Hackeri NSA vedia doslova neuveriteľné veci. Nakazia aj cédečko prepravované poštou.

Čítané celkom 2,582 x, Dnes prečítané 109 x

Možno pracujú pre americkú agentúru NSA, možno nie. To nikto presne nevie. Hackeri Equation Group vedia napríklad prepísať firmware pevných diskov v počítači tak, že žiadny antivírus neodhalí napadnutia. Infikovali počítače vládnych organizácií v 42 krajinách sveta a nezastaví ich ani počítač odpojený od internetu.

V auguste sa na internete objavila sada “hackerských nástrojov” spolu s vyhlásením napísaným lámanou angličtinou. Teraz denník Intercept potvrdil, že zverejnené nástroje sú pravé a nesú stopy americkej agentúry NSA. Na overenie pomohli dokumenty od Edwarda Snowdena.

Hackeri sa označili ako “The Shadow Brokers” a oznámili, že sa im podarilo ukradnúť tieto nástroje od skupiny hackerov pod názvom Equation Group. Tvrdia, že je to len časť získaných nástrojov a tie najlepšie dali do aukcie – kto ponúkne najviac Bitcoinov, ten vraj dostane ďalšie súbory, ktoré majú byť “lepšie ako Stuxnet”, teda vírus, ktorý napadol iránsky jadrový program. Ak dohromady vyberú milión Bitcoinov, zverejnia ich pre všetkých.
Niekoľko médií o udalosti pritom píše ako o “hacku na NSA”. Dôvodom je zrejmé prepojenie Equation Group práve s americkou bezpečnostnou agentúrou. Kto teda sú oni záhadní hackeri?

Najlepšie hackeri na svete
Vo svojom podrobnom článku o hackerskej skupine píše napríklad server Ars Technica. O hackeroch, ktorí sú v článku popisovaní ako “všemocní”, sa dlhodobo zaujíma bezpečnostná spoločnosť Kaspersky, sídliaca v Moskve. Podľa nej stojí Equation Group aspoň za 500 infekciami v 42 krajinách, kde prvé priečky patria Iránu, Rusku, Pakistane a Afganistane. Infikované boli počítače vo finančnom, energetickom, vládnom aj vojenskom sektore. Ale keďže má použitý malware zabudovaný sebadeštrukčný mechanizmus, skutočný počet bude podľa spoločnosti mnohonásobne vyšší.

Equation Group vraj funguje minimálne od roku 2001 a jej schopnosti sú až neuveriteľné. Podľa spoločnosti Kaspersky je to pravdepodobne najsofistikovanejšia skupina hackerov na svete a ich technické zázemie musí byť na úrovni tvorcov vírusov Stuxnet a Flame. Hoci v analýze priamo netvrdí, že ide o spoluprácu, alebo rovno súčasť NSA, poskytuje k tomu rad dôkazov.
Jedným z nich je práve sofistikovanosť a schopnosti, ktoré skupina vykazuje. Ich vírusy sa pred antivírusovými programami ukrývajú najrôznejšími pokročilými spôsobmi. Vytvárajú si virtuálne súborové systémy, ukladajú sa na niekoľkých miestach v registri Windows. Dokonca zvládli to, čo vraj nikto predtým: jeden ich malware prepisuje firmware pevného disku. Fungoval na výrobkoch dvanástich firiem, vrátane všetkých veľkých mien ako Western Digital, Seagate alebo Hitachi. Upravený firmware potom vytvoril neviditeľné úložisko, ktoré prežije aj formátovanie a premazanie celého disku. Zároveň poskytoval programovacie rozhranie pre ďalšie škodlivé kódy z dielne Equation Group. Costin Raiu zo spoločnosti Kaspersky opisuje tento výtvor ako “nesmierne komplikovaný výkon”, ktorý je veľmi nebezpečný. “Akonáhle je pevný disk týmto zákerným kódom nakazený, je nemožné pre kohokoľvek, najmä pre antivírus, jeho firmware prehľadať,” vysvetľuje. “Jednoducho to nie je možné vykonať.”


Napadnú aj počítače bez internetu
Schopnosti a možnosti Equation Group navyše nekončia ich programátorským umením. Pre svoje účely vraj využívali vyše 300 internetových domén a 100 serverov.
V bezpečí pred nimi nie sú ani fyzické médiá. Kaspersky dokumentuje niekoľko útokov, kedy bolo CD prepravované poštou a adresátovi dorazilo infikované.

Veľmi dômyselne tiež fungoval vírus Fanny, určený pre útok na air-gapped počítače a siete (teda odpojené od internetu). Vírus infikoval USB disk a pri pripojení na “izolovaný počítač”, potajomky pozbieral informácie o lokálnej sieti, ku ktorej pripojený bol. Keď bol vložený do počítača disponujúceho internetovým pripojením, odoslal informácie na server útočníka a stiahol si prípadné “príkazy”. Tie sa potom spustili, ak bol disk opätovne pripojený na od internetu odstrihnutý počítač. Exploit, vďaka ktorému tento vírus mohol fungovať, bol neskôr využitý pre šírenie vírusu Stuxnet (ktorý mal údajne byť vytvorený spoločne NSA a Izraelom).
Podľa Raia je Equation Group skupina s tými “najviac cool hračkami”, ktoré občas zdieľa so skupinami stojacimi za vírusmi Stuxnet alebo Flame. Práve fakt, že niektoré chyby, ktoré využívajú vírusy Equation Group sa neskôr objavili v škodlivých kódoch, za ktorými má stáť NSA, ďalej podporuje teóriu, že sú to buď spolupracovníci, alebo priamo zamestnanci tejto agentúry.

Na prepojenie s NSA ukazuje aj Snowden
Priamejšie dôkazy sa potom objavili vďaka dokumentom vyneseným Edwardom Snowdenom. Keylogger z dielne Equation Group k sebe vo svojom zdrojovom kóde odkazuje ako “Grok” a rovnaký názov nesie modul spomínaný v uniknutom dokumente NSA. V zdrojových kódoch iných programov sa potom našli opäť podobnosti s kódovými názvami v týchto pôvodne prísne tajných dokumentoch.
Rovnakým spôsobom teraz server The Intercept potvrdil, že novo uniknuté nástroje pochádzajú z dielní NSA. Skratka SECONDDATE sa nachádza v názvoch hneď 47 súborov “vyvesených” na internete. V uniknutom manuále NSA sa pritom dá dočítať, že SECONDDATE je nástroj využívaný touto agentúrou pre presmerovanie zacielených prehliadačov na servery NSA (pod názvom FOXACID), ktoré obsahujú malware.

V “ukradnutých” nástrojoch sú zrejme hlavne programy umožňujúce vzdialené spustenie kódu na napadnutom počítači alebo získanie administrátorského prístupu. Objavili sa v ňom aj hrozby pre konkrétneho výrobcu: program s názvom EXTRABACON využíva tzv. Zero-day exploit pre obídenie firewallov od spoločnosti Cisco. Zero-day exploit znamená, že využíva výrobcom doteraz neobjavenú bezpečnostnú chybu, proti ktorej je teda bezbranný. Tie vyvolávajú diskusiu, či by vládne agentúry pri objavení podobných nedostatkov nemali informovať dotknutú spoločnosť, namiesto toho aby si ich “šetrili” a tým vystavovali užívateľov týchto zariadení nebezpečenstvu.

Reklamy

Aspoň v doposiaľ zverejnených nástrojoch teda nie je žiadny podobne udivujúci, ako tie “najlepšie kúsky” od Equation Group. Odborníci taktiež spochybňujú, že by dáta pochádzali z priameho “hacku” systémov NSA. Skôr je aj podľa Snowden možné, že ukradnuté nástroje pochádzajú zo servera, ktorý NSA sama skôr napadla a používala pre útoky, pričom nástroje z nedbanlivosti niekto neskôr nezmazal. Shadow Brokers potom mohli napadnúť tento iste menej zabezpečený počítač a softvér z neho odobrať.
Ani by to podľa známeho bývalého zamestnanca NSA nebolo prvýkrát, čo sa niečo také stalo. Je to však prvýkrát, čo niekto verejne ukázal, že sa mu to podarilo a dal získané dáta verejne k dispozícii. A kto podľa neho za útokmi stojí? “Sedliacky rozum ukazuje na Rusko,” tweetuje Snowden. Podľa neho je to varovanie.

Prípad Snowden

Reklamy

Pridaj komentár

Vaša e-mailová adresa nebude zverejnená.