Korporativno-državni malware*


Sredi tunizijske vstaje sem pisal o državni zlonamerni programski opremi, ki pomaga vzpostavljati elektronskega velikega brata, mesec dni pozneje, pa je znanih nekaj več podrobnosti tudi o vpletenosti zasebne industrije v te vladne rabote. Informacije so priskrbeli Anonymous z nelegalnim vdorom v zasebno družbo HBGary Federal, ki je sodelovala z vladnimi službami in njeno sestrsko družbo HBGary, ki sodeluje z gospodarstvom. O vdoru sem pisal že v prejšnjih treh člankih (AnonLeaksKako so Anonymous vdrli v HBGary, ter Kako so Anonymous presegli Wikileaks), zdaj pa so novinarji pregledali tudi večino od približno 60,000 ukradenih emailov in sestavili boljšo sliko o tem, katere storitve je skupina treh podjetij za elektronsko varnost ponujala zasebnim in vladnim strankam.

Zopet so se izkazali na Ars Technici, katere raziskavo velja povzeti tudi v slovenščini, saj kot pravijo, imamo zaradi tega vdora vsaj malo vpogleda skozi umazano okno v proces, kjer davkoplačevalski denar prihaja v vojaško-industrijski kompleks in odhaja kot malware.

Sledenje vohunski konkurenci

V enem izmed emailov je Greg Hoglund, CEO HBGary, poslal priponko z zapakiranim word dokumentom Aaronu Barru, CEO HBGary Federal in ga ob tem opozoril, naj bo previden. Dokument je snel s spletne strani podpornikov Al Kaide in Aarona opozoril, da je v njem poleg navodil za različne sabotaže tudi ‘darilo‘ ameriških tajnih služb – če ga ne bo pazljivo odprl, bodo možje v črnem prišli njemu na dom. Za nalogo pa je dobil, naj razišče ‘darilo‘ (rootkit, virus, trojanec), kar bi jim lahko pomagalo pri razvoju lastne zlonamerne programske opreme. Hoglund gotovo ve, kako pogosta je postala praksa uporabe najbolj mračnih orodij hekerskega podzemlja za vladne namene, saj je on sam skupaj s svojo družbo pomagal razvijati nekatera izmed teh elektronskih orožij.

Naloga B’

Naloga B‘ se je imenoval projekt za General Dynamics, enega izmed izvajalcev za obrambno ministrstvo. Cilj projekta pa je bila namestitev skrite programske opreme na ciljni prenosnik brez vedenja lastnika. Ekipa je pripravila dva predloga – v enem bi v režo zaklenjenega prenosnika vtaknili majhno napravo, ki bi jo lahko takoj odstranili, saj bi ji uspelo okužiti prenosnik. V drugem, pa bi v ugasnjen prenosnik tudi vtaknili nezaznavno napravo, ki bi se aktivirala pri vklopu računalnika in začela prestrezati informacije o uporabniku. Po tem bi jo lahko umaknili.

Hoglund je bil prepričan, da lahko priskrbi ti dve tehniki za vdor v prenosnike. Kljub bolj bondovskem stilu prelogov, ni razloga, da bi dvomili vanj, saj je specialist za rootkite – programsko opremo, ki se zakoplje tako globoko v računalniško drobovje, da jo je ponavadi skoraj nemogoče odstraniti ali zaznati.

Naloga C

Ker pogodb niso nezavarovano podpisovali preko emaila, so le-ti samo indikacija njihovih ponudb in ne nujno končanih projektov. Vseeno pa je skozi ponudbe mogoče izvedeti kakšen nivo storitev so ponujali in celo cene zanje. ‘Naloga C’ je bila projekt za istega delojemalca, kjer naj bi ustvarili kos zlonamerne programske opreme, ki bi se vtihotapila v računalnike z nameščenimi Windowsi, preko programa za pošto, Outlooka. Posel verjetno ni bil nikoli izpeljan, saj naj bi ta malware za začetek deloval zgolj kot demo oddaljenega prevzema nadzora računalnikov.

60,000$ za rootkit

V enem izmed emailov, so AFISR [Air Force Intelligence, Surveillance, and Reconnaissance] ponujali različna orodja za vdor.

