Image
23.1.2015 0 Comments

Éra masívnej kyberšpionáže

Sú počítače na ambasádach, úradoch či priamo v taškách jednotlivých politikov plné vírusov zpera ich oponentov? Sú mnohé výskumné pracoviská monitorované aich dáta kradnuté azneužívané? Ako vlastne vyzerajú vírusy ainý škodlivý softvér, ktorý je pod taktovkou jednotlivých štátov?

Pojem škodlivý softvér má väčšina používateľov spojený spodvodníkmi, zlodejmi alebo inými záškodníkmi. Používatelia sa právom obávajú napríklad odchytenia prihlasovacích mien ahesiel do internetového bankovníctva alebo zneužitia svojho počítača na stavbu botnetu. Softvér tohto druhu však nepoužívajú len indivíduá patriace za mreže. Na základe podrobných analýz mnohých antivírusových spoločností dnes vieme, že takéto praktiky často vo veľkej miere uplatňujú aj vládne inštitúcie. Vich prípade, samozrejme, nejde okrádeže údajov kbankovým účtom, identity alebo výpočtového výkonu, ale o presadzovanie národných záujmov azískavanie informácií.

Medzi najznámejšie záškodnícke ašpionážne programy, ktoré sa objavili na verejnosti vposledných rokoch, patria hlavne Stuxnet, Duqu aFlame. Tieto veľmi komplexné softvérové balíky boli zamerané predovšetkým proti iránskemu jadrovému programu, pričom boli nasadené vo veľkomrozsahu apočas mnohých rokov. Podrobne sme sa im venovali včlánku Vírus ako zbraň v PC REVUE č. 10/2012.

Medzi hlavné poznávacie prvky softvéru tohto typu patrí to, že vôbec nezapadá do bežných koľají jednoduchých červov či trójskych koní, ktoré sú dielom jednotlivcov. Zväčša ide oveľmi pokročilé asofistikované programy, ktoré sú určené pre úzku skupinu cieľov. Sú zložené z veľkého množstva odlišne zameraných modulov, majú vlastné aktualizačné mechanizmy, komunikujú so sieťou serverov rozmiestnených po celom svete apoužívajú rôzne pokročilé druhy infekcie, ktorých súčasné nasadenie ukazuje, že nič sa nenechalo na náhodu.

Prvé časti Stuxnetu identifikovala vlete roku 2010 bieloruská antivírusová spoločnosť VirusBlokAda. V analýzach ďalších spoločností sa neskôr ukázalo, že daný softvér bol vprevádzke už mnoho rokov apoužíval sa na sabotáž špecifických zariadení určených na obohacovanie uránu (kľúčová zložkajadrových zbraní). Softvér Duqu, ktorý zo Stuxnetu priamo vychádzal, bol určený predovšetkým na zber technických dokumentácií, pričom bol odhalený vroku 2011 v Laboratóriu kryptografie asystémovej bezpečnosti na technickej univerzite vBudapešti. Duqu však zostal vtieni masívneho amimoriadne pokročilého digitálneho špióna pomenovaného Flame, ktorý vroku 2012 identifikovali špecialisti z ruskej antivírusovej spoločnosti Kaspersky Lab. Ten takisto zbieral informácie už mnoho rokov azo štátov Blízkeho východu odosielal rozsiahle množstvo utajovaných dát. Po jeho odhalení vroku 2012 ho stretol rovnaký osud ako iné špionážne azáškodnícke programy tohto typu. Jeho tvorcovia mu odoslali na diaľku „samovražedný“ príkaz, na základe ktorého sa zinfikovaných počítačov samočinne kompletne vymazal.

Definitívne spojiť programy tohto typu sich vlastníkmi je takmer nemožné. Zrnko pochýb vždy zostane. Vzhľadom na špecifiká ich cieľov však vždy možno ukázať prstom na najvážnejších kandidátov, ktorí vo všetkých súvislostiach dávajú najväčší zmysel. Stuxnet, Duqu aFlame sú dnes spájané najmä s USA, pričom mnoho expertov sa prikláňa kvariantu, že šlo o kooperatívne úsilie americkej Národnej bezpečnostnej agentúry (NSA) ajej izraelského ekvivalentu Unit 8200. Len ťažko by sa však dalo očakávať, že ide oojedinelé asamostatné akcie, ktoré nemajú obdobu. Antivírusoví experti vposledných rokoch odhaľujú stále nové prípady ašpionážny softvér sa objavuje na počítačoch kľúčových inštitúcií po celom svete. Nemá pritom len americké korene aindície často smerujú aj kiným štátom, ako je napríklad Rusko aČína.

