Home Posts tagged hakerzy

Hakerzy powiązani z rosyjskim wywiadem wojskowym dokonali skutecznych ataków na 104 konta pracowników kluczowych europejskich think-tanków zajmujących się polityką zagraniczną i bezpieczeństwem. Na liście znajdują się także podmioty działające w Polsce.

Informacje Microsoft na temat zdarzenia

Firma Microsoft poinformowała w specjalnym komunikacie, że w ramach współpracy z Threat Intelligence Center (MSTIC) i Digital Crimes Unit (DCU) prowadzi codzienne działania zmierzające do ochrony swoich klientów. Według koncernu wykryte ataki hakerskie często obejmują think-tanki i organizacje non-profit zajmujące się tematami związanymi z demokracją, transparentnością wyborczą i polityką publiczną, które mają kontakt z urzędnikami państwowymi.

Microsoft w ramach stosowanej prewencji wykrył niedawno ataki wymierzone w pracowników Niemieckiej Rady ds. Stosunków Zagranicznych, Instytut Aspen i German Marshall Fund. Amerykański koncern za zgodą wspomnianych organizacji poinformował, że zhakowano 104 konta należące do ICH pracowników w Belgii, Francji, Niemczech, Polsce, Rumunii i Serbii.

Nadal badane są źródła tych ataków, ale według Microsoft wiele z nich pochodzi z grupy, którą nazwano Strontium. Ataki miały miejsce w okresie od września do grudnia 2018 r.

Atakujący w większości przypadków tworzyli złośliwe adresy URL i fałszywe adresy e-mail. Tym sposobem próbowano uzyskać dostęp do danych uwierzytelniających pracowników i zaimplementować na ich urządzeniach złośliwe oprogramowanie.

Według Microsoft wspomniane ataki są ostrzeżeniem dla europejskich przywódców w przededniu wyborów odbywających się w Europie.

Komentarz

Grupa Strontium znana jest także jako jednostka APT28, Fancy Bear czy Sofacy. Zdaniem kluczowych spółek związanych z sektorem cyberbezpieczeństwa (Microsoft, Trend Micro) z dużym prawdopodobieństwem są to hakerzy pracujący na rzecz rosyjskiego wywiadu wojskowego, którzy zasłynęli m.in. atakami na parlament Niemiec, Biały Dom, Komisję Europejską, Bank Światowy, NATO, czy amerykańską Partię Demokratyczną. Ostatnia kwestia jest obecnie wnikliwie badana w związku z rosyjską ingerencją w amerykańskie wybory prezydenckie. Prokurator specjalny Robert Mueller ma zaprezentować wyniki swojego śledztwa w najbliższych dniach – co może być wstrząsem dla opinii publicznej w USA.

Atak na kluczowe think-tanki polityczne w Europie ma bardzo istotne znaczenie. To ośrodki, które bardzo często nadają ton polityce zagranicznej kluczowych krajów UE, dysponującą dużą wiedzą ze względu na międzynarodową wymianę informacji (oficjalnych, plotek, a czasem nawet nieoficjalnych), a także związki z kluczowymi instytucjami państwowymi. Takie podmioty stanowią także obszar działania służb. Dlatego wydarzenie nakreślone przez Microsoft należy uznać za bardzo groźne, choć jak poinformował np. German Marshall Fund nie doszło do infiltracji serwera należącego do think-tanku.

Nie zmienia to jednak faktu, że już same informacje pojawiające się w korespondencji oficjalnej mogą być bardzo cenne. Nie wiemy również czy grupie Fancy Bear nie udało się zainfekować urządzeń należących do analityków złośliwym oprogramowaniem. Bardzo często służbowa poczta jest pobierana na urządzeniach prywatnych z powodu zwykłego lenistwa – w takim wypadku mogły wyciec także informacje osobowe pracowników zaatakowanych think-tanków. Rzecz bezcenna np. w kontekście werbunkowym.

Głównym celem uderzenia w kluczowe think-tanki europejskie jak wskazuje Microsoft był kontekst wyborczy. Komunikat firmy wprost precyzuje, że należy spodziewać się dalszych działań wymierzonych w transparentność wyborów w Europie. Ponieważ w całej sprawie pojawia/ją się pracownik/pracownicy zhakowanych instytucji pracujący na terenie Polski rodzi to pytania o przygotowanie rodzimych służb do zabezpieczenia procesu wyborczego w naszym kraju.

Jest to istotne pytanie z przynajmniej kilku powodów. Mam tu na myśli z jednej strony duże ryzyko zwiększonej reprezentacji skrajnych partii politycznych finansowanych przez Rosję w Parlamencie Europejskim (np. ugrupowanie Matteo Salviniego, które stara się konsolidować środowiska określane czasem jako „Putintern”). Z drugiej strony w Polsce również zauważalny jest proces konsolidacji takich grup w przededniu wyborów europejskich.

W kontekście działań Fancy Bear należy zadać ważne pytania dotyczące Polski. Wspomniałem już o zabezpieczeniu procesu wyborczego, ale należy odnieść się do jeszcze jednej rzeczy. Tym razem atak hakerski spadł na German Marshall Fund, a właściwie pracownika/pracowników warszawskiego biura tej organizacji (być może również analityków dwóch pozostałych fundacji wymienionych przez Microsoft). Co się wydarzy jeśli następnym razem takimi działaniami zostaną objęte PISM czy OSW? Czy są na to gotowe?

Fot. Pixabay

W 2014 roku, dwa tygodnie po odejściu ze stanowiska analityka wywiadu amerykańskiej Agencji Bezpieczeństwa Narodowego Lori Stroud była na Bliskim Wschodzie pracując jako haker dla Arabii Saudyjskiej. Dołączyła do projektu „Raven” i tajnego zespołu, w skład którego weszło ponad tuzin byłych amerykańskich agentów wywiadu, zatrudnionych by pomagać Zjednoczonym Emiratom w inwigilacji innych rządów, bojowników i działaczy praw człowieka krytycznych wobec monarchii.