“Ali sprašujete po rootkitu za XP (…ki je skrit in si shranjuje pritiske tipk uporabnika…) ali pa sprašujete po 12 Opicah [12 Monkeys]? Licence za prvega prodajamo po 60k $. Za 12 Opic še nismo postavili cene, a jo lahko.”

Za ta denar dobite izvorno kodo rootkita, ki ga ne zazna večina protivirusnih programov ali požarnih zidov namenjenih za uporabo na osebnih računalnikih. Poleg vsega, kar uporabnik natipka na svoj računalnik, pa se rootkit poveže še z zgodovino spletnega surfanja, kar omogoča napadalcu dobiti imena in gesla, oz. druge podatke, ki se vnašajo v spletne strani. Podatki se potem pretihotapijo mimo požarnega zidu in se odlagajo na posebno mesto na spletu, kjer jih je preprosto pobrati.

Naslednja generacija: 12 Opic

Aprila 2009 je Greg napovedal novo vrsto rootkita, ki je “edinstven v tem, da ni povezan z nobenim prepoznavnim/preštevnim objektom. Rootkit nima datoteke, imena podatkovne strukture, gonilnika naprave, procesa, procesne niti ali modula, povezanega z njim… Ker noben objekt ni povezan z ‘brezobjektnim’ rootkitom, je njegova zaznava zelo težka“. Protivirusni in podobni programi namreč preiskujejo zgolj objekte v iskanju malwara. Poleg tega naj bi bil ta rootkit tudi drugače napreden algoritem (kriptira samega sebe, se premika po pomnilniškem prostoru, podatke, ki jih pošilja zamaskira ob legalnem spletnem prometu…). Zato je Hoglund zanj hotel približno 240k $.

0-dni

Najboljši način ustvariti nekaj nezaznavnega je izkoriščanje varnostnih lukenj, ki jih ni našel še nihče drug. Ko se takšne ranljivosti razkrijejo, Microsoft in podobni hitro poskušajo zakrpati luknje s popravki. Med hekerji so takšne pomanjkljivosti veliko vredne in se imenujejo “0-day exploit” – za njih še ne obstaja popravek ranljivosti. Kot je vidno iz prezentacij HBGarya, so imeli svojo zalogo teh 0-dnevnih lukenj, tako rekoč za vse platforme in programsko opremo. Problematično je seveda, ker te ranljivosti niso bile nikoli objavljene, da bi jih lahko zakrpali.

V emailih so jih poimenovali pod psevdonimom ”Sočno sadje – Juicy Fruit”, uporablja pa se jih kot napadalne vektorje za ciljne sisteme – preko njih so lahko na računalnike namestili svoje rootkite, kar tudi pojasnjuje, da jih niso nikoli javno objavili, kot je praksa v varnostni industriji. Tudi te so prodajali strankam za njihove lastne potrebe. Spisek lukenj, ki jih imajo v lasti, vsebuje: VMware ESX and ESXi, Win2K3 Terminal Services, Win2K3 MSRPC, Solaris 10 RPC, Adobe Flash, Sun Java, Win2k Professional & Server…

Psyops – psihološke operacije

Očitno pa mora uspešno podjetje, ki se ukvarja s trženjem najbolj umazanih orodij za vdiranje v računalniške sisteme, seči tudi dlje, izven samega elektronskega vohunjenja, tudi na področje prepričevanja, pranja možganov in drugih trikov, ki smo jih videli tudi v načrtu za nevtralizacijo WikiLeaks. V predlogu za SOCOM lansko leto so se osredotočili na stripe in spletno igro Second Life.”Osebje HBGarya ima izkušnje v ustvarjanju političnih stripov, ki uporabljajo trenutne dogodke, da prevzamejo pozornost ciljni populaciji in širijo želena sporočila in tematike” je bilo navedeno v dokumentu, kjer med drugim dodajajo, da so stripovski risarji in 3D modelarji že imeli takšno vrsto dela, ko je vlada želela nekaj pomoči. V ponazoritev so vljučili sliko, ki prikazuje predsednika Irana Ahmadinejada, ki manipulira z lutko Ayatolle.