Americko-britský Regin

Na konci novembra 2014 uverejnili antivírusové spoločnosti Kaspersky Lab aSymantec podrobné správy oodhalení pokročilého špionážneho nástroja rozšíreného vmnohých krajinách. Vo väčšine prípadov sa našiel na zariadeniach jednotlivcov s významnými špecializáciami afunkciami (48 %), ale značný počet jeho kópií sa objavil aj na počítačoch telekomunikačných operátorov (28 %), leteckých spoločností (5 %) či výskumných pracovísk (5 %). Softvér dostal meno Regin (trpaslík zo severskej mytológie), pričom je spájaný predovšetkým samerickou výzvednou službou NSA abritskou GCHQ.

Regin Mapa.jpg

Geografické rozšírenie infekcií Reginu

Regin je pokročilý škodlivý softvér, ktorý sa používa na špionážne účely proti medzinárodným cieľom už niekoľko rokov. Ide oveľmi komplexný nástroj, umožňujúci výzvednú činnosť aj na strážených aveľmi špecifických miestach. Vzáklade spadá do kategórie trójskych koní, ale vzhľadom na jeho pokročilosť a veľkú konfigurovateľnosť sa dá skôr označiť za softvérový balík nástrojov. Jeho časti určené na špecifické infiltrácie do konkrétnych inštitúcií bezpochyby vyvíjali rozliční špecialisti, ktorí mali perfektnú znalosť daného prostredia (napríklad znalosť konkrétnych systémov používaných telekomunikačnými operátormi). Jeho vývoj tak pravdepodobne trval niekoľko mesiacov či rokov. Pri prihliadnutí na jeho špecifiká je takmer isté, že ide onástroj kyberšpionáže na úrovni štátu.

Špecialisti zo spoločností Symantec (ktorá stojí za antivírusom Norton) aKaspersky Lab sa začali prvými odhalenými vzorkami Reginu zaoberať už v roku 2012 acelá analýza pokračovala až do konca minulého roka. Regin sa na rozdiel od Stuxnetu, ktorý bol určený najmä pre priemyselné systémy SCADA, zameriava na veľké množstvo cieľov, pričom prioritou je najmä sledovanie a krádež dát. Je pritom schopný inštalovať dodatkové moduly, ktoré sú upravené na konkrétnu sieť alebo počítač. Symantec analyzoval rôzne varianty infekcie. Zatiaľ čo jedna používala modul určený na monitorovanie sieťovej prevádzky softvérového webového servera (Internet Information Services prítomný vsystéme Windows), druhá bola vybavená modulom na zber informačných dát zo serverov kontrolnej stanice mobilnej siete (BTC), ktorá ovládala niekoľko vysielačov BTS. Iná infekcia zas používala modul na zber dát zpodnikovej databázy e-mailov v rámci Microsoft Exchange Servera. Regin je vzáklade schopný poskytovať útočníkovi vzdialený prístup k systému, vytvárať snímky obrazovky, odchytávať heslá amonitorovať všetku sieťovú komunikáciu. Takisto má na danom počítači možnosť hľadať zmazané súbory aobnovovať ich. Získané súbory pritom nezapisuje na disk aobyčajne snimi pracuje len vrámci operačnej pamäte. Vmomente, ako sa infikovaný počítač dostane do rúk expertov, teda už nemožno zistiť, aké konkrétne dáta Regin vminulosti odoslal.

Symantec identifikoval dve základné verzie Reginu. Tá prvá sa používala do roku 2011, keď bola vyradená zcirkulácie. Jediné pozostatky, ktoré sa našli po tomto roku, sa zdali nefunkčné apravdepodobne sa zdôvodu chyby len neúspešne odstránili. Upravený azlepšený Regin vo verzii 2.0 (existuje aj v64-bitovom variante) sa objavil vroku 2013. Je však možné, že na iných neodhalených počítačoch bol tento softvér prítomný už včase ukončenia prevádzky prvej verzie. Presný dátum začatia používania prvej verzie Reginu je takisto neznámy. Najstaršie odhalené infekcie, ku ktorým sa dostal Symantec, boli zroku 2008, ale Kaspersky Lab odhalil prvky sčasovými známkami siahajúcimi až do roku 2003.

Aj keď rozsah cieľov boľ veľký, snárastom rôznych infekcií sa začal objavovať jasný spoločný prvok. Infikované boli počítače vládnych, finančných avýskumných inštitúcií atakisto siete telekomunikačných operátorov (jedným znich bol belgický Belgacom). Zpočítačov jednotlivcov išlo oosoby svýznamným postavením, pričom to neboli lendiplomati apolitici, ale aj experti zodborov pokročilej matematiky akryptografie. Jeden znich bol napríklad známy belgický kryptológ Jean-Jacques Quisquater. Pri konkrétnych cieľoch je okrem ich zamerania ačinností dôležitá aj ich národná príslušnosť. Dovedna 28 % odhalených infekcií sa nachádzalo na počítačoch vRusku, 24 % vSaudskej Arábii, 9 % vÍrsku atakisto vMexiku. Infekcie boli odhalené vIndii, Afganistane, Pakistane aIráne, rovnako aj vRakúsku aBelgicku (každý zo štátov sa podieľal na celkovej infekciipiatimi percentami). Menšie prípady infekcie sa vyskytli aj vNemecku, Alžírsku a Brazílii a prekvapením boli najmä infekcie v miniatúrnych pacifických štátoch Fidži aKiribati.

Infekcia azber dát
Konkrétny proces, ktorým Regin infikuje cieľové počítače, nie je známy. Experti sa totiž dostali vždy len kuž infikovaným strojom. Symantec sa najviac prikláňa k možnosti, že väčšina infekcií sa vykonáva zobrazením infikovanej atrapy webovej stránky, ktorú cieľový objekt pravidelne navštevuje. Alternatívou je napríklad spôsob, ktorým bol pravdepodobne infikovaný kryptológ Quisquater. Ten údajne dostal podvrhnutú pozvánku na pripojenie do sociálnej siete, ktorá viedla na infikovanú adresu. Vjednom prípade bola identifikovaná aj infekcia prostredníctvom neznámej chyby vkomunikátore Yahoo na posielanie okamžitých správ.

Regin Infekcia.png

Päťfázové zavádzanie špionážneho mechanizmu Regin

Regin po prieniku do cieľového systému prechádza piatimi fázami. Vzáklade je viditeľná len tá prvá, pri ktorej operuje sklasickým programovým kódom. Vprípade staršej verzie Reginu ide osúbor usbclass.sys, vaktuálnej druhej verzii je to adpu160.sys. Vprípade 64-bitovej verzie sa navyše používajú aj podvrhnuté bezpečnostné certifikáty Microsoftu aBroadcomu, ktoré sa vrámci infekcie injektujú do zoznamu dôveryhodných certifikátov. Ich podpisom už následne systém dôveruje. Vo všetkých prípadoch Regin vprvej fáze zavádza ovládače pracujúce na úrovni jadra operačného systému, ktoré vykonajú ďalšie fázy.

Tie však už štandardne nie sú viditeľné a sú ukladané na netypických avrámci softvéru unikátnych miestach disku. Regin pritom používa rozšírené atribúty súborového systému NTFS, ktoré boli pôvodne navrhnuté vjadre systémov NT v90. rokoch minulého storočia na zachovanie kompatibility so systémom OS/2. Aj keď vsúčasnosti už tieto atribúty nemajú žiadny zmysel (posledná verzia OS/2 od IBM a Microsoftu bola vydaná vroku 2001), vsúborovom systéme NTFS zostali ako nepoužívaný artefakt minulých čias, atak sú dostupné aj vmoderných systémoch Windows. Regin schová svoje moduly buď prostredníctvom nich (32-bit), alebo ich uloží na prázdnom mieste nachádzajúcom sa na úplnom konci diskovej partície, kde nie sú viditeľné pre používateľa ani systém (64-bit.). Keďže možnosti ukladania týmto spôsobom sú limitované veľkosťou, Regin súbory delí na menšie časti, ktoré následne voperačnej pamäti zlučuje adešifruje.