Stroud i jej zespół, działający w przekształconej rezydencji w Abu Zabi, nazywanej wewnętrznie jako “Willa”, używali metod wypracowanych w społeczności wywiadowczej USA, aby pomóc ZAE włamać się do telefonów i komputerów swoich wrogów.Stroud została zwerbowana przez niewielką firmę zajmującą się cyberbezpieczeństwem z Maryland, by pomóc Emiratom w programie cyber operacji szpiegowskich „Raven”. W 2016 roku przeniesiono projekt do firmy o nazwie DarkMatter w ZEA. Wkrótce Stroud i inni Amerykanie zaangażowani w niego stwierdzili, że misja przekroczyła czerwoną linię: bo jej celem jest obserwowanie Amerykanów.

Historia projektu „Raven” pokazuje, w jaki sposób byli pracownicy amerykańskiej instytucji rządowej wykorzystują najnowocześniejsze narzędzia hackerskie w imieniu zagranicznego wywiadu, który szpieguje działaczy na rzecz praw człowieka, dziennikarzy i rywali politycznych.

Techniki inwigilacyjne wykorzystywane przez NSA były kluczowe dla ZEA w zakresie monitorowania przeciwników. Celem wywiadu nie byli obywatele Emiratów. Wykorzystano arsenał narzędzi cybernetycznych, w tym najnowocześniejsze  szpiegowskie znane jako „Karma”. Uczestnicy programu „Raven” twierdzili, że włamali się za pomocą tego oprogramowania do iPhone’ów setek działaczy, przywódców politycznych i podejrzanych o terroryzm.

“Karma” jest narzędziem, które może zdalnie przyznać dostęp do iPhone’ów, po prostu przesyłając numery telefonów lub konta e-mail do automatycznego systemu kierowania. Narzędzie ma ograniczenia – nie działa na urządzeniach z Androidem i nie przechwytuje połączeń telefonicznych. Jest to jednak niezwykle silne narzędzie, ponieważ, w odróżnieniu od wielu exploitów, “Karma” nie wymaga od celu kliknięcia łącza przesłanego do iPhone’a.

W latach 2016 i 2017 “Karma” była używana do uzyskiwania zdjęć, wiadomości e-mail, wiadomości tekstowych i informacji o lokalizacji z iPhone’ów .  Technika ta pomogła również hakerom zbierać zapisane hasła, które można wykorzystać do innych włamań.

Nie jest jasne, czy hak “Karmy” pozostaje w użyciu. Byli operatorzy powiedzieli, że do końca 2017 roku aktualizacje zabezpieczeń oprogramowania iPhone’a firmy Apple spowodowały, że Karma była znacznie mniej skuteczna. 

Jednak uważa się, że tylko około 10 krajów, takich jak Rosja, Chiny i Stany Zjednoczone oraz ich najbliżsi sojusznicy, są w stanie rozwinąć taką broń – powiedział Michael Daniel, odpowiedzialny w przeszłości za bezpieczeństwo w Białym Domu za prezydentury Obamy.

“Karma” i podobne narzędzia sprawiają, że urządzenia osobiste, takie jak iPhone’y, są najbardziej pożądanymi celami , powiedział Patrick Wardle, były pracownik Agencji Bezpieczeństwa Narodowego i ekspert od bezpieczeństwa Apple.

Rząd ZEA zakupił Karmę od dostawcy spoza kraju. Karma opiera się, przynajmniej częściowo, na lukach systemu komunikacyjnego Apple, iMessage. Luka pozwalała na wszczepienie złośliwego oprogramowania w telefonie przez iMessage umożliwiając hakerom nawiązanie połączenia z urządzeniem. Nawet jeśli właściciel telefonu nie użył programu iMessage.

Różne doniesienia podkreślają trwający wyścig zbrojeń cybernetycznych na Bliskim Wschodzie, ponieważ Emiraty i inne kraje próbują zgarnąć broń i personel szybciej niż ich rywale. Historia „Raven” pokazuje w nowym świetle rolę dawnych amerykańskich funkcjonariuszy w zagranicznych operacjach hackerskich. W amerykańskiej społeczności wywiadowczej, podjęcie pracy w innym kraju w charakterze funkcjonariusza jest postrzegane przez niektórych jak zdrada. “Istnieje obowiązek moralny, jeśli jesteś byłym oficerem wywiadu, który staje się faktycznie najemnikiem dla obcego rządu” – powiedział Bob Anderson, który pełnił funkcję asystenta dyrektora Federalnego Biura Śledczego do 2015 roku.

Chociaż udostępnianie informacji niejawnych jest nielegalne, nie ma konkretnych przepisów, które umożliwiałyby zatrudnionym na kontraktach dzielenia się bardziej ogólną wiedzą o sposobach, na przykład o tym, jak zwabić cel za pomocą zainfekowanego e-maila.

Zasady są jednak oczywiste w przypadku hakowania sieci w Stanach Zjednoczonych lub kradzieży korespondencji Amerykanów “Byłoby to bardzo nielegalne” – powiedziała Rhea Siers, była zastępczyni dyrektora ds. Polityki w NSA. Hackowanie Amerykanów było ściśle utrzymywane w tajemnicy, nawet w „Raven”.

FBI aktualnie bada, czy amerykańscy pracownicy „Ravena” ujawnili amerykańskie techniki inwigilacji i czy nielegalnie atakowali amerykańskie sieci komputerowe – twierdzą byli pracownicy „Raven”, z którymi rozmawiały federalne organy ścigania. Stroud powiedziała, że współpracuje w tym zakresie ze śledczymi. Żadne zarzuty nie zostały postawione i możliwe, że nie zostaną. Rzeczniczka FBI odmówiła komentarza w tej sprawie.

Źródło: Reuters

Fot. Pixabay

Czy wycieki niemieckie mają związek z rychłym wyjściem na wolność hakera Timothy’ego Frencha? Tego nie wiemy. Wszystko jednak wskazuje na to, że swoisty orszak powitalny składa się z jego byłych kolegów, w tym hakerów z grupy TeamPoison.

Jak wskazywaliśmy w poprzednim artykule, haker Timothy French za tydzień ma opuścić amerykańskie więzienie. Grupa hakerska NullCrew została rozbita, nie wiadomo więc czym będzie się zajmował. O jego wyjściu na wolność poinformowano na twitterowym koncie wspierającym innych aresztowanych cyberprzestępców, np. Rossa Ulbrichta, znanego lepiej pod pseudonimem „Dread Pirate Roberts”, założyciela Silk Road, członka grupy Anonymous, Matta DeHarta, który ujawnił w Wikileaks dokumenty zastrzeżone oraz Reality Leigh Winner, byłej pracownicy NSA, skazanej za ujawnienie raportu o szczegółach wpływania Rosjan na wybory w USA (w jej obronie stanął sam Julian Assange). Kto jeszcze oczekuje na powrót Timothy’ego Frencha?

