Medvede na love nepriateľov Moskvy, II. časť

Medvede sú typickými symbolmi Ruska. Preto neprekvapuje, že po nich experti pomenovali dve najnebezpečnejšie ruské hekerské skupiny – Fancy Bear a Cozy Bear. Obe si za čas svojej aktivity pripísali na svoj vrub viacero operácií, no do pamäti sa najviac zapísal ich spoločný útok na americké prezidentské voľby v roku 2016.

Článok voľne nadväzuje na článok Medvede na love nepriateľov Mosky, I. časť.

Zoskupenie Cozy Bear, známe aj ako APT29, The Dukes alebo Office Monkeys, predstavuje mladšieho brata známejšej skupiny Fancy Bear. Rovnako ako ona, aj Cozy Bear má na svojom zozname politické, vojenské či diplomatické ciele – niektoré z nich dokonca v bezprostrednej blízkosti Slovenska. Spájajú sa s ním aj ďalšie zaujímavosti. Napríklad to, že jeho nástroje sú písané vo viacerých jazykoch (Assembler, C, C++, Python) alebo že využíva sieť účtov na Twitteri na komunikáciu medzi malvérom a Command-and-Control serverom. Špionážny softvér tohto medveďa sa túla internetom už desať rokov.

The Dukes a Office Monkeys

Prvý malvér zo série The Dukes objavili experti z Kaspersky Lab v roku 2013. Útočníci zneužívali zraniteľnosť v Adobe Readeri, ktorá dovolila stiahnuť do počítača MiniDuke. Tento downloader a backdoor zároveň je zaujímavý z dvoch dôvodov – bol napísaný v Assembleri (hekeri tento jazyk často nevyužívajú) a mal veľkosť len 20 kilobajtov (bežne má malvér niekoľko megabajtov). Po infikovaní začal prehľadávať správy hekermi nastražených účtov na Twitteri, v ktorých hľadal zašifrovanú URL adresu pre prístup ku Command-and-Control serveru.

MiniDuke sa do počítača obete dostal pomocou podstrčených PDF súborov o ľudských právach, vízach alebo zahraničnej politike, ktoré útočníci rozosielali elektronickou poštou. Za obeť mu padli vlády Českej republiky, Ukrajiny a Rumunska a iné inštitúcie v Maďarsku, Spojených štátoch a Belgicku.

O dva roky neskôr bezpečnostná firma F-Secure vydala správu, v ktorejm zmapovala všetky dovtedy známe nástroje a útoky The Dukes. Okrem iného zistila, že MiniDuke operoval minimálne tri roky pred jeho odhalením.

Najstarším prípadom, ku ktorému sa táto fínska firma dopracovala, však bol PinchDuke, ktorý sa v roku 2008 pokúsil infikovať systémy čečenských separatistov. O rok neskôr už útočil na vlády a think-tanky v Gruzínsku, Turecku, Česku a Poľsku, u ktorých hľadal informácie o politických aktivitách NATO a Washingtonu.

Práve Spojené štáty a Severoatlantická aliancia boli z pohľadu ruskej bezpečnosti najdôležitejšie. V tom čase sa riešil spor o vybudovanie protiraketového štítu, ktorého centrála mala byť v Poľsku a radar v Česku. Ruská strana hneď na začiatku odsúdila tento plán a po protestoch pristúpila v júli 2008 znížila Česku dodávky ropy. Barack Obama však po nástupe do funkcie tento projekt zrušil a aspoň na pár rokov mali vďaka tomu Česi od ruských hekerov pokoj.

V roku 2014 prešli phishingové maily menšou úpravou. V prípade malvéru CozyDuke sa popri PDF dokumentoch začala používať alternatíva v podobe zábavného videa s opicami v oblekoch, ktoré sa hrali na šéfov veľkej korporácie. Video sa šírilo buď v prílohe zabalené v ZIP súbore, alebo naň odkazoval priložený link z Dropboxu.

Kým sa obeť pozerala na bláznivé opice, tento backdoor sa pomaly inštaloval do počítača. Útočníci pomocou neho následne stiahli ďalší malvér MiniDuke alebo nový SeaDuke (napísaný už v programe Pythone). Takto sa snažili infiltrovať do systémov vlád a firiem z východnej Európy, Spojených štátov, Nemecka, Južnej Kórey alebo Uzbekistanu a získať z nich utajované informácie. SeaDuke v sebe mal zabudované aj iné funkcie. Napríklad „sebadeštrukčné tlačítko“ nazvané seppuku, vďaka ktorému sa vedel sám zo systému vymazať. Čo však nedokázal vymazať, je spomienka na video, ktoré dalo skupine výstižnú prezývku Office Monkeys.