Zaujímavé je, že viditeľná prvá fáza vo väčšine prípadov obsahuje rôzne časti open source programov, do ktorých je inštalačný kód Reginu začlenený. Tieto nefunkčné časti obyčajného kódu fungujú ako obal, vďaka ktorému rôzne infekcie vprvom štádiu vyzerajú odlišne, čo sťažuje detekciu. Zakaždým však vkóde možno nájsť oblasť, ktorá skutočne patrí Reginu aaktivuje nasledujúcu skrytú fázu 2 prostredníctvom rozšírených atribútov NTFS. To nielenže aktivuje fázu 3, ale zároveň skrýva všetky pozostatky fázy 1. Vrámci rozšírených atribútov Regin vskutočnosti operuje zpriečinka Windows ajeho podpriečinkov spísmom akurzormi (Windows/fonts, Windows/cursors).

Podobne ako vprvej fáze aj tu dochádza kzavádzaniu ovládačov. Tentoraz však už vskrytom režime. Vo fáze 3 už ide „do tuhého“ aRegin zavádza kompresné asieťové mechanizmy arozširuje svoje vlastnosti opodporu šifrovaných virtuálnych súborových systémov (EVFS). Nasledujúca štvrtá fáza tak už prebieha vnútri zašifrovaného dátového kontajnera. Vňom Regin zavádza svoje posledné ovládače azačína do systému inštalovať sledovacie mechanizmy na úrovni jadra systému (Windows/config/SystemAudit.Evt aSecurityAudit.Evt). To dokončuje vpiatej fáze, kde zavedie všetky svoje operačné moduly. To sa vykonáva injektovaním do systémového súboru services.exe, pričom všifrovanom kontajneri operuje so svojimi súbormi SystemLog.evt, SecurityLog.evt, ApplicationLog.evt a pintlgbp.imd. Aplikované moduly sa obvykle používajú na monitorovanie sieťovej prevádzky, zhromaždenie dát o systéme, prehľadanie súborového systému, e-mailov azaznamenávanie stlačených klávesov. Na príkaz dokáže Regin vykonať aj konkrétne kliknutia myši či inak pracovať spoužívateľským rozhraním.

Regin zvláda rozsiahlu komunikáciu so svojím riadiacim serverom, pričom Kaspersky Lab identifikoval dva serveryv Indii, jeden na Taiwane ajeden vBelgicku. Tieto servery však snajväčšou pravdepodobnosťou fungujú len ako sprostredkovatelia adáta niekam posielajú ďalej. Komunikácia je pritom obojsmerná aRegin môže reagovať na príkaz zvonku alebo naopak, pri nájdení žiadaných prvkov môže sám inicializovať spojenie so serverom. Zároveň môže slúžiť ako vstupný bod pre iné operácie aplniť tak funkciu proxy servera.

Ak nejaký počítač vnútri siete nie je schopný komunikovať sokolitým svetom, môže byť prepojený pomocou iného auž dostupného infikovaného systému vrámci tejto siete. Regin na tento účel môže vytvoriť silno šifrovanú sieť P2P. Kaspersky Lab takúto situáciu zaznamenal vjednej zkrajín Blízkeho východu, kde Regin tvoril vlastnú sieť P2P medzi prezidentskou kanceláriou, výskumným strediskom, sieťou vzdelávacieho inštitútu abankou. Sriadiacim strediskom (v Indii) pritom komunikoval len infikovaný systém vo vzdelávacom inštitúte. Administrátori siete prezidentského úradu tak videli len komunikáciu snárodnou bankou, zatiaľ čo administrátori banky len sprezidentskou kanceláriou avzdelávacím inštitútom. Zozbierané dáta putovali von zo štátu až zo vzdelávacieho inštitútu, kde externá komunikácia sindickým serverom nevyvolala podozrenie.



Rocra – ruský Červený október

Aj keď zautorstva mnohých pokročilých špionážnych programov sa podozrieva najmä USA, viných prípadoch fragmenty vkóde aokolnosti použitia ukazujú na iné krajiny. Voktóbri 2012 začali experti z Kaspersky Lab vyšetrovať infekcie nájdené na počítačoch diplomatov nachádzajúcich sa vkrajinách východnej Európy akrajinách bývalého Sovietskeho zväzu. Infekcie sa však neskôr našli aj vjuhoázijských krajinách avUSA. Podrobný prieskum odhalil dovtedy neznámy pokročilý špionážny softvér, ktorého hlavnou úlohou bol zber aodosielanie dát zpočítačov asmartfónov politikov ainých vysokopostavených osôb. Fungoval minimálne od roku 2007, pričom vzhľadom na ruské výrazy vkóde programu dostal meno Red october (Červený október), skrátene Rocra. Softvér fungoval až do januára roku 2013, keď spoločnosť Kaspersky zverejnila jeho podrobnú analýzu aadresy jeho niekoľkých desiatok riadiacich serverov. Operátori softvéru následne vykonali na diaľku jeho znefunkčnenie aservery sa odmlčali.

Rocra Mapa.png

Rockra infikovala množstvo politických, vojenských aj vedeckých cieľov

Kaspersky identifikoval viac ako 300 infikovaných systémov (individuálne počítače alebo celé lokálne siete úradov a inštitúcií), ktoré okrem politických cieľov pochádzali z výskumných inštitúcií, ropných spoločností, organizácií zoblasti energetiky,leteckého akozmického priemyslu. Najväčší počet pochádzal zRuska (35) aKazachstanu (21). Pätnásť cieľov bolo identifikovaných vBelgicku, Indii aAzerbajdžane, desať vArménsku aAfganistane. VUSA ana Ukrajine identifikoval Kaspersky šesť cieľov, zatiaľ čo napríklad vGrécku, Taliansku aŠvajčiarsku päť. Jedna oblasť infekcie sa vyskytla aj na Slovensku avČeskej republike.

Rocra sa zaujímala ovšetky bežné typy dokumentov, ako napríklad DOC, ODT, DOCX, PDF aďalšie, zároveň však hľadala aj omnoho menej časté súbory skoncovkou ACIDCSA, ACIDDSK, ACIDPVR, ACIDPPR, ACIDSSA. Tie by podľa všetkého mali patriť neverejnému, respektíve utajovanému šifrovaciemu softvéru Acid Cryptofiler, ktorý používajú osoby pohybujúce sa vrámci štruktúr NATO aEurópskej únie. Kďalším schopnostiam patrila krádež e-mailovej databázy Outlooku, prípadne priame prepojenie na napojený IMAP server. Okrem počítačov so systémami Windows dokázala Rocra zhromažďovať informácie aj zo smartfónov (iPhone, Windows Mobile), sieťových prvkov (Cisco) apripájaných externých diskov akľúčov USB. Podobne ako Regin aj Rocra obsahovala vlastné procedúry na obnovenie zmazaných súborov.

Riadiaca sieť, ktorú infikované počítače kontaktovali, pozostávala zviac ako 60 doménových mien a 10 serverov umiestnených vNemecku aRusku. Tieto servery fungovali vzájomne ako proxy servery aspoločne skrývali hlavný kontrolný server umiestnený na neznámom mieste. Podrobnejšou analýzou sa podarilo odhaliť ešte jednu medzivrstvu medzi ním azákladnými servermi, zloženú zdvoch serverov vRusku a jedného v Nemecku. Pri preskúmavaní infikovaných strojov sa ukázalo, že Rocra sa pokúšala kontaktovať aj niekoľko domén, ktorým už po rokoch platnosť vypršala (microsoft-msdn.com, windowsonlineupdate.com, dll-host-update.com a windows-genuine.com). Spoločnosť Kaspersky tieto domény zaregistrovala av novembri adecembri 2012 na nich evidovala 55000 pokusov ospojenie z 39 krajín. Väčšina znich pochádzala zo Švajčiarska, Kazachstanu aGrécka. Na základe IP adries sa podarilo určiť niektoré konkrétne miesta, pričom napríklad vprípade ruských spojení šlo zvyčajne oIP adresy patriace zahraničným ambasádam, ktoré vRusku sídlia. V prípadeostatných štátov šlo najčastejšie ovládne a výskumné inštitúcie.

Červený október infikoval cieľový systém pomocou podvrhnutého e-mailu, ktorý naoko pochádzal zdôveryhodnej adresy. Mail obsahoval prílohu vpodobe infikovaného dokumentu programu Word alebo Excel. Používané boli verejne známe zraniteľnosti CVE-2009-3129 (Excel), CVE-2010-3333 (Word) a CVE-2012-0158 (Word). Alternatívou bola infekcia cez jednu zraniteľnosť Javy (CVE-2011-3544). Ihneď po otvorení infikovaného dokumentu sa začala inštalácia škodlivého kódu (vytvárali sa súbory MSC.BAT vpriečinku TEMP asúbor SVCHOST.EXE vpriečinku Program Files/WindowsNT), ktoré následne nadviazali komunikáciu sriadiacim serverom. Ten do infikovaného počítača odoslal špecifické moduly, určené napríklad na infekciu smartfónov, prístup kFTP a podobne. Kým niektoré sa zapisovali na disk, iné existovali len voperačnej pamäti. Špecialitou softvéru bol modul určený na „vzkriesenie“, ktorý sa pri infekcii vkladal do nainštalovaných programov Adobe Reader aMicrosoft Office. Ak sa neskôr stalo, že niektorá zo zneužívaných zraniteľností systému bola opravená záplatou alebo bolo hlavné telo špionážneho programu odstránené, tento zombie modul zabezpečil, že pri poslaní špeciálne upravených dokumentov PDF aDOC došlo kobnoveniu celej Rocry.

Rocra Infekcia.png

Proces infekcie softvérom Rocra

Vmoduloch Rocry bolo odhalených niekoľko drobností, ktoré naznačujú, že jej tvorcovia boli osoby hovoriace po rusky. Vmodule winmobile sa napríklad dajú nájsť textové reťazce „Zakladka injected“ a „Cannot inject zakladka, Error: %u“ sruským slovom zakladka (čo môže znamenať vrámci softvéru napríklad základnú funkciu alebo vslangu – mikrofón umiestnený vo vládnej budove). Ve-mailovom module možno nájsť takisto reťazce PROGA START s PROGA END, čo je ruský slangový výraz pre program (program sa spúšťa, program sa ukončuje). Veľká komplexnosť softvéru apovaha získavaných informácií naznačuje, že Rocra sa používala na úrovni záujmov štátu. Ide však len oodhad.

Odmlčanie Rocry vjanuári 2013, teda ihneď po jej verejnom odhalení, však nebolo trvalé. Vzhľadom na veľkosť celej operácie abezpochyby značne objemné investície do vývoja aprevádzky došlo neprekvapivo kjej reinkarnácii. Spoločnosť Kaspersky túto situáciu očakávala apredpovedala, že vývojový tím sa na čas odmlčí, nástroje náležite upraví auvedie ich neskôr zasa do obehu. Prvky veľmi podobného systému tím spoločnosti Kaspersky detegoval vlete roku 2014 ajeho analýze sa venoval až do decembra, keď svoje výsledky publikoval.

Novú verziu pomenoval Cloud Atlas. Tento špionážny softvér používa veľmi podobnú metódu infekcie ako Rocra. Zaujímavé je, že pri zneužití zraniteľností súborov Office neukladá svoje súbory rovno na disk. Namiesto toho vytvorí Visual Basic Script, ktorý po spustení vyprodukuje zavádzač azašifrovaný škodlivý kód programu. Zavádzač je pritom vždy odlišný avyzerá to, že je generovaný polymorficky. Kód programu je pred inštaláciou zakódovaný unikátnym kľúčom ajeho rozkódovanie bez zavádzača nie je možné. Komunikácia sriadiacim serverom je takisto veľmi zaujímavá. Serverom je totiž účet na švédskej cloudovej službe www.cloudme.com. Sama služba nie je s operátormi tohto špionážneho softvéru priamo spojená aútočníci na nej len vytvorili množstvo bezplatných účtov. Každá špecifická infekcia komunikuje so samostatným účtom, na ktorý ukladá zašifrované dáta alebo ich z tohto úložiska, naopak, sťahuje. Všetky infekcie pritom môžu byť prekonfigurované na používanie iného účtu alebo iného cloudového úložiska. Kaspersky doposiaľ identifikoval 15 infekcií vRusku, 14 vKazachstane, 4 vBielorusku a2 vIndii aČeskej republike.

Ruská Turla

V lete minulého roka vyšlo najavo, že Rocra nebol jediný pokročilý špionážny softvér spojovaný sRuskou federáciou. Antivírusové spoločnosti Symantec aKaspersky uverejnili vauguste 2014 analýzu programu nazvaného Turla, ktorý infikoval niekoľko stoviek počítačov vo viac ako 45 krajinách. Ide osystémy používané vo vládnych, vojenských avývojových inštitúciách atakisto na ambasádach avo farmaceutických spoločnostiach. Ciele pochádzajú najmä zEurópy aBlízkeho východu.

Najčastejšie používaná metóda infekcie je ponúknutie falošnej aktualizácie Javy alebo Flash playera, ktorá sa zobrazí na infikovanej stránke. Operátori Turly vsúčasnosti prevádzkujú veľké množstvo webov, ktoré sú vytvorené priamo pre špecifické osoby. Ide okópie stránok, ktoré tieto potenciálne obete pravidelne navštevujú a vpravom momente sa im podvodom ponúkne falošná verzia, na ktorej dôjde kinfekcii. Kaspersky odhalil už viac ako stovku daných webov, pričom väčšina je na doméne COM (21). Populárna je však aj rumunská doména RO so 17 stránkami adoména EU s8 stránkami. Známa je aj jedna adresa na českej doméne CZ.

Turla používa na prienik do systému rozličné zraniteľnosti Javy, Internet Explorera aFlash playera. Dve zraniteľnosti, zktorých jedna patrí systému Windows XP adruhá programu Adobe Reader, boli doposiaľ neznáme. Vrámci analýzy trvajúcej desať mesiacov boli zaevidované aopravené pod názvami CVE-2013-5065 a CVE-2013-3346. Majitelia Turly pri infekciách postupujú veľmi dynamicky ametódy prieniku upravujú pre konkrétne ciele. Zaznamenaná bola aj infekcia prostredníctvom falošného variantu bezpečnostného softvéru Microsoft Security Essentials, ktorý bol vybavený platným bezpečnostným certifikátom švajčiarskej spoločnosti Sysprint.

Turla.jpg

Turla sa do systému najčastejšie dostáva prezlečená za aktualizáciu Javy, doplnku flash alebo shockwave. Ponúkne sa nastiahnutie na falošných kópiách regulárnych stránok.

Operátori Turly sú skrytí za dvoma vrstvami proxy serverov, cez ktoré sa pripájajú kmaterskému kontrolnému serveru (v minulosti používal adresy ako adobe.fanqserv.com, adobe3.systes.net aimage.servepics.com). Ten slúži ako prostriedok nainfekciu obetí, pričom naň smerujú všetky počítače, ktoré prišli do kontaktu sinfikovaným dokumentom alebo boli presmerované cez infikované kópie regulárnych webových stránok. Ihneď po infekcii Turla volá komunikačný server aposkytuje mu základné dáta osystéme, na ktorom sa ocitla.

Zozbierané dáta, ktoré Turla odosiela, sú silno šifrované, a tak nemožno odhaliť ich obsah. Špecialistom zKaspersky Lab sa však podarilo rozšifrovať komunikáciu opačným smerom, pri ktorej Turla dostáva príkaz od komunikačného servera. Bolo to možné vďaka tomu, že sa im podarilo dešifrovacie kľúče extrahovať ztela Turly. Útočníci obyčajne Turle hneď po infekcii posielajú základnú sériu príkazov, pri ktorej hodnotia, či je cieľový systém zaujímavý. Zvyčajne sa od Turly žiada, aby hľadala uloženéheslá, prípadne špecifické dokumenty. Vypozorované bolo hľadanie súborov snázvami NATO, EU, ale aj „eu energy dialogue“, teda súbor obsahujúci dáta zrokovaní Európskej únie ostave energetiky. Vprípade odhalenia veľmi zaujímavého cieľa môže byť Turla upgradovaná na pokročilejšie varianty obsahujúce rootkit. Tie umožňujú pokročilú správu celého počítača a podľa vnútorných reťazcov sú známe pod menami Carbon system, Cobra alebo Snake/Uroburos. Posledný menovaný je známy napríklad vsúvislosti sukradnutím masívneho objemu dát zfínskeho ministerstva zahraničných vecí.

To, že Turla je ovládaná zRuska, indikuje nielen výber azameranie obetí, ale oj občasný výskyt ruštiny vkóde programu. Jeden zmodulov je napríklad interne označený ako Zagruzchik.dll, čo vruštine značí zavádzač. Väčšina aktivity je pritom zaznamenaná vrámci pracovných hodín časovej zóny UTC +4, čo zodpovedá Samarskej oblasti Ruska.

Čínsky GhostNet

Známe sú aj veľké prípady špionáže zČíny, pričom dodnes najznámejší je softvér s označením GhostNet. Ide už ostaršiu záležitosť, ktorá rozvírila diplomatické vody vroku 2009 adodnes je ukážkovým reprezentantom tohto typu, pretožeČína je známejšia skôr cielenými hackerskými útokmi. Situácia okolo GhostNetu sa začala rozmotávať vroku 2008, keď sa osoby pracujúce pre duchovnú hlavu Tibetu (v súčasnosti Tändzin Gjamccho - Dalajláma XIV) obrátili na kanadských bezpečnostných expertov spodozrením na kompromitáciu počítačových systémov.

