Home Posts tagged cyberatak

Według ustaleń portalu O służbach największy w historii atak cybernetyczny na Niemcy mógł zostać dokonany przez hakerów sympatyzujących z Julianem Assangem. Część z nich, jak wynika z naszego śledztwa, prawdopodobnie pochodzi z Rosji.

Największy atak hakerski w historii Niemiec

Berlińska telewizja RBB poinformowała, że nieznani sprawcy opublikowali osobiste informacje setek niemieckich polityków z w zasadzie każdej partii, za wyjątkiem eurosceptycznej i proputinowskiej AfD. To jednak nie wszystko, bo wyciekły również dane dziennikarzy ARD i ZDF, a także artystów i youtuberów. Atak miał uderzyć również w Angelę Merkel. Agencja DPA podała, że wykradziono adres e-mail, numer faksu i listy napisane przez i do kanclerza Niemiec. Dane prawdopodobnie uzyskane zostały z różnych źródeł, a następnie upublicznione.

W reakcji na te działania sprawą zajęła się niemiecka agencja federalna odpowiedzialna za bezpieczeństwo informacyjne (BSI). Na Twitterze oświadczyła ona, że „najprawdopodobniej nie doszło do żadnego ataku na sieci rządowe”. Więcej o całym zdarzeniu służby niemieckie miały dowiedzieć się dopiero 3 stycznia, chociaż dane wyciekały od miesiąca. Problem polega na tym, że nie wiadomo skąd oraz kiedy je pozyskano i co motywuje sprawców.

Linki do paczek z wykradzionymi danymi były umieszczane regularnie na kontach w serwisie społecznościowym Twitter: @_0rbit oraz @_0rbiter. Zauważyliśmy, że samo konto jest również kompilacją dwóch pseudonimów: 0rbit oraz g0d. W obu przypadkach związanych z hakerem o pseudonimie siph0n. Dlaczego jest to ważne, wyjaśnimy w dalszej części publikacji.

Nie wszystkie wykradzione dane są nowe, ponieważ dotyczą lat 2007-2017. My jednak zwróciliśmy uwagę na pewne koincydencje i postanowiliśmy przeprowadzić własne śledztwo. Oto wyniki dociekań zespołu portalu O służbach:

Ślad nr 1: Tożsamość hakera

W przeszłości nickami „0rbit” oraz „orbit.girl”, „@Orbit_g1rl”, „crysis”, „rootcrysis” i „c0rps” posługiwał się haker Timothy Justen French. To pseudonim taki sam jak na kontach Twittera, wykorzystanych do ujawniania danych przy tzw. wycieku niemieckim.

French w czerwcu 2014 roku został zatrzymany przez FBI. Wpadł, ponieważ nie uczynił użytku z VPN, łączył się z domowego IP oraz nie zachowywał w tajemnicy swojej tożsamości, a FBI miało w jego otoczeniu informatora. Najprawdopodobniej był nim członek grupy NullCrew posługujący się pseudonimem siph0n. W tej sprawie zatrzymano również drugiego nastolatka, Kanadyjczyka Dominika Pennera używającego pseudonimów Null i zer0_pwn, rzekomego założyciela Grupy NullCrew. Penner został skazany na prace społeczne, ponieważ miał dopiero 14 lat. To przypuszczalnie on ujawnił, że siph0n współpracuje z FBI, co wywnioskował po zapoznaniu się z materiałem zgromadzonym w jego sprawie.

W grudniu 2015 roku French przyznał się przed sądem w Chicago do uczestnictwa w atakach dokonywanych przez grupę NullCrew. W listopadzie następnego roku został skazany na karę 45 miesięcy pozbawienia wolności. Okazało się, że nie tylko uczestniczył w cyberatakach, ale publikował informacje o nich na oficjalnym Twitterze NullCrew. W chwili zatrzymania miał 20 lat.

Czy zatem w sprawie ataku niemieckiego mamy do czynienia z Timothym Justenem Frenchem, który posługiwał się nickiem 0rbit?

Gdyby założyć, że French oczekiwał na wyrok w USA od czerwca 2014 roku i na poczet kary zaliczono mu 45 miesięcy (3 lata 9 miesięcy) wcześniejszej odsiadki, wyszedłby najwcześniej w połowie marca 2018 roku. Musimy też pamiętać, że konto twitterowe _0rbit zostało założone w dniu 09 lutego 2015 roku, _0rbiter 25 grudnia 2016 roku, a w grudniu 2015 roku w Internecie pojawiła się informacja, że _Orbit dziękuje za wsparcie i oczekuje w USA na proces w związku z atakami z lat 2013-2014.

Wszystkie te wydarzenia mają miejsce w trakcie odsiadki Frencha. Natomiast jest mało prawdopodobne, że po odbyciu kary on sam zdecydowałby się wykorzystać swój pseudonim do organizacji tzw. wycieku niemieckiego.

Co więcej, sprawdziliśmy, że przebywa w więzieniu.

W dniu 4 stycznia, w którym media ujawniły wyciek, rano pojawiła się informacja, że Timothy French 13 stycznia wychodzi z więzienia.

Należy zadać pytanie, czy mógł korzystać z cudzej pomocy lub inspirować innych do działania? Z całą pewnością tak. Nie jest bowiem problemem zmiana nazwy konta na Twitterze, w dowolnym czasie lub zlecenie jego utworzenia. Może chodziło też o oddanie swoistego „hołdu” 0rbitowi, który właśnie wychodzi z więzienia?

Sprawę uzyskania jednoznacznej odpowiedzi komplikuje fakt, że nie znamy czasu, w którym wyciekły dane w Niemczech oraz motywów, dla których są one publikowane. Wiemy jedynie, że sposób publikowania „wycieków” pasuje do 0rbita i pozostałych członków grupy NullCrew, np. siph0na.

Nie byłby to też pierwszy przypadek tworzenia na portalach kont o nazwie „0rbit” w celu publikowania wycieków i przypisania mu odpowiedzialności za nie. Tuż po ogłoszeniu zatrzymania Frencha przez FBI, z konta na pastebin.com, utworzonego już po zatrzymaniu Frencha, opublikowano wyciek adresów e-mail i haseł z jednego z izraelskich ministerstw. Autorem wycieku miał być “0rbit”. 

Ślad nr 2: Naśladowcy

Musimy postawić sobie pytanie: czy aktualnie mamy do czynienia z kimś kto naśladuje 0rbita? Jeśli to naśladowca to czym jest motywowany? Żeby znaleźć odpowiedzi na te pytania analizowaliśmy jego otoczenie. Siph0n do tej pory prowadzi stronę internetową: Siph0n.net, na której kolekcjonowane są wycieki. Samą stronę miał utworzyć tzw. “sn”. Jednak jest także możliwe, że skrót sn to skrót od siph0n.

Współpraca FBI z siph0nem była rzekomą przyczyną jego wyrzucenia z grupy hakerskiej NullCrew., która w 2014 roku uległa rozwiązaniu. W tym samym roku, siph0n zaczął samodzielną działalność, a jednymi z pierwszych jego „współpracowników” dokonujących włamań i publikujących dane byli g0d i zer0. Tu znów mamy do czynienia z łudząco podobnym pseudonimem do założyciela grupy NullCrew. Jest też ważne, że g0d na jakiś czas „wypożyczył” pseudonim 0rbit.

Przypuszczamy, że g0d to ktoś kto był w NullCrew, a następnie zmienił pseudonim w związku z rozwiązaniem grupy i zatrzymaniem Frencha, tym bardziej, że w wynikach wyszukiwania, g0d nie pojawia się wcześniej.

Niektóre wycieki (pliki txt) publikowane po czerwcu 2014 roku, kiedy zatrzymano zer0pwn (Null), są podpisane pseudonimem „zer0”, a ostatnie wpisy na stronie autorstwa „zero” są z lipca 2014 roku. Nie powinno to jednak to dziwić, ponieważ strona siph0n anonsowana była jako baza zawierająca „osiągnięcia” hakerskie, za które Grupa NullCrew wzięła odpowiedzialność.

Nie można więc wykluczyć, że „zero” i założyciel NullCrew to ta sama osoba, a działalność grupy siph0n jest w jakimś sensie kontynuacją działalności rozwiązanej Grupy NullCrew, pomimo że „grupa siph0na” w późniejszym okresie starała się odciąć od działalności NullCrew oraz innych grup.

Nie są to jedyne przypadki posługiwania się pseudonimem Orbit. Konto Twitter, na którym początkowo publikować miała „grupa siph0na”, miało nazwę „smitt3nz”.

 Haker smitt3nz (znany również jako „rubber”) twierdził, że jest z Palestyny. Smitt3nz (rubber) wykradał m.in. dane ze strony pokerowej, skupiając się przede wszystkim na adresach e-mail które obejmują kilka z domen rządowych i wojskowych, takich jak: whitehouse.gov, cdc.gov, nasa.gov, dhs.gov, irs.gov, defence.gov.au, army.mil, navy.mil, usmc.mil i af.mil.

Warto przypomnieć, że 0rbit był również podpisany pod dawnym wyciekiem danych z jednego z izraelskich ministerstw.

Czy zainteresowanie witrynami rządowymi miało zaspokoić jedynie ciekawość hakerów, czy działali na czyjeś zlecenie – tego nie wiemy i nie jesteśmy wstanie ustalić, ale to dobry kierunek do pracy dla śledczych.

Ślad nr 3: Tropy rosyjskie

Czym była Grupa NullCrew? To hakerzy, którzy nie tylko deklarowali poparcie dla działalności Juliana Assange i Wikileaks, ale w sierpniu 2012 roku, czynnie wsparli cyberatakami ruch #OpFreeAssange, atakując Uniwersytet Cambridge.

Ofiarami grupy w latach 2012-2014 padły m.in. Interpol, brytyjskie ministerstwo sprawiedliwości, biuro premiera, Uniwersytet Cambridge. Ponadto, Światowa Organizacja Zdrowia, Organizacja Narodów Zjednoczonych, Amerykański Departament Stanu, brytyjskie Ministerstwo Obrony, kanadyjski Bell, amerykański Comcast oraz Orange, konglomerat mediowy AlArabiya, ukraińskie Science and Technology Center, Sony.

Poza 0rbitem, w grupie miały brać udział również osoby ukrywające się pod pseudonimami: doc, 3cho, siph0n, Nop, Null, sl1nk, Saturnine, Vlad, Ignit3, airyz, Manst0rm, NullRoute and TiTaN. Twierdzili też, że „nie są częścią Anonymous, ale ich wspierają”, czemu dali wyraz atakując Uniwersytet Cambridge.

Sama grupa NullCrew powstała w 2012 roku, niedługo po rozwiązaniu innej grupy hakerskiej – LulzSec, która podobnie jak NullCrew została rozbita przez FBI dzięki pomocy informatora i od 2012 roku była nieaktywna. Niektórzy członkowie LulzSec, którzy nie zostali zatrzymani, dołączyli do Anonymous.

Czy członkowie Grupy NullCrew mogli być, świadomie lub nie, wykorzystywani przez służby rosyjskie do obrony Juliana Assange? Nie wiemy, ale sądzimy, że w tej sytuacji mogą nabrać, nowego znaczenia związki Assange z członkami Grupy NullCrew, a także  z Rosją.

Z całą pewnością trzeba to sprawdzić.

Jeden z członków grupy NullCrew – brytyjski nastolatek ukrywający się pod pseudonimem sl1nk, zatrzymany w związku z atakiem na Uniwersytet Cambridge, przed laty wskazywał na swoim Twitterze, że pisze z St. Petersburga w Rosji.

Znaleźliśmy też kolejny ślad wiążący siph0na z Rosjanami. Otóż on sam prowadzi konta Twitterowe np. https://twitter.com/datasiph0n – gdzie pisze, że jest z Rosji (podobnie jak inni związani z nim hakerzy). Jedna ze stron siph0na, na której publikowane były wycieki, miała końcówkę „ru”. Po co to robi? Może w dalszym ciągu realizuje zadania dla FBI, a może faktycznie jest w kontakcie z Rosjanami. Zastanawia nas fakt dlaczego FBI zatrzymała jedynie 0rbita i  przyczyniła się do ujęcia NULL-a (zer0), a pozwoliła na działalność siph0na i realizacje kolejnych bardzo dużych ataków przeprowadzonych przez grupę NullCrew?   Ciekawe – prawda?

To kierunek do weryfikacji. Tym bardziej, że gdy w 2012 roku, rosyjscy hakerzy wykradli z Linkedin dane ponad 100 milionów użytkowników kilkaset z nich zostało opublikowanych na stronie „wyciekowej” siph0n-a. Podpisał się pod tym „0x2Taylor”, z mailem @yandex, publikujący z konta „comcastkids”. Później, 15 lipca 2016 roku, też na stronie siph0n.net zostały opublikowane kolejne dane z Linkedina. Ciekawe, że początkowo do całości wycieku z LinkedIna miała mieć dostęp jedynie ograniczona liczba rosyjskich hakerów.

 Epilog

Jesteśmy świadomi, że możemy się mylić w naszym wnioskowaniu. Jest jednostronne i zawiera luki. Badania empiryczne zastąpiliśmy naszym dotychczasowym doświadczeniem, a więc zredagowane hipotezy należy poddać weryfikacji. Nie posiadamy do tego odpowiednich narzędzi, sił i środków. Jednak dzięki zastosowanym zabiegom mogliśmy podzielić się z czytelnikami wątpliwościami, które powinny stanowić wektory działań niemieckich służb, jeżeli będą chciały wyjaśnić szczegółowo sprawę tak rozbudowanego „wycieku” dramatycznie dużej ilości danych.

Fot. Pixabay

 

Prawdopodobnie to Rosja stała za atakiem cybernetycznym wymierzonym w niemieckich dostawców energii, który został wykryty w zeszłym tygodniu, stwierdził szef niemieckiej służby bezpieczeństwa BfV, Hans-Georg Maassen. 

W wywiadzie udzielonym mediom powiedział on, że istnieje kilka przesłanek wskazujących na rosyjski udział w tym cyberataku, łącznie ze sposobem jego przeprowadzenia. „Użyty modus operandi jest tak naprawdę jedną z wielu wskazówek, iż to Rosjanie kontrolowali ten atak”, mówił Maassen. Nie powiedział jednak, ile firm zaatakowano.

Rosja wiele razy zaprzeczała swojemu udziałowi w atakach hakerskich  na infrastrukturę innych państw. Poproszony o komentarz do oskarżeń Maassena rzecznik Kremla Dmitrij Pieskow powiedział: „Nie wiemy, o czym on mówi”.

Niemiecka agencja odpowiadająca za ochronę cybernatyczną państwa na szczeblu federalnym – BSI (Bundesamt für Sicherheit in der Informationstechnik)  ujawniła, że atak cybernetyczny, przeprowadzony 13 czerwca 2018 roku,  nazwany  „Berserk Bear” (z ang. oszalały niedźwiedź) miał penetrować sieci niemieckich dostawców energii. BSI, która pierwsza ostrzegała o potencjalnej możliwości takich ataków już w ubiegłym roku, stwierdziła jednak, że hakerzy dostali się tylko do sieci biurowych kilku firm.

W marcu 2018 również USA oskarżały Rosję o cyberataki na sieci elektroenergetyczne, które miały rozpocząć się w 2016 roku, a może nawet wcześniej.  Minister Spraw Zagranicznych Niemiec Heiko Maas stwierdził też w kwietniu 2018 roku, że Niemcy są przekonane, że Rosja stała za atakiem cybernetycznym wymierzonym w niemieckie MSZ, który został wykryty w grudniu 2017 roku.

Źródło: Reuters

Fot. Pixebay

 

Amerykanie nie pozostają bierni wobec cyberzagrożenia ze strony Rosji. Spółka powiązana ze służbami specjalnymi USA pracuje nad projektem cybernetycznej „stalowej kopuły”, która ochroni infrastrukturę krytyczną przed atakami w sieci.

 

IronNet Cybersecurity Inc, startup na którego czele stoi były szef amerykańskiej National Security Agency – Keith Alexander, pozyskał fundusze w wysokości 78 milionów USD. Dzięki dofinansowaniu będzie m.in. rozwijał nową technologię umożliwiającą przesył danych o cyberzagrożeniach w czasie rzeczywistym o nazwie IronDome (z ang. stalowa kopuła). Ma być to szybszy i bardziej zautomatyzowany system niż dotychczas używane metody, co ma zapewnić lepszą ochronę amerykańskiej infrastruktury krytycznej.

 

Dotychczasowymi inwestorami Spółki byli IncForgePoint Capital i Kleiner Perkins Caufield & Byers. Do tego grona dołączyła ostatnio londyńska C5 Capital. Spółka IronNet ma siedzibę w Fulton, w stanie Maryland, zatrudnia 150 osób, wśród których są byli wysocy funkcjonariusze wojska i służb specjalnych; firma deklaruje, że nowo pozyskane fundusze zostaną wykorzystane na  opracowanie narzędzi przydatnych w cyberobronie i innych rozwojowych obszarach. 

 

Spółka została zatrudniona przez pięciu największych dostawców energii w USA w celu implementacji IronDome. Jej szef nie ujawnił, które to firmy, powiedział jednak że obsługują one 25 amerykańskich stanów. IronNet zapowiada opracowanie podobnych narzędzi, do wykorzystania w służbie zdrowia i w firmach sektora finansów. 

 

W ostatnim czasie rząd USA wystosował szereg ostrzeżeń dotyczących cyberzagrożeń ze strony Rosji, Korei Północnej i Iranu.

 

Źródło: Reuters

 

Fot. Pixebay

 

Niemiecki Minister Spraw Zagranicznych Heiko Maas odniósł się w swojej wypowiedzi do kilku kryzysów międzynarodowych wywołanych w ostatnim czasie przez Rosję, w tym ataku na Skripala w Wielkiej Brytanii, wsparcia w Syrii dla reżimu Assada, a także działań mających na celu uzyskanie wpływu na proces wyborczy w państwach zachodnich. „Odnotowaliśmy w MSZ atak za który, jak musimy przyjąć, odpowiada Rosja” – stwierdził. „Nie możemy uznać, że to się nie wydarzyło. I uważam, że nie tylko rozsądnym, ale niezbędnym jest stwierdzenie, że nie oceniamy tych działań jako konstruktywne” – dodał polityk. 

W lutym br. stwierdzono, że rosyjska grupa hakerów używająca różnych nazw; Fancy Bear, APT28, Pawn Storm, Sofacy Group, Sednit lub Strontium, włamała się do niemieckich ministerstw: obrony, spraw zagranicznych, a także m.in. do Federalnego Urzędu Audytorskiego. Hakerzy dokonali kradzieży pewnego zasobu danych, jednak niemieckie władze twierdziły wówczas, że był to pojedynczy incydent i że w krótkim czasie odzyskano kontrolę nad sytuacją.

Tymczasem okazało się, chociaż atak miał miejsce w grudniu ubiegłego roku, że hakerzy mieli dostęp do sieci rządowych przez przynajmniej rok. Niemieccy śledczy nie ujawniają w jaki sposób dokładnie dokonano  ataku, jednak rzecznik niemieckiego rządu Johannes Dimroth potwierdził, że hakerzy dokonali infiltracji „rządowych technologii i sieci informacyjnych”. Stwierdził, że „incydent ten jest traktowany jako priorytetowy i na jego wyjaśnienie przeznaczono znaczne środki”. W śledztwo dotyczące okoliczności ataku zaangażowano Federalne Biuro Bezpieczeństwa Informacji (BSI) oraz Federalne Biuro Ochrony Konstytucji (BfV). Również niemiecki zespół parlamentarny ds. cyfryzacji zebrał się, by omówić szczegóły incydentu.

„Ten udany cyberatak oznacza, że informatyczne sieci rządowe nie są chronione w sposób należyty. W świetle tego, że zawierają one informacje wrażliwe, mamy do czynienia z sytuacją niemożliwą do zaakceptowania” – stwierdził rzecznik  zespołu, Manuel Hoeferlin. Nie jest to pierwszy raz, kiedy Rosję wymienia się w kontekście ataków hakerskich na niemieckie instytucje. W maju 2016 roku kraj ten oskarżono o atak na niemiecki parlament.

Źródło: Reuters

Fot. Pixebay

 

Szefowie brytyjskich służb ostrzegli rząd, że spodziewają się prób rosyjskiej ingerencji w działalność kluczowych spółek energetycznych, w tym strategicznych dla Wielkiej Brytanii.

Brytyjski kontrwywiad twierdzi wprost, że zagrożona jest przede wszystkim infrastruktura krytyczna. Dlatego podjęto szczególne środki w celu niedopuszczenia do blackoutu (awarii sieci energetycznej na olbrzymim obszarze), który mógłby nastąpić w konsekwencji rosyjskiego cyberataku.

Specjaliści z Narodowego Centrum Bezpieczeństwa (​​National Cyber Security Centre) oraz GCHQ pracują intensywnie nad poprawą mechanizmów obronnych tak, aby energetyczne sieci przesyłowe były odporne na potencjalne ataki.

Szczególnie jednak zwrócono uwagę na ochronę Sellafield – zakładu unieszkodliwiania odpadów jądrowych. Do Sellafield trafiają obecnie prawie wszystkie odpady promieniotwórcze z 15 reaktorów jądrowych działających w Wielkiej Brytanii. To tutaj powtórnie przetwarza się także paliwo jądrowe pochodzące głównie z zagranicy, przede wszystkim z Europy, ale i z Japonii. Do tej pory przetworzono tu już 50.000 ton paliwa jądrowego.

Mało kto wie, ale Sellafield jest także największym i chyba najbardziej skomplikowanym obiektem jądrowym w Europie. To także miejsce składowania największych na świecie zapasów nieprzetworzonych odpadów, w tym 140 ton plutonu (dla porównania, do wyprodukowania bomby atomowej potrzeba 10 kilogramów plutonu). Według brytyjskiego kontrwywiadu zakład jest na liście priorytetowych cybercelów rosyjskich hakerów, działających na rzecz Kremla.

W związku z napięciem w relacjach z Moskwą wszyscy operatorzy infrastrukturalni koordynują swoje działania nie tylko z National Grid (odpowiednik polskiego PSE), ale także ściśle współpracują z brytyjskimi służbami MI5 oraz GCHQ.

Tymczasem w najbliższy wtorek odbędzie się posiedzenie Rady Bezpieczeństwa Narodowego, która oceni propozycje Downing Street dotyczące dalszych reakcji na sprawę próby zabójstwa Skripala. Wśród omawianych punktów mają znaleźć się między innymi:

  • Uchwalenie przepisów ułatwiających przejmowanie majątku obywateli rosyjskich, legalizujących swoje pieniądze w Wielkiej Brytanii,
  • Dalsze wzmocnienie systemu wizowego w odniesieniu do obywateli rosyjskich,
  • Zamknięcie oficjalnej rosyjskiej placówki handlowej w Highgate, w północnym Londynie i wydalenie jej pracowników do Rosji,
  • Zwiększenie kontroli karno – skarbowej w odniesieniu do finansów rosyjskich oligarchów mieszkających w Wielkiej Brytanii.
  • Poszerzenie listy rosyjskich dyplomatów uznanych za persona non grata na terytorium Wielkiej Brytanii.

Z kolei szef dyplomacji – Boris Johnson pojedzie w tym tygodniu na spotkanie ministrów spraw zagranicznych UE w Brukseli, a jutro spotka się z sekretarzem generalnym NATO, Jensem Stoltenbergiem, aby poinformować go o dotychczasowych ustaleniach śledztwa, ale także omówić przyszłe, wspólne działania.

Fot. Pixebay

 

Jak informuje agencja Unian: powiązane z Rosją grupy hakerskie, które zinfiltrowały niemieckie ministerstwa obrony i spraw zagranicznych wykradły protokoły rozmów jakie Unia Europejska toczy z Wielką Brytanią ws tzw. “Brexitu” oraz dokumenty związane z negocjacjami jakie Bruksela prowadzi z Białorusią i Ukrainą.

Łącznie skradziono sześć plików. Według Der Spiegel nie zawierały informacji niejawnych.

Na początku marca niemieckie władze przyznały, że grupy hakerskie powiązane z Rosją infiltrowały ministerstwa obrony i spraw zagranicznych. Jedna z tych grup nosząca nazwę APT28 zainfekowała rządowe komputery złośliwym oprogramowaniem.

Deutsche Welle informowało wtedy, że rosyjscy hakerzy mieli zinfiltrować m.in. niemiecką sieć „Informationsverbund Berlin-Bonn” (IVBB) tj. specjalnie zaprojektowaną platformę komunikacyjną, która jest oddzielona od innych sieci publicznych, aby zapewnić dodatkowe bezpieczeństwo osobom z niej korzystającym.

Fot. Pixebay