Jak wskazują zagraniczne źródła, powołując się na wiarygodne spekulacje, za najnowszymi wyciekami danych w Niemczech ma stać osoba posługująca się pseudonimem NullRouter/NFr00t. NullRouter był już wcześniej wskazywany jako członek rozbitej grupy NullCrew, do której należał French, na co zwróciliśmy uwagę we wcześniejszym artykule.

Niemiecka BKA dokonała przeszukania u Jana Schürleina (pseudonim Janomine), z powodu jego rzekomych kontaktów z osobą odpowiedzialną za wycieki —NullRouterem. Janomine miał kontaktować się z osobą publikującą wycieki, podawał też szczegóły jego innych kont twitterowych. Jest prawdopodobne, że kontaktował się używając adresu „ther00t@protonmail.com”, którym były podpisane niektóre wycieki.

Przed laty, Nulr0uter, na swoim Twitterze, określał się jako „Virtual God”.

Jak wyjaśniono w „deklaracji” umieszczonej na Twitterze _0rbit, z którego publikowano ostatni wyciek niemieckich danych, wykorzystywane jest ono przez kolektyw hakerski do publikowania danych. Założone zostało w Luksemburgu, jednak miały z niego korzystać osoby przebywające w Niemczech.

Niemieckie źródła publikują informacje o kolejnych powiązanych z profilem_0rbit kontach. Wydaje się, że była to swoista „Grupa 0rbita”, która pozyskiwała dane z wielu źródeł, podczas gdy lider tej grupy siedział w amerykańskim więzieniu.

Jak wskazaliśmy wcześniej, konto wykorzystane do wycieków było opisane co najmniej dwoma pseudonimami – g0d i 0rbit. Skorelowano je z działalnością „grupy siph0na”, która początkowo publikowała wycieki na koncie „smitt3nz”—z Palestyny.

Timothy French jako 0rbit

Timothy French, kiedy został zatrzymany do grupy NullCrew w 2014 roku, miał 20 lat. Jednak wyrok przeciwko niemu, zaczyna się od słów: Timothy French przez lata zaangażowany był w destrukcyjną działalność hakerską, która zaszkodziła dziesiątkom firm, organizacji non profit i rządów, powodując znaczne straty finansowe i naruszając prywatność tysięcy osób.

Nie była to pierwsza tego rodzaju nielegalna aktywność Timothy’ego Frencha. Wiele lat zanim został skazany, agenci FBI zidentyfikowali go jako hakera „Corps3” oraz „Corps3_TP”—członka grupy TeamPoison (TeaMp0isoN), która później była odpowiedzialna za wiele poważnych ataków, a niektórzy z jej członków znacząco wspierali Państwo Islamskie (opowiemy o tym w dalszej części artykułu).

Timothy French, podczas pierwszej osobistej styczności z FBI, miał 17 lat. Przyznał wtedy, że w społeczności hakerskiej uczestniczy od co najmniej 4 lat. Z dokumentów amerykańskich wynika jednoznacznie—Timothy French działał w ramach zorganizowanej i groźnej grupy hakerów.

Wtedy uniknął odpowiedzialności. Co więcej, styczność z FBI nie wpłynęła na resocjalizację Timothy’ego Frencha, który w rozmowach ze swoimi kolegami-hakerami wspominał (cytując za dokumentami amerykańskimi): „I remember when tried to say I was defending my crimes I commited for TeaMp0isoN. LOL [Laugh out loud]. I’m not sorry for anything I’ve hacked”.

Grupa TeamPoison

Działalność grupy hakerskiej TeamPoison odczuły na sobie takie instytucje jak Organizacja Narodów Zjednoczonych, NASA, NATO, Facebook (w tym Mark Zuckerberg), brytyjskie Ministerstwo Obrony oraz nawet MI6. Niektóre z ataków, dokonywane były w ramach wsparcia owianej złą sławą grupy Anonymous.

W ramach wsparcia grupy Anonymous, podczas operacji Robin Hood członkowie grupy TeamPoison wykradli dane kilkudziesięciu tysięcy izraelskich kard kredytowych, w celu dokonania wpłat na organizacje charytatywne na całym świecie. Plan był taki, że hakerzy dokonają kradzieży środków z izraelskich kart kredytowych, organizacje charytatywne będą beneficjentami tych transakcji, a banki izraelskie będą musiały z własnych środków pokryć straty okradzionych klientów banków. Inne operacje tej grupy również były motywowane ideologicznie (islamistycznie)—na przykład podczas ataku na Facebooka, „hackowane” były przede wszystkim strony krytyczne wobec islamu. Swoistym „hołdem” dla zatrzymanego w 2014 0rbita, mogło być podpisanie jego pseudonimem wycieku danych z jednego z izraelskich ministerstw.

Naczelny haker Państwa Islamskiego

Twórca grupy TeamPoison, Junaid Hussain (pseudonim TriCk), urodził się w 1994 roku w Wielkiej Brytanii w pakistańskiej rodzinie. Po odbyciu kary za atak na skrzynki e-mailowe premiera Wielkiej Brytanii Tony’ego Blaira oraz ujawnienie jego osobistych informacji, opuścił Zjednoczone Królestwo i w 2013 roku udał się do Syrii. Przybrał tam pseudonim „Abu Hussain al-Britani” i wspierał Państwo Islamskie, tak jak poprzednio—dokonując ataków hakerskich. W krótkim czasie stał się wiodącym hakerem wspierającym Państwo Islamskie.

W 2015 roku został zabity, w wyniku ataku dronem. Nie była to jednak śmierć przypadkowa, ponieważ Junaid Hussain miał być numerem 3 na liście Amerykanów—zaraz po Abu Bakr al-Baghdadim (kandydat na człowieka roku magazynu Time w 2015, przywódca ISIL-Państwa Islamskiego w Iraku i Lewancie oraz samozwańczy kalif Państwa Islamskiego północno-wschodniej Syrii i zachodniego Iraku) i Mohammedzie Emwazim (nazwanym przez prasę Jihadi Johnem, który miał obcinać głowy zakładnikom ISIL). Junaid Hussain miał być umieszczony na liście z uwagi na „inspirowanie międzynarodowego terroryzmu samotnych wilków”. W chwili śmierci miał 21 lat.

Orszak powitalny

Niektórzy członkowie TeamPoison zostali skazani. 5 lipca 2012 roku, grupa TeamPoison zakończyła swoją działalność, publikując na Pastebin manifest.  Timothy French (0rbit) uniknął wtedy kary, jednak nie zaniechał hakerskiej aktywności. Doskonalił umiejętności informatyczne i dokonywał kolejnych ataków już w ramach nowej grupy -NullCrew. Ta nowa grupa, 13 lipca 2012 roku, niedługo po „manifeście” wieńczącym działalność TeamPoison, opublikowała pierwszy, autorski wyciek.

Jest wysoce prawdopodobne, że Dominik Penner (zer0pwn/Null) – założyciel grupy NullCrew, zatrzymany w Kanadzie oraz Timothy French współpracowali razem nie tylko w ramach grupy NullCrew, ale również i haktywistycznej TeamPoison.

Haker pseudonimie Null, w czasie kiedy TeamPoison było aktywną grupą, współpracował szczególnie blisko z osobą o pseudonimie MTL. Grupa TeamPoison opublikowała na swoim oficjalnym Twitterze wyznanie Nulla z czerwca 2012 roku, rzekomo będącego w rozpaczy po stracie mentora-MLT (MLT żyje i ma się dobrze, jednak w maju 2012 roku został zatrzymany w związku z włamaniami). Kim jest MLT? MLT to urodzony w 1994 roku Brytyjczyk, Matt Telfer. W 2017 stworzył projekt Insecurity, w ramach którego razem z innymi specjalistami zajmuje się cyberbezpieczeństwem.

Jednym z ekspertów Projektu Insecurity, jest Dominik Penner. Znany również jako zer0pwn oraz Null.

Czy wycieki niemieckie mają związek z rychłym wyjściem na wolność hakera Timothy’ego Frencha? Tego nie wiemy. Wszystko jednak wskazuje na to, że swoisty orszak powitalny składa się z jego byłych kolegów, w tym hakerów z grupy TeamPoison.

Rekomendacja Redakcji

Wycieki publikowane w grudniu zbierane były przez lata. Jest to starannie zebrana kolekcja danych o politykach, youtuberach i dziennikarzach. Zupełnie przypadkowo nie dotknęła ona partii eurosceptycznej.

Zdecydowaliśmy się na kontynuowanie naszego autorskiego śledztwa w sprawie tzw. niemieckiego wycieku i opublikowanie drugiej części zebranego materiału w poszukiwaniu  odpowiedzi na pytanie: co może wpływać na wybór drogi życiowej przywódców opisywanej grupy hakerskiej? Co ich motywuje do działania? Na tej podstawie  próbowaliśmy określić czy istnieje wysokie ryzyko prowadzenia przez nich dotychczasowej działalności? Za chwilę Timothy French wychodzi z więzienie i jesteśmy pewni, że jego koledzy nie tylko „zaopiekują się nim”, ale być może przygotowali na powitanie „coś” spektakularnego. Byli cały czas aktywni „zawodowo” i nie zapominali o swoim leaderze. Nie przestraszyli się aparatu bezpieczeństwa i wymiaru sprawiedliwości mimo młodego wieku. Są zdeterminowani, a nawet twierdzimy, że można postawić tezę o ich radykalizacji bo są  motywowani ideologicznie. Dlatego mamy jedną radę dla służb niemieckich nie idźcie drogą FBI i nie lekceważcie tej grupy ze względu na młody wiek jej członków. Monitorujcie to ryzyko szczególnie teraz gdy Orbit wychodzi na wolność. Wiara w proces resocjalizacji w tym przypadku nie wystarczy.

Fot. Pixabay

Według ustaleń portalu O służbach największy w historii atak cybernetyczny na Niemcy mógł zostać dokonany przez hakerów sympatyzujących z Julianem Assangem. Część z nich, jak wynika z naszego śledztwa, prawdopodobnie pochodzi z Rosji.

Największy atak hakerski w historii Niemiec

Berlińska telewizja RBB poinformowała, że nieznani sprawcy opublikowali osobiste informacje setek niemieckich polityków z w zasadzie każdej partii, za wyjątkiem eurosceptycznej i proputinowskiej AfD. To jednak nie wszystko, bo wyciekły również dane dziennikarzy ARD i ZDF, a także artystów i youtuberów. Atak miał uderzyć również w Angelę Merkel. Agencja DPA podała, że wykradziono adres e-mail, numer faksu i listy napisane przez i do kanclerza Niemiec. Dane prawdopodobnie uzyskane zostały z różnych źródeł, a następnie upublicznione.

W reakcji na te działania sprawą zajęła się niemiecka agencja federalna odpowiedzialna za bezpieczeństwo informacyjne (BSI). Na Twitterze oświadczyła ona, że „najprawdopodobniej nie doszło do żadnego ataku na sieci rządowe”. Więcej o całym zdarzeniu służby niemieckie miały dowiedzieć się dopiero 3 stycznia, chociaż dane wyciekały od miesiąca. Problem polega na tym, że nie wiadomo skąd oraz kiedy je pozyskano i co motywuje sprawców.

Linki do paczek z wykradzionymi danymi były umieszczane regularnie na kontach w serwisie społecznościowym Twitter: @_0rbit oraz @_0rbiter. Zauważyliśmy, że samo konto jest również kompilacją dwóch pseudonimów: 0rbit oraz g0d. W obu przypadkach związanych z hakerem o pseudonimie siph0n. Dlaczego jest to ważne, wyjaśnimy w dalszej części publikacji.

Nie wszystkie wykradzione dane są nowe, ponieważ dotyczą lat 2007-2017. My jednak zwróciliśmy uwagę na pewne koincydencje i postanowiliśmy przeprowadzić własne śledztwo. Oto wyniki dociekań zespołu portalu O służbach:

Ślad nr 1: Tożsamość hakera

W przeszłości nickami „0rbit” oraz „orbit.girl”, „@Orbit_g1rl”, „crysis”, „rootcrysis” i „c0rps” posługiwał się haker Timothy Justen French. To pseudonim taki sam jak na kontach Twittera, wykorzystanych do ujawniania danych przy tzw. wycieku niemieckim.

French w czerwcu 2014 roku został zatrzymany przez FBI. Wpadł, ponieważ nie uczynił użytku z VPN, łączył się z domowego IP oraz nie zachowywał w tajemnicy swojej tożsamości, a FBI miało w jego otoczeniu informatora. Najprawdopodobniej był nim członek grupy NullCrew posługujący się pseudonimem siph0n. W tej sprawie zatrzymano również drugiego nastolatka, Kanadyjczyka Dominika Pennera używającego pseudonimów Null i zer0_pwn, rzekomego założyciela Grupy NullCrew. Penner został skazany na prace społeczne, ponieważ miał dopiero 14 lat. To przypuszczalnie on ujawnił, że siph0n współpracuje z FBI, co wywnioskował po zapoznaniu się z materiałem zgromadzonym w jego sprawie.

W grudniu 2015 roku French przyznał się przed sądem w Chicago do uczestnictwa w atakach dokonywanych przez grupę NullCrew. W listopadzie następnego roku został skazany na karę 45 miesięcy pozbawienia wolności. Okazało się, że nie tylko uczestniczył w cyberatakach, ale publikował informacje o nich na oficjalnym Twitterze NullCrew. W chwili zatrzymania miał 20 lat.

Czy zatem w sprawie ataku niemieckiego mamy do czynienia z Timothym Justenem Frenchem, który posługiwał się nickiem 0rbit?

Gdyby założyć, że French oczekiwał na wyrok w USA od czerwca 2014 roku i na poczet kary zaliczono mu 45 miesięcy (3 lata 9 miesięcy) wcześniejszej odsiadki, wyszedłby najwcześniej w połowie marca 2018 roku. Musimy też pamiętać, że konto twitterowe _0rbit zostało założone w dniu 09 lutego 2015 roku, _0rbiter 25 grudnia 2016 roku, a w grudniu 2015 roku w Internecie pojawiła się informacja, że _Orbit dziękuje za wsparcie i oczekuje w USA na proces w związku z atakami z lat 2013-2014.

Wszystkie te wydarzenia mają miejsce w trakcie odsiadki Frencha. Natomiast jest mało prawdopodobne, że po odbyciu kary on sam zdecydowałby się wykorzystać swój pseudonim do organizacji tzw. wycieku niemieckiego.

Co więcej, sprawdziliśmy, że przebywa w więzieniu.

W dniu 4 stycznia, w którym media ujawniły wyciek, rano pojawiła się informacja, że Timothy French 13 stycznia wychodzi z więzienia.

Należy zadać pytanie, czy mógł korzystać z cudzej pomocy lub inspirować innych do działania? Z całą pewnością tak. Nie jest bowiem problemem zmiana nazwy konta na Twitterze, w dowolnym czasie lub zlecenie jego utworzenia. Może chodziło też o oddanie swoistego „hołdu” 0rbitowi, który właśnie wychodzi z więzienia?

Sprawę uzyskania jednoznacznej odpowiedzi komplikuje fakt, że nie znamy czasu, w którym wyciekły dane w Niemczech oraz motywów, dla których są one publikowane. Wiemy jedynie, że sposób publikowania „wycieków” pasuje do 0rbita i pozostałych członków grupy NullCrew, np. siph0na.

Nie byłby to też pierwszy przypadek tworzenia na portalach kont o nazwie „0rbit” w celu publikowania wycieków i przypisania mu odpowiedzialności za nie. Tuż po ogłoszeniu zatrzymania Frencha przez FBI, z konta na pastebin.com, utworzonego już po zatrzymaniu Frencha, opublikowano wyciek adresów e-mail i haseł z jednego z izraelskich ministerstw. Autorem wycieku miał być “0rbit”. 

Ślad nr 2: Naśladowcy

Musimy postawić sobie pytanie: czy aktualnie mamy do czynienia z kimś kto naśladuje 0rbita? Jeśli to naśladowca to czym jest motywowany? Żeby znaleźć odpowiedzi na te pytania analizowaliśmy jego otoczenie. Siph0n do tej pory prowadzi stronę internetową: Siph0n.net, na której kolekcjonowane są wycieki. Samą stronę miał utworzyć tzw. “sn”. Jednak jest także możliwe, że skrót sn to skrót od siph0n.

Współpraca FBI z siph0nem była rzekomą przyczyną jego wyrzucenia z grupy hakerskiej NullCrew., która w 2014 roku uległa rozwiązaniu. W tym samym roku, siph0n zaczął samodzielną działalność, a jednymi z pierwszych jego „współpracowników” dokonujących włamań i publikujących dane byli g0d i zer0. Tu znów mamy do czynienia z łudząco podobnym pseudonimem do założyciela grupy NullCrew. Jest też ważne, że g0d na jakiś czas „wypożyczył” pseudonim 0rbit.

Przypuszczamy, że g0d to ktoś kto był w NullCrew, a następnie zmienił pseudonim w związku z rozwiązaniem grupy i zatrzymaniem Frencha, tym bardziej, że w wynikach wyszukiwania, g0d nie pojawia się wcześniej.

Niektóre wycieki (pliki txt) publikowane po czerwcu 2014 roku, kiedy zatrzymano zer0pwn (Null), są podpisane pseudonimem „zer0”, a ostatnie wpisy na stronie autorstwa „zero” są z lipca 2014 roku. Nie powinno to jednak to dziwić, ponieważ strona siph0n anonsowana była jako baza zawierająca „osiągnięcia” hakerskie, za które Grupa NullCrew wzięła odpowiedzialność.

Nie można więc wykluczyć, że „zero” i założyciel NullCrew to ta sama osoba, a działalność grupy siph0n jest w jakimś sensie kontynuacją działalności rozwiązanej Grupy NullCrew, pomimo że „grupa siph0na” w późniejszym okresie starała się odciąć od działalności NullCrew oraz innych grup.

Nie są to jedyne przypadki posługiwania się pseudonimem Orbit. Konto Twitter, na którym początkowo publikować miała „grupa siph0na”, miało nazwę „smitt3nz”.