Vyšetrovanie viedlo informačné výskumné stredisko univerzity vToronte (Citizen Lab) akybernetické výskumné stredisko SecDev Group vOttawe. Výsledkom bolo odhalenie rozsiahlej siete na kybernetickú špionáž, zloženej z1295 infikovaných počítačov v103 štátoch. Približne 30 % infikovaných počítačov sa pritom nachádzalo na významných miestach vrámci politických, ekonomických či vojenských inštitúcií. Medzi zverejnené ciele patrili napríklad ministerstvá zahraničných vecí Bangladéša, Bhutánu, Indonézie, Iránu aLotyšska, ďalej ambasády Portugalska, Nemecka, Rumunska, Taiwanu aJužnej Kórey ainfikované boli aj interné siete Združenia národov juhovýchodnej Ázie (ASEAN) aJuhoázijského združenia pre regionálnu spoluprácu (SAARC). Snapadnutými počítačmi sa ocitlo aj niekoľkých veliteľstiev NATO.

Nainfekciu sa zvyčajne používalo sociálne inžinierstvo. Obetiam boli odoslané vysoko cielené a dôsledne písané e-maily srelevantným obsahom, ktoré obsahovali škodlivý softvér vprílohe alebo odkaz na infikovanú webovú stránku. Prienik do systému zabezpečovala diera vprogramoch Microsoft Office alebo Acrobat Reader, ktoré obete používali. Pripojený súbor sa obvykle otvoril celkom normálne avčitateľovi nevyvolal podozrenie. Vniektorých prípadoch však mohlo dôjsť kpádu programu. GhostNet následne vykonával základnú výzvednú činnosť, pričom na niektorých veľmi cenných systémoch pokračoval stiahnutím trójskeho koňa Ghost Rat, ktorý umožnil plnohodnotnú vzdialenú správu počítača. Čína akúkoľvek spojitosť so systémom GhostNet poprela. Pri analýze sa však zistilo, že infikované počítače sú kontrolované serverom umiestneným na čínskom ostrove Chaj-nan.

Kybernetická špionáž vposledných rokoch naberá na obrátkach aantivírusoví experti už dávno nevenujú svoje úsilie len obyčajným podvodníkom, ktorí zvyčajne produkujú jednoduchý škodlivý softvér na kradnutie peňazí či identity. Špionážny azáškodnícky softvér prevádzkovaný na úrovni štátov je zvyčajne mimoriadne komplexný avyžaduje si niekoľkomesačnú či dokonca niekoľkoročnú analýzu. Je pritom možné, že situácia sa bude ešte zhoršovať. Kaspersky Lab vminulom roku dostal prístup kpočítaču významnej, ale nemenovanej výskumnej inštitúcie, na ktorom vzájomne koexistoval špionážny softvér Regin, Turla aďalších niekoľkých pokročilých špionážnych softvérov, ktoré doposiaľ verejné meno nemajú. Niektoré počítače sú tak pre výzvedné služby hotovým magnetom.


Nechajte si posielať prehľad najdôležitejších správ emailom

Mohlo by Vás zaujímať

Magazín

Čo dokáže odhaliť fleet manažment

07.12.2016 15:24

Systémy na monitorovanie vozidiel umožňujú sledovať a zaznamenávať nielen polohu vozidla podľa GPS, ale množstvo iných dôležitých informácií. Vo väčšine prípadov sú to údaje o aktuálnej rýchlosti, otá ...

Magazín

Thunderbolt 3 – jeden konektor pre všetky zariadenia

07.12.2016 15:14

Miniaturizácia klientskych zariadení, predovšetkým mobilných, poskytuje čoraz menej miesta na konektory klasických rozhraní, na druhej strane sa rozširujú možnosti a oblasti použitia týchto zariadení, ...

Magazín

Slovak Telekom ako partner pre Industry 4.0

07.12.2016 00:00

Reakciou na zvýšenie konkurencieschopnosti výrobných firiem súvisiacich s neustále rastúcou dynamikou trhov je nevyhnutnosť skracovať životný cyklus vývoja a prípravy výroby. To všetko pri neustále ra ...

Žiadne komentáre

Vyhľadávanie

Kyocera - prve-zariadenia-formatu-a4-s-vykonom-a3

Najnovšie videá