Ako Čínska ľudová (kyber)armáda vyzbrojila svoje jednotky

V roku 2005 americká vláda odhalila sériu kyberútokov na počítačové systémy viacerých svojich ministerstiev. O dva roky sa zopakovali aj vo Veľkej Británii. Operácia nazvaná Titan Rain odštartovala čínsku kyberšpionáž.

Titan Rain bola prvá verejne priznaná kampaň kybernetickej špionáže svojho druhu. Hoci sa útočníkom nepodarilo získať prísne utajované dokumenty, rozsah v akom unikli iné dáta v kombinácii s penetráciou viacerých systémov, bol pre Washington varovaním.

Útoky poukázali aj na neschopnosť americkej strany reagovať na podobný incident. Nemenovaný vládny úradník zasvätený do vyšetrovania upozornil na nedostatok priamych dôkazov a dodal: „Je toto organizovaná kampaň Čínskej ľudovej armády alebo len banda nezávislých hakerov? V tomto momente to nevieme povedať.“

Medzi Spojenými štátmi a Čínou do roku 2015 chýbali zmluvy, ktoré by umožnili pátranie do hĺbky. Jedinou stopou tak zostala len správa Pentagonu, ktorý pred časom varoval pred snahou čínskych vojakov prebrať iniciatívu v oblasti počítačových sietí. Okrem napáchