Operatiunea „Shady RAT”
Aug 8th, 2011 by admin
Un nou tip de război a început. Războiul Cibernetic/Războiul Codurilor. Ne aflam în timp, în perioada când balanţa nucleară între SUA şi Rusia era extrem de fragilă (anii `60). Regulile după care acest război se desfășoară nu sunt clare. În schimb victoria într-o bătălie sau alta înseamnă un „transfer de bogăție fără precedent” (ex:informatie despre adversar într-o negociere politică sau economică, furt de tehnologie militară şi civilă). Este mai simplu să „călătorești” prin serverele diferitelor organizaţii adunând informații, decât să trimiți soldaţi în zonele operaţionale. De aceea înrolarile „profesionistilor” în „armata hackerilor guvernamentali” sunt la mare preţ. Translaţia din domeniul militar, în acest secol al informaţiei, în domeniul cibernetic se desfășoară cu o viteza de neimaginat. Noi structuri militare se dezvoltă datorită strategiei razboiului cibernetic. Strategia militară tradiţională se destramă în acest Război al Codurilor. Tratatele de descurajarea devin concepte filosofice, atunci când armele invizibile sunt implicate. Atribuirea unui vine devine imposibilă atunci când este realizată prin intermediul calculatoarelor din zeci de ţări. Teama de represalii, care a păstrat Războiului Rece din ce in ce cald nu se mai aplică. Guvernele (majoritatea) se tem înca să utilizeze armele cibernetice datorita instabilităţii pe care acestea o pot crea. Partea bună este că acestea noi arme reduc considerabil un conflict în care tancurile şi rachetele sunt armele letale. Stunex este un exemplu elocvent.Viermele nu a distrus baze de date, a lovit în functionarea centrifugelor (mărind sau reducând turaţia acestora) de producere a materialului nuclear iranian, ceea ce a facut că producţia să fie oprită iar programul nuclear întârziat, evitând o confruntare pe teren a forţelor armate. Deocamdată numarul armelor din acest razboi este redus şi nu poate fi comparat cu o desfasurare masivă de forţe convenţionale, precum debarcarea în Normandia. Întrebarea care se ridică: vor decide cei mai importanti jucatori din spaţiul cibernetic să investească mai mult în capacităţile ofensive, provocând astfel o cursă a înarmărilor?. În mod sigur:da.
( RAT este acronomiul de la Remote Access Tool).
Analiza
Experţii în securitate ai companiei McAfee au anunţat descoperirea celui mai mare atac informatic din istorie. Hackerii au monitorizat, timp de cinci ani, serverele din 72 de instituţii şi organizaţii vitale. Lista „victimelor” include Guvernele SUA, Canada, Taiwan, India, Coreea de Sud şi Vietnam, la care se adaugă ONU, Asociaţia Naţiunilor din Sud-Estul Asiei (ASEAN), Comitetul Olimpic Internaţional, Agenţia Mondiala Anti-Doping, alături de numeroase companii care activează în domeniul securității şi tehnologiei de ultima generatie. ”Până şi noi am fost surprinşi de diversitatea incredibilă a organizaţiilor victime”, a declarat vicepreşedintele departamentului de Cercetare a Amenintarilor Informatice de la McAfee, Dmitri Alperovitch. Firma de securitatea a publicat un raport de 14 pagini despre atacul informatic. Atacurile informatice lansate în ultimul an au evidențiat limitele actualelor soluții de securitate propuse de companii precum Symantec şi McAfee, acestea fiind „forțate” să își adapteze gama de produse la fenomenul „cloud computing” şi la noile instrumente utilizate de hackeri.
Angajatii McAfee au avut primele indicii în legatura cu acest atac în luna martie a acestui an, cand au descoperit o serie de logari pe un server care era parte dintr-o ancheta. Mergând pe fir, şi-au dat seama că atacurile au început, probabil, la jumatatea anului 2006. Unele dintre instituții au fost spionate timp de o lună, însa altele, între care Comitetul Olimpic International şi ASEAN, au fost monitorizate mai bine de doi ani. Experții McAfee susțin că în spatele atacurilor ar sta persoane din conducerea unui stat, însă au refuzat să le şi numeasca. Totuşi , unul dintre specialistii care aveau acces la informații confidențiale a mărturisit că dovezile adunate până acum pun China pe primul loc în cercul suspecţilor.
Conform McAfee, hackerii şi-au creat acces nerestrictionat în ultimii cinci ani prin documentele secrete ale acestor organizatii şi companii avand timp să analizeze fiecare decizie sau acţiune. Numai în cazul ONU, după spusele specialiștilor în securitate, hackerii s-au plimbat nestingheriți pe calculatoarele organizației descărcând orice informație au dorit fără a li se simţi prezenţa în vreun fel.
Încă nu se ştie ce s-a întâmplat cu informaţiile furate, susţin specialiştii de la McAfee. Totuşi, dacă o frântură din informaţiile furate au fost folosite pentru a realiza un produs mai bun, sau pentru a câştiga o negociere, cunoscând informaţii despre adversari, acestea reprezintă o ameninţare economică majoră, arată raportul McAfee.