 Haker smitt3nz (znany również jako „rubber”) twierdził, że jest z Palestyny. Smitt3nz (rubber) wykradał m.in. dane ze strony pokerowej, skupiając się przede wszystkim na adresach e-mail które obejmują kilka z domen rządowych i wojskowych, takich jak: whitehouse.gov, cdc.gov, nasa.gov, dhs.gov, irs.gov, defence.gov.au, army.mil, navy.mil, usmc.mil i af.mil.

Warto przypomnieć, że 0rbit był również podpisany pod dawnym wyciekiem danych z jednego z izraelskich ministerstw.

Czy zainteresowanie witrynami rządowymi miało zaspokoić jedynie ciekawość hakerów, czy działali na czyjeś zlecenie – tego nie wiemy i nie jesteśmy wstanie ustalić, ale to dobry kierunek do pracy dla śledczych.

Ślad nr 3: Tropy rosyjskie

Czym była Grupa NullCrew? To hakerzy, którzy nie tylko deklarowali poparcie dla działalności Juliana Assange i Wikileaks, ale w sierpniu 2012 roku, czynnie wsparli cyberatakami ruch #OpFreeAssange, atakując Uniwersytet Cambridge.

Ofiarami grupy w latach 2012-2014 padły m.in. Interpol, brytyjskie ministerstwo sprawiedliwości, biuro premiera, Uniwersytet Cambridge. Ponadto, Światowa Organizacja Zdrowia, Organizacja Narodów Zjednoczonych, Amerykański Departament Stanu, brytyjskie Ministerstwo Obrony, kanadyjski Bell, amerykański Comcast oraz Orange, konglomerat mediowy AlArabiya, ukraińskie Science and Technology Center, Sony.

Poza 0rbitem, w grupie miały brać udział również osoby ukrywające się pod pseudonimami: doc, 3cho, siph0n, Nop, Null, sl1nk, Saturnine, Vlad, Ignit3, airyz, Manst0rm, NullRoute and TiTaN. Twierdzili też, że „nie są częścią Anonymous, ale ich wspierają”, czemu dali wyraz atakując Uniwersytet Cambridge.

Sama grupa NullCrew powstała w 2012 roku, niedługo po rozwiązaniu innej grupy hakerskiej – LulzSec, która podobnie jak NullCrew została rozbita przez FBI dzięki pomocy informatora i od 2012 roku była nieaktywna. Niektórzy członkowie LulzSec, którzy nie zostali zatrzymani, dołączyli do Anonymous.

Czy członkowie Grupy NullCrew mogli być, świadomie lub nie, wykorzystywani przez służby rosyjskie do obrony Juliana Assange? Nie wiemy, ale sądzimy, że w tej sytuacji mogą nabrać, nowego znaczenia związki Assange z członkami Grupy NullCrew, a także  z Rosją.

Z całą pewnością trzeba to sprawdzić.

Jeden z członków grupy NullCrew – brytyjski nastolatek ukrywający się pod pseudonimem sl1nk, zatrzymany w związku z atakiem na Uniwersytet Cambridge, przed laty wskazywał na swoim Twitterze, że pisze z St. Petersburga w Rosji.

Znaleźliśmy też kolejny ślad wiążący siph0na z Rosjanami. Otóż on sam prowadzi konta Twitterowe np. https://twitter.com/datasiph0n – gdzie pisze, że jest z Rosji (podobnie jak inni związani z nim hakerzy). Jedna ze stron siph0na, na której publikowane były wycieki, miała końcówkę „ru”. Po co to robi? Może w dalszym ciągu realizuje zadania dla FBI, a może faktycznie jest w kontakcie z Rosjanami. Zastanawia nas fakt dlaczego FBI zatrzymała jedynie 0rbita i  przyczyniła się do ujęcia NULL-a (zer0), a pozwoliła na działalność siph0na i realizacje kolejnych bardzo dużych ataków przeprowadzonych przez grupę NullCrew?   Ciekawe – prawda?

To kierunek do weryfikacji. Tym bardziej, że gdy w 2012 roku, rosyjscy hakerzy wykradli z Linkedin dane ponad 100 milionów użytkowników kilkaset z nich zostało opublikowanych na stronie „wyciekowej” siph0n-a. Podpisał się pod tym „0x2Taylor”, z mailem @yandex, publikujący z konta „comcastkids”. Później, 15 lipca 2016 roku, też na stronie siph0n.net zostały opublikowane kolejne dane z Linkedina. Ciekawe, że początkowo do całości wycieku z LinkedIna miała mieć dostęp jedynie ograniczona liczba rosyjskich hakerów.

 Epilog

Jesteśmy świadomi, że możemy się mylić w naszym wnioskowaniu. Jest jednostronne i zawiera luki. Badania empiryczne zastąpiliśmy naszym dotychczasowym doświadczeniem, a więc zredagowane hipotezy należy poddać weryfikacji. Nie posiadamy do tego odpowiednich narzędzi, sił i środków. Jednak dzięki zastosowanym zabiegom mogliśmy podzielić się z czytelnikami wątpliwościami, które powinny stanowić wektory działań niemieckich służb, jeżeli będą chciały wyjaśnić szczegółowo sprawę tak rozbudowanego „wycieku” dramatycznie dużej ilości danych.

Fot. Pixabay

ESET: Grupa rosyjskich hakerów pracuje nad destabilizacją polskiej gospodarki

Brytyjska służba specjalna GCHQ informowała w tym miesiącu o powiązaniach BlackEnergy oraz Sandworm z rosyjskim wywiadem wojskowym GRU. Więcej o tym pisaliśmy tutaj. Natomiast według ekspertów ESET z cyberprzestępczej grupy BlackEnergy wyrósł nowy odłam - GreyEnergy, którego celem jest szpiegowanie ukraińskich i polskich firm energetycznych.

Według oceny Antona Cherepanova z firmy antywirusowej ESET działania cyberprzestępców nie są motywowane finansowo. Ich głównym celem jest bowiem całkowita destrukcja obranych celów na Ukrainie.

ESET wykazuje też, że grupa GreyEnergy, co najmniej od 2015 roku, koncentruje się na szpiegowaniu ukraińskich i polskich firm energetycznych. 