Video sa dá pozrieť tu: https://www.youtube.com/watch?v=VRrMu7B1L2I

Tandem menom Grizzly Steppe

Prezidentské voľby v USA medzi Donaldom Trumpom a Hillary Clintonovou boli v roku 2016 zrejme najsledovanejšou zahraničnopolitickou témou na svete. Na jednej strane realitný magnát s proruskými náladami, na druhej ostrieľaná politička, ktorá však neuspela v snahe resetovať vzťahy s Ruskom.

Clintonovej odporúčania pre vtedajšieho prezidenta Obamu, aby Putinovi nevenoval pozornosť a v podstate ho ako politika ignoroval v kombinácii s obvineniami z manipulácie volieb, kritikou za podporu Assadovho režimu v Sýrii a anexiu Krymu vytvorili nepriaznivý základ pre budúce bilaterálne vzťahy medzi Washingtonom a Moskvou, pokiaľ by Clintonová vyhrala. Kandidatúra človeka, ktorý by si na rozdiel od Obamu zakladal na tvrdej reálpolitike sa stala tŕňom v Putinovom oku, a preto musela byť odstránená.

Diskreditácia Hillary Clintonovej a jej strany sa začala v lete 2015, keď sa hekerom z Cozy Bear prvýkrát podarilo preniknúť do jej systémov. Dopomohla k tomu phishingová kampaň, vďaka ktorej sa počítače strany nainfikovali malvérom SeaDuke a neznámym backdoorom. Tento backdoor je priam absurdný svojou jednoduchosťou, pretože sa zmestil do jedného riadku kódu, ktorý po spustení v príkazovom riadku nadviazal spojenie s riadiacim serverom útočníkov, od ktorého si vyžiadal ďalšie moduly na stiahnutie.

Väčšou neznámou v počiatkoch tohto heku je však FBI a samotná Demokratická strana. FBI mala byť informovaná o napadnutí serverov strany už v lete 2015 holandskou tajnou službou AIVD. Holanďania vraj útok zaznamenali na riadiacich serveroch Cozy Bear, ku ktorým mali od roku 2014 prístup a ktoré odvtedy monitorovali. V septembri 2015 mal túto informáciu posunúť technikom z Demokratickej strany špeciálny agent Adrian Hawkins. Technik, ktorého kontaktoval, mu však neveril. Dlhých päť mesiacov medzi sebou títo dvaja komunikovali, až kým sa v januári 2016 nestretli a nepresvedčili jeden druhého o svojej pravde. V tom čase však boli emaily a iné dokumenty už dávno na ceste do rúk Rusov.

Len čo sa v strane prevalila informácia o prvom útoku, na jar 2016 už mali útočníci nachystaný ďalší – tentoraz ho mali na svedomí hekeri z Fancy Bear.

19. marca 2016 prišiel vedúcemu Clintonovej kampane Johnovi Podestovi mail od Gmailu, ktorý ho upozornil na možnú kompromitáciu jeho emailového účtu. Podvrhnutý mail od neho žiadal okamžitú zmenu hesla. Nanešťastie, Podestov účet vtedy spravoval jeho asistent, ktorý kontaktoval kyberbezpečnostného poradcu strany. Ten mu vzápätí odpísal, že mail sa zdá byť „legitímny“. Čo však naozaj myslel, ale zle napísal, bolo „nelegitímny.“ Bol to síce malý preklep pre pracovníka, ale veľká škoda pre celú stranu. Útočníci získali heslo a prístup k zhruba 50-tisícom mailov z Podestovho účtu. V nasledujúcich mesiacoch prišli podobné emaily aj iným ľuďom, ktorí pomáhali s kampaňou.

Vyvstala otázka, či Demokratická strana mohla urobiť pre svoju záchranu viac. Strana sa spočiatku bránila tým, že FBI jej neposkytla presné informácie o povahe a rozsahu útoku. Napriek tomu si však v apríli najala na konzultácie firmu CrowdStrike. Podpredsedníčka kampane Donna Brazilová neskôr vyhlásila, že odkedy boli prvýkrát v strane upozornení na útok, nebrali túto skutočnosť na ľahkú váhu a podnikali potrebné kroky – zmenili sa systémy a procedúry. Čo tým však myslela, ťažko povedať. No je isté, že k tomu došlo neskoro.