Dokument je nadalje razlagal, da bi ameriška vlada lahko uporabila Second Life za razširjanje svojih sporočil. Najeli bi atraktivne lokacije, uporabili jumbo plakate, avtonomne virtualne robote, avdio, video in 3D prezentacije. Obenem pa so ponujali celo možnost monetizacije projekta, saj bi v virtualnem svetu prodajali virtualne produkte, kar je stalna praksa v Second Lifu. Ars Technica ni našla dokazov, da bi SOCOM sprejel ta projekt.

Potvorjeni Facebook prijatelji

Lansko leto so ameriške zračne sile objavile javni razpisprogramske opreme za upravljanje oseb”, ki bi dovolila enemu agentu uporabo večih računov na socialnih mrežah naenkrat. Hoteli so 50 licenc, od katerih bi vsaka podpirala 10 oseb, “skupaj z ozadjem, zgodovino, podpornimi informacijami ter kiber prisotnostjo, ki so tehnično, kulturno in geografsko konsistentne.” 50 kiber vojščakov bi manipuliralo 10 računov, “brez strahu, da bi jih odkrili izkušeni nasprotniki.” S temi osebami bi se lahko vključili v spletne strani ekstremnih muslimanskih skupin in socialnih omrežij ter glede na izkušnje, bi se infiltrirali tudi v precej bolj beneloventne skupine (npr. redni policijski seks z aktivisti v Veliki Britanji).

To delo je najbolj zanimalo Aarona, ki se je prodajal kot strokovnjak za socialna omrežja. Polovico lanskega leta je skušal preko Facebooka, Twitterja in IRCa narediti seznam delavcev v nuklearki Exelon in letos identificirati člane Anonymousa. Kot je razložil sam, ko ima enkrat oseba mrežo prijateljev, “bom začel s triki. Poskušal bom manipulirati pogovore, vstaviti tokove komunikacije itd.“, ali pa bo novemu ‘prijatelju‘ poslal dokumente ali datoteke, ki pridejo skupaj z malwarom, ali pa jih usmerjajo na posebne spletne strani, ki so namenjene pridobitvi določenih informacij z napadi znanimi kot ‘ribarjenje – phishing‘, oz. lažno predstvaljanje.

Svet preplavljen z rootkiti

Objavljeni emaili kažejo na mučen pogled za varnostno zaveso. HBGary in HBGary Federal sta majhna igralca v tem prostoru.

Ali so ti programi dobri ali slabi, je seveda odvisno od njihove uporabe. FBI ima malware imenovan CIPAV že nekaj let in iz emailov HBGarya je jasno, da ima tudi vojska v lasti širok spekter rootkitov in drugega malwara. Sodeč po emailih, se skoraj nikomur v treh družbah ni zdelo čudno z njihovimi orožji in tehnikami za obrambo same nacionalne varnosti udariti po nasprotujočih glasovih sodržavljanov. Glenn Greenwald je prepričan, da je ta vez javne in zasebne varnosti nevarna mešanica. ”Pravo vprašanje, ki ga je izpostavila ta epizoda je, kako brezpravna in neomejena je enotna os vladne ter korporativne moči,” je zapisal prejšnji teden.

Ti emaili nas opominjajo tudi na količino dela, ki je vloženega v to vrsto prizadevanj v varnostni industriji, mimo nadzora vladnih agencij. Ars Technica ni našla dokazov, da bi malware prodajali tudi nevladnim institucijam, čeprav je družba imela načrt, da svoj DARPA rootkit spremeni v uporabo za namene korporativnega nadzora dela.

Glede na število rootkitov, ki jih očitno razvijajo za vladno uporabo, se res lahko vprašamo, koliko strojev po vsem svetu se odziva na ukaze ameriške vojske? Ali pa kitajske? Ali ruske?

* malware (ˈmælwɛə)
— s
računalniški program zasnovan posebej za delanje škode ali motenje sistema, kot npr. virus

, , , , ,

  1. Trenutno še ni komentarjev.
(ne bo objavljeno)


Komentiranje iz tujine je omogočeno zgolj prijavljenim uporabnikom !