Celem strategicznym GreyEnergy są ataki na stacje robocze kontroli przemysłowej (ICS) nadzorujące przebieg procesów produkcyjnych za pomocą oprogramowania SCADA. Wykryta aktywność hakerów świadczy o chęci zbadania zabezpieczeń i struktury sieci informatycznych należących do przedsiębiorstw sektora energetycznego.

ESET wykazuje też, że grupa GreyEnergy, co najmniej od 2015 roku, koncentruje się na szpiegowaniu ukraińskich i polskich firm energetycznych. Click To Tweet

TeleBots (znana wcześniej jako BlackEnergy) atakująca w przeszłości instytucje finansowe i przemysłowe na Ukrainie, próbowała ostatnio wykorzystać nowy rodzaj backdoora. Potwierdzono jego podobieństwo z kodem programu Industroyer, który w 2015 roku zaatakował elektrownie, wodociągi, czy rozdzielnie gazu na Ukrainie. Atak pozwolił przejąć kontrolę nad znajdującymi się w podstacjach elektrycznych przełącznikami i wyłącznikami. TeleBots była odpowiedzialna również za zeszłoroczny atak skierowany na ukraińskie firmy i instytucje, w którym cyberprzestępcy wykorzystali złośliwą aktualizację popularnego na Ukrainie programu do rozliczeń finansowych M.E.Doc w celu propagacji zagrożenia ransomware Petya/NotPetya. Efektem ataku było zaszyfrowanie ogromnej ilości komputerów na Ukrainie. Skutki ataku były odczuwalne przez ukraińskie, rosyjskie oraz polskie przedsiębiorstwa i spowodowały gigantyczne straty finansowe. 

Według ESET działania rosyjskich hakerów mogą zagrozić działaniu elektrowni, wodociągów i przesyłowi gazu w Polsce i na Ukrainie. Click To Tweet

Źródło: www.eset.pl

Fot. Pixabay

Hans-Georg Maassen, szef BfV stwierdził, że Chiny, Rosja i inne państwa podejmowały próby włamania się do komputerów niemieckich firm, by kraść stamtąd cenne informacje przemysłowe.

 

Przedstawiciele służb są coraz bardziej zaniepokojeni tzw. „cyber-bombami”, które mogą zostać umieszczone w sieciach niczego nie podejrzewającej firmy, i zdetonowane w wybranym przez podkładającego momencie. „W przypadku Chin, Rosji, wyraźnie widzimy prowadzenie działań o charakterze szpiegowskim, natomiast ich działania mogą też uwzględniać sabotaż, którego celem mogłoby być kiedyś zaatakowanie niemieckich firm – firm będących elementami infrastruktury w najszerszym sensie”, stwierdził Maassen. „To jest scenariusz, którego się obawiamy”.

Cyber-bomby nowym sposobem na prowadzenie hakerskich działań o charakterze szpiegowskim przez Chiny, Rosję czy też Iran. Click To Tweet

Eksperci w dziedzinie cyberbezpieczeństwa ostrzegają, że Niemcy, ze swoim wysokim poziomem zaawansowania technicznego, są szczególnie atrakcyjnym celem dla wszelkiego rodzaju hakerów, w tym państw, posługujących się takimi metodami. „Firma może być całkowicie nieświadoma ataku z użyciem złośliwego oprogramowania, cyber-bomby”, powiedział Maassen. „A później taka bomba uniemożliwi funkcjonowanie na przykład sieci energetycznych”. Szef BfV stwierdził, że za takimi atakami może stać szereg państw. W raporcie rocznym służby wymienione są tym kontekście Iran czy Chiny.

Niemcy coraz bardziej niepokoją się dążeniem Chin do dominacji w kluczowych sektorach technologii, między innymi poprzez inwestowanie w firmach niemieckich w ramach projektu „Made in China 2025”, dodał Maassen.

Wypowiedź Maassena następuje w atmosferze dążenia do ochrony niemieckich i innych europejskich  technologii wrażliwych przed Chinami.  W grudniu BfV ostrzegała przed wykorzystywaniem przez Chińczyków platformy LinkedIn do rekrutowania agentury. Pisaliśmy o tym tutaj: https://osluzbach.pl/chinski-wywiad-i-portal-linkedin-werbunek-na-miare-xxi-wieku/

Źródło: Reuters

Fot. Pixabay


Rosyjscy hakerzy pracujący dla wywiadu wojskowego GRU nie tylko samodzielnie wyszukują luki w oprogramowaniu i prowadzą kampanie pishingowe, ale także wchodzą w relacje towarzyskie z amerykańskimi ekspertami ds. cyberbezpieczeństwa. Doskonałym tego przykładem jest historia Kate S. Milton.

Rosyjscy hakerzy z GRU wchodzą w relacje towarzyskie z amerykańskimi specjalistami ds. cyberbezpieczeństwa pozyskując dzięki temu wiedzę. Click To Tweet

Sześć lat temu z pewnym znającym język rosyjski ekspertem od eksploitów skontaktowała się mailowo niejaka Kate S. Milton. Przedstawiła się jako pracownik firmy Kaspersky specjalizującej się w antywirusowych zabezpieczeniach. Wyrażając podziw dla pracy specjalisty, poprosiła o skopiowanie wszystkich znanych tej osobie eksploitów (to błędy w oprogramowaniu wykorzystywane przez hakerów do włamań). Osoba, do której zwróciła się Milton jest inżynierem ds. bezpieczeństwa i powzięła podejrzenie, że kobieta nie jest tym, za kogo się podaje. Podejrzenie okazało się słuszne, po lekturze aktu oskarżenia sporządzonego przez FBI.

Dokument ten, upubliczniony 13 czerwca, ukazał szczegóły dotyczące rosyjskiej operacji hakerskiej w czasie wyborów prezydenckich w 2016 roku. W treści dokumentu występuje „Kate S. Milton” – pseudonim oficera wywiadu rosyjskiego, Ivana Jermakowa, jednego z 12 szpiegów oskarżonych o włamanie się do systemu Krajowego Komitetu Demokratów i publikację ich maili.

Sposób działania „Milton” wydaje się dość typowy, szczególnie w relatywnie małym świecie analityków od malware.