Od júna do augusta boli dokumenty, emaily a ich prílohy priebežne zverejňované na portáloch WikiLeaks a DCleaks. Média na ne nasmeroval anonym Guccifer 2.0, ktorý ich ako prvý zverejnil na svojom blogu. V rozhovore pre Motherboard neskôr tento pseudonym o sebe tvrdil, že za útokom stál on sám a že pochádza z Rumunska a nemá rád Rusko. Tiež priznal, že spojenie so servermi stratil 12. júna, keď technici reštartovali systémy. Jedna vec mu však v rozhovore unikla – keď došlo na komunikáciu v rumunčine, vysvitlo, že tento jazyk neovláda až tak dobre.

Hoci sa ruské hekerské skupiny vydávali za iné osoby už v minulosti, v tomto prípade sa prvýkrát snažili strhnúť mediálnu pozornosť v takom rozsahu na ich vykonštruované alter ego. Na jednej strane rozhovory, na druhej vlastný blog, na ktorom Guccifer 2.0 publikoval svoje články o sebe a priebehu vyšetrovania až do januára 2017. To všetko malo dodávať pseudonymu na dôveryhodnosti.

Experti však našli viacero indícií, ktoré spájali túto fiktívnu osobu s ruskou dezinformačnou kampaňou:

• o aktivite Guccifera 2.0 pred voľbami nie je nič známe a prvýkrát dal o sebe vedieť až po strate kontaktu so serverom;
• meno prevzal od rumunského hekera Guccifera, pravým menom Marcel Lazar Lehel, ktorý si odpykáva trest za kyberútoky na rumunské a americké politické elity;
• metadáta z dokumentov odhalili ruskojazyčné nastavenie programu, v ktorom boli upravované;
• v správach sa namiesto klasického smajlíka „:)“ objavovala len zátvorka „)“ – typická pre Rusov pre ich rozloženie klávesnice.

Skupiny neskôr usvedčili ich nástroje, ktoré analyzovali firmy Crowdstrike, Fidelis Cybersecurity a Mandiant. Výsledkom bolo, že vzorky malvérov z útoku na Demokratickú stranu sa zhodovali alebo prinajmenšom podobali tým, ktoré v minulosti používali APT28 a APT29.

APT28 alebo Fancy Bear je už dlhé roky považovaný za jednotku, respektíve jednotky ruského vojenského spravodajstva GRU. Bohužiaľ, ani takzvaná Muellerova obžaloba 12 agentov GRU z roku 2018 nepoodhalila, na základe čoho sa to tvrdí. Spomínajú sa len konkrétne fakty, ako sa títo agenti dostali do serverov Demokratickej strany, ako sa vydávali za Guccifera 2.0 alebo ako došlo k zverejneniu dokumentov. Jediným verejne dostupným vodítkom tak aj naďalej ostáva blog Dmitriho Alperovitcha, ktorý spája túto skupinu so spravodajstvom na základe ich podobných strategických záujmov.

Čo sa týka APT29, dôkazy o napojení na ruskú zahraničnú spravodajskú službu SVR sú presvedčivejšie. Keď holandská tajná služba AIVD získala prístup k riadiacim serverom Cozy Bear, dokázala vystopovať ich lokalitu až k univerzitnej budove blízko Červeného námestia. Cez tento server sa mala napojiť na monitorovacie kamery v budove a sledovať každého návštevníka. Z dostupných záberov potom vedela identifikovať niektorých agentov SVR. Tí však doteraz neboli obvinení.

V nadväznosti na ich prezývky „medvede“, americký vládny CERT tím vo svojich správach pomenoval spojenie týchto skupín Grizzly Stepp.

Ticho pred búrkou?

Posledný zaznamenaný útok, ktorý bol prisúdený skupine Cozy Bear, sa odohral v roku 2017 a zasiahol viacero vládnych aj mimovládnych subjektov v Nórsku. Opäť išlo o spear-phishingovú kampaň a snahu preniknúť do emailov.

Hoci sa očakávalo, že sa hekeri zapoja aj do ďalších útokov na voľby v západných krajinách, v roku 2018 zatiaľ žiadna takáto aktivita nebola odhalená. Nie je to však nič netypické. V minulosti už Rusi dokázali, že vedia úspešne operovať aj bez povšimnutia. S nedávnou medializáciou útoku na slovenské ministerstvo zahraničných vecí sa však ponúka otázka, či za ním nestál práve tento páchateľ.

V každom prípade, štáty sa aj naďalej musia mať na pozore pred týmto medveďom, pretože nikto nevie, či tento zimný spánok nie je len príprava na niečo väčšie.

(VK)