Potrivit unui cercetator de la Institutul SANS Technology, atacurile din ultima perioadă, lansate de grupurile Anonymous si Lulz Security, nu puteau fi respinse de programele tradiţionale antivirus sau firewall. În cursul lunii aprilie, 77 de milioane de conturi din reteaua PlayStation Network a Sony au fost sparte de hackeri. Tot în aprilie, milioane de adrese de email au fost furate de pe serviciul de marketing online Epsilon. Printre victime s-au aflat clienţi ai bancilor Citigroup, JP Morgan Chase si Barclays, ai grupului hotelier Marriot, dar şi ai retailerului online Amazon. Totodată, în iunie hackerii au reuşit să compromită conturile şi să obţină datele personale a aproximativ 200.000 de clienţi ai băncii americane CitiGroup.
Competiția pe piața soluțiilor de securitate soft este relansată. Mai mult de 20 de astfel de companii vor lansa oferte publice iniţiale în urmatoarele 18 luni, potrivit lui Brent Bracelin, analist la Pacific Crest Securities în Portland, Oregon. Se pare că marii producatori de programe de securitate au început deja să piardă teren în faţa companiilor mai mici. Primii cinci mari furnizori de soft-uri de securitate, printre care şi Symantec şi McAfee, dețin doar 44% din piața de profil, estimată în 2010 la 16,5 miliarde de euro.
Într-un bloc din centrul Atlantei, vizavi de campusul Institutului de Tehnologie din Georgia, se află vechiul hotel Biltmore, un punct de atracție pentru turiști încă din 1924. În 1999 a fost transformat în cladire de birouri iar acum găzduieşte un Kopy Kwik şi o frizerie, cu scaune din piele roşie. La etajul al şaptelea, în spatele uşilor de sticlă, închise, este un logo fagure de miere negru, roşu, gri pe care scrie „Sisteme Endgame”. Site-ul companiei Endgame o descria pana acum catva timp, când acesta a dispărut de pe Internet, că pe o societate comercială de securitate informatică. Endgame nu vinde produse comerciale. Este un furnizor major de arme digitale pentru Pentagon. Acesta oferă o diveritatea de produse de la evaluări ale vulnerabilităţii retelelor informatice la tehnologia necesară unui atac personalizat, pentru o gamă ameţitoare de obiective în orice regiune a lumii.
Anul trecut, Endgame a castigat peste 30 milioane dolari de la firmele cu capital de risc, inclusiv Bessemer Venture Partners si Kleiner Perkins Caufield & Byers. Un comunicat de presă dat de Endgame prezenta produsele companiei că mijloace de a proteja organizaţiile împotriva viruşilor şi împotriva atacurilor de tip „botnet”. A devenit Edgame un traficant de arme cibernetice? Nu putem evalua. Cert este că produce acest tip de arme, fiind unul din cei câţiva zeci de producători mici sau mari.
Compania a început în 2008, când un grup de hackeri de elită au decis să construiască o companie de securitate informatică. Mulţi dintre inginerii cheie au făcut parte din X-Force, o echipă de hackerii de la o companie numita Internet Security Systems. X-Force s-a concentrat pe configurația reţelelor securizate, pentru a găsi „găuri”, înainte de cineva cu intenţii rele ar putea face acelaşi lucru. Acest grup a fost un precursor al actualelor soluţii. În lume exista, după evaluarea analiştilor, aproximativ 500 de persoane capabile de asemenea performanţe.
Concluzii
O întrebare legitimă se ridică: cum de a funcționat aceasta fraudă atât timp fără ca nimeni să nu-şi fi dat seama? Sau dacă punem întrebarea într-un context strategic de ce Vestul nu ia masuri împotriva celor care origineaza aceste atacuri?
Raspunsurile la întrebarile de mai sus ne duc catre un set de adnotari:
- Companiile implicate au ignorat atacurile sau nu şi-au dat seama că sunt atacate;
- Securitatea cibernetica a fost întrerupta pentru o lunga perioada de timp pentru anumite structuri guvernamentale sau pentru o serie de companii. Firewall-urile tradiţionale şi de detectare a semnăturii electronice nu pot face faţă atacurilor extrem de personalizate, pe care hackerii din spatele RAT Shady le-au folosit;
- Cand Google a anuntat că propriile servere au fost spart în ianuarie 2010, compania a susţinut că cel puţin alte douăzeci de companii au fost vizate în mod similar. Nici o alta companie nu a vorbit că se confrunta cu probleme în momentul în care fac afaceri pe piaţa din China, probabil pentru că ei nu au vrut să atragă „mânia” Beijingului;
- Acest lucru nu a fost o prioritate pentru guvernul Statelor Unite, fie pentru că are alte probleme şi doreşte să abordeze cu China probleme precum situația nucleară a Coreei de Nord sau a Iranului.
Acum situatia s-a schimbat. Noua întrebare este: sunt rețelele chinezilor vulnerabile? Operatiunile Aurora şi Night Dragon au demostrat deocamdată vulnerabilitatea rețelelor din Vest şi au compromis valoarea secretelor industriale sau militare. Ce va urma vom vedea!