Milton zerwała kontakt po tym, jak wyżej wymieniony ekspert odmówił przekazania jej danych dotyczących podatności oznaczonej kodem CVE-2012-0002 – ważnego błędu w oprogramowaniu Microsoft, mogącego doprowadzić do zdalnego ujawniania hakerom zawartości niektórych komputerów korzystających z Windows.

Podtrzymywany przez dłuższy czas kontakt mailowy może wskazywać na to, że GRU tą drogą nawiązuje kontakty w środowisku osób odpowiedzialnych za bezpieczeństwa informacji.

Nie jest też jasne, czy Jermakow przed rozpoczęciem służby w GRU był niezależnym hakerem i czy obszar jego działania wyznaczyła służba.

Analityk do spraw wojskowych Pavel Felgenhauer, twierdzi że pierwsza z hipotez jest prawdopodobna: „Do spraw związanych z cyberprzestrzenią wynajmuje się chłopaków, którzy rozumieją komputery. Znajduje się dobrego hakera, pozyskuje, szkoli i wciela do służby” – mówi.

Kontakt mailowy może wskazywać na to, że GRU tą drogą nawiązuje kontakty w środowisku osób odpowiedzialnych za bezpieczeństwa informacji. Click To Tweet

Dziennikarze próbują zdobywać informacje dotyczące członków hakerskiej Jednostki 26165 GRU między innymi analizując naukowe opracowania lub listy uczestników specjalistycznych konferencji pod kątem nazwisk wymienionych w akcie oskarżenia FBI.

Udało się to w przypadku kpt. Nikolaja Kozaczka o nicku ”kazak”, przypisanym do złośliwego kodu utworzonego przez Fancy Bear – grupę hakerów z GRU znanych pod tą nazwą długo przed publikacją aktu oskarżenia.

Wykryto w ten sposób kilka profili na mediach społecznościowych, które związane są z kolegą Jermakowa – z porucznikiem Alieksiejem Łukaszewem, który miał stać za udaną operacją phishingową wymierzoną w konto mailowe szefa kampanii Hillary Clinton.

Źródło: Associated Press

Fot. Pixabay


W Stanach Zjednoczonych powstanie krajowe centrum cybernetyczne do spraw zarządzania ryzykiem.


Amerykańska Sekretarz ds. Bezpieczeństwa Państwa (Homeland Security Secretary) Kirstjen Nielsen ujawniła, iż amerykańskie władze planują tworzenie krajowego centrum cybernetycznego do spraw zarządzania ryzykiem. Click To Tweet

Wśród celów planowanych w ramach tego centrum działań jest wzmocnienie współpracy sektora państwowego z prywatnym, by bronić Stany Zjednoczone przed atakiem hakerskim.

Rząd planuje rozpocząć współpracę z firmami sektora finansowego, energetycznego oraz z dostawcami usług telekomunikacyjnych i przeprowadzać 90-dniowe oceny podatności tych systemów, by zidentyfikować braki w zabezpieczeniach, opracować plany reagowania i odpowiednie szkolenia oraz ćwiczenia. Działania takie oparte będą o siły i środki, a także budżet Departamentu Bezpieczeństwa Państwa.

Źródło: Reuters

Fot. Pixabay

 

Dwaj najwięksi niemieccy nadawcy publiczni -  ZDF i WDR, zostali zaatakowani przez rosyjską grupę hakerów o nazwie „Sandworm”. Na razie nie wiadomo, jaki był cel ataku, ani czy wykradziono jakieś dane wrażliwe. Przedstawiciele służb bezpieczeństwa twierdzą, że do ataku doszło w czerwcu. ZDF potwierdziło, że zainfekowanych zostało 10 komputerów. WDR nie chce komentować sprawy „ze względów bezpieczeństwa’.

Sandworm jest grupą hakerów, która ma być rzekomo kontrolowana przez rosyjski wywiad wojskowy – GRU. Amerykańscy śledczy twierdzą, że to ta grupa odpowiada za włamanie się do serwerów Partii Demokratycznej w 2016 roku, w czasie amerykańskich wyborów prezydenckich. Grupa pojawiła się w sieci w 2013 roku i – według niemieckiego wywiadu, zaatakowała serwery NATO, kilka zachodnich firm telekomunikacyjnych i ukraińskich dostawców energii.

W tym roku rząd niemiecki przyznał, że jego sieć komputerowa została też zainfekowana oprogramowaniem złośliwym. Za atak odpowiadać ma rosyjska grupa hakerów APT28. Click To Tweet

Niemiecki wywiad (BND) wydał dwa tygodnie temu  ostrzeżenie w stosunku do kluczowych instytucji w kraju, w tym nadawców publicznych i spółek medialnych. W komunikacie znalazła się informacja, że szwajcarskie laboratorium – Spiez Laboratory, które prowadzi badania dotyczące broni chemicznej również było celem ataku grupy Sandworm. Właśnie tam prowadzone były badania mające na celu sprawdzenie, czy do otrucia Siergieja Skripala użyto toksyny Nowiczok.

Rzecznik Spiez Laboratory potwierdził, że pracownicy laboratorium zaatakowani zostali operacją z wykorzystaniem phishingu – w trakcie prowadzonych warsztatów przesłany został do nich zainfekowany dokument. Jednak samo laboratorium nie ucierpiało w ataku hakerskim.

Źródło: Der Spiegel

Fot. Pixabay

 

 

W ubiegłym roku rosyjscy hakerzy włamali się do amerykańskich sieci elektrycznych, co pozwoliło im na inicjowanie  blackoutów - stwierdzili specjaliści Departamentu Bezpieczeństwa Wewnętrznego USA.

Hakerzy występowali pod nickiem Dragonfly lub Energetic Bear. Wykorzystywali konwencjonalne narzędzia, jak maile phishingowe, czy wyłudzenia haseł i uzyskiwali dostęp do korporacyjnych sieci dostawców energii, co pozwoliło im na kradzież uwierzytelnień i na uzyskanie dostępu do sieci energetycznych.

Departament planuje przeprowadzenie serii briefingów poświęconych tej sprawie. Aktualnie poszukuje dowodów na automatyzację rosyjskich ataków. Specjaliści zaangażowani do przeprowadzenia działań sprawdzających nie są pewni, czy operacja była przygotowaniem do kolejnego ataku, na większa skalę.

Źródło: Reuters

Fot. Pixabay