fortinetu, Cisco, Snaanxi, Networkcloud Information Technology. Najnowsze z nich pochodzą z 2013 roku.

Snowden potwierdza

Sygnatury opublikowanych narzędzi hakerskich są identyczne z tymi używanymi wcześniej przez Equation Group. Potwierdza to autentyczność opublikowanych materiałów. Początkowo wiele osób w to wątpiło, ponieważ publikowanie informacji i narzędzi hakerskich należących do grup kontrolowanych przez państwa jest niezwykle rzadkie. Zresztą sama wielkość opublikowanych plików wskazuje, że nie zostały one sfałszowane.

Sprawę rozstrzygnął Edward Snowden, który w magiczny sposób znalazł odpowiedni dokument potwierdzający autentyczność wykradzionych materiałów. Warto podkreślić, że prawie wszystkie opublikowane przez Shadow Brokers pliki komputerowe zawierają algorytmy RC5 i RC6, znalezione również w złośliwym oprogramowaniu Sauron, o którego stworzenie podejrzewa się właśnie NSA.

Cele ataków, czyli routery należące do Cisco, Juniper oraz Forinentu, to jedne z najpopularniejszych tego rodzaju urządzeń sieciowych na świecie. Używane są zarówno przez instytucje rządowe, największe korporacje oraz pojedyncze osoby. Przedstawiciel Cisco przyznał publicznie, że jedna z luk ujawnionych przez grupę Shadow Brokers była cały czas im nieznana.

Byli pracownicy NSA, wliczając w to Edwarda Snowdena, określili, że wykradzenie materiałów z serwerów agencji jest ich zdaniem bardzo mało prawdopodobne. Według nich narzędzia zostały prawdopodobnie wykradzione z serwerów zewnętrznych, używanych do przeprowadzania ataków przez hakerów powiązanych z NSA. Agencja używa tych serwerów do operacji wymierzonych w inne państwa w celu uniknięcia wykrycia. Prawdopodobnie w skutek niedopatrzenia narzędzia nie zostały usunięte po zakończeniu operacji i to pomimo że NSA przeprowadza audyt swoich systemów.

Jeżeli prawdą jest, że pliki zostały wykradzione w okolicach 11 czerwca 2013, to osoba, która uzyskała te informacje, mogła wykorzystywać te same podatności co NSA i niezauważenie przez trzy lata szpiegować wiele podmiotów na całym świecie. Należy też zauważyć, że było to dwa miesiące po ucieczce Snowdena do Hongkongu i sześć dni po pierwszej publikacji na łamach brytyjskiego "Guardiana" dostarczonych przez Amerykanina dokumentów. Prawdopodobnie w tym samym czasie NSA wzmocniła mechanizmy kontroli oraz wyłączała potencjalne źródła przecieku informacji, odcinając hakerów od serwera.

Equation Group prowadzi jedne z najbardziej zaawansowanych operacji hakerskich na świecie, korzystając z nieograniczonych zasobów i najzdolniejszych informatyków. Była ona prawdopodobnie zaangażowania w wykorzystaniu Stuxnetu - robaku, który zaatakował ośrodek nuklearny Natanz w Iranie, oraz przy Flamie - szpiegowskim oprogramowaniu pozyskującym informacje z komputerów na Bliskim Wschodzie.

Rosja na ławie oskarżonych

Wśród ekspertów dominują dwie główne hipotezy o możliwym przecieku informacji. Jedna z nich mówi, że za wszystkim stoi Rosja, która pragnie zademonstrować swoją potęgę w cyberprzestrzeni. Pokazać Amerykanom, że też jest w stanie wyśledzić ich poczynania w sieci. Incydent ten ma być odpowiedzią na atak na Komitet Partii Demokratycznej, gdzie wskazano na rosyjskich udział. Teza na partycypację Kremla w całym wydarzeniu wydaje się być najbardziej prawdopodobna, biorąc pod uwagę ostatnią sytuację. Potwierdził to zresztą przebywający w Rosji i całkowicie uzależniony od FSB Edward Snowden.

Druga hipoteza mówi, że wyciek danych jest dziełem osoby pracującej w NSA, która szuka rewanżu na byłym pracodawcy oraz możliwości łatwego zarobku i dlatego publikuje te informacje lub jest źródłem osobowym rosyjskiego wywiadu. Hipotezę o "wewnętrznej robocie" przedstawił Matt Suiche, założyciel MoonSols zajmującego się cyberbezpieczeństwem. Jego zdaniem takie narzędzia trzymane są na fizycznie odseparowanych serwerach, które nie mają łączności z internetem i nigdy nie są umiejscawiane na zewnątrz. Jego zdaniem ktoś specjalnie je tam umieścił. Niezmieniona hierarchia i nazwa plików sugeruje, że były one bezpośrednio przekierowane ze źródła.

Przeciek narzędzi używanych przez NSA negatywnie wpłynie na już nadszarpniętą reputację agencji oraz może osłabić zdolności ofensywne Stanów Zjednoczonych w cyberprzestrzeni. Inne podmioty mogą nauczyć się z opublikowanych materiałów jakich technik i metod używają Amerykanie. Wprawdzie materiał głównie pochodzi z 2013 roku, jednak NSA często korzysta ze starych rozwiązań nawet w swoich najnowszych programach, po prostu dodając nowe opcje do już istniejących fundamentów. Potwierdza to ostatnio ujawnione oprogramowanie Sauron, zawierające algorytmy z lat 90., napisane w przestarzałym już języku skryptowym Lua.

Drugi problem leży w braku reakcji NSA na publikację dokumentów. Wynika to z tego, że dokładnie nie wiadomo, co zostało skradzione. Pokazuje to, jak niewiele wiadomo o stosowanych rozwiązaniach, narzędziach i podatnościach.

Trzecim problemem jest wpływ działalności NSA na światowe cyberbezpieczeństwo, w tym ochronę przedsiębiorstw i firm komercyjnych. NSA świadoma istnienia luk w ich zabezpieczeniach, nie informuje o nich. W ten sposób naraża firmy komercyjne na włamania, ponieważ każdy może uzyskać dostęp do luk w systemie - od pojedynczych hakerów aż po agencje szpiegowskie państw, posiadające zaawansowane narzędzia w świecie wirtualnym.

Obecnie w Stanach Zjednoczonych istnieje procedura ujawniania luk oprogramowania. Agencje takie jak NSA czy FBI powinny każdy odkryty exploit przesyłać do grupy ekspertów wywodzących się z różnych instytucji, którzy następnie decydują, czy bardziej opłacalne jest jego ujawnienie czy utrzymanie w sekrecie. Zdaniem Micheala Denisa, koordynatora Białego Domu ds. cyberbezpieczeństwa, w zdecydowanej większość przypadków dochodzi do ujawniania informacji.

Ten proces oceny jest jednak dość nowy, został wprowadzony wiosną 2014 roku. Wcześniej NSA posiadała wewnętrzny proces analizy zagrożeń. Jednak w jego rezultacie ujawniano nieliczne wykryte luki. Taka polityka wynikała z przekonania, że podatności mogą służyć przez długi czas jako przydatna broń, a ujawnienie ich zmusi agencję do kosztowych poszukiwań kolejnych.

Andrzej Kozłowski, CyberDefence24.pl

Polecamy również: Oko Saurona w służbie NSA

Wybrane dla Ciebie
Komentarze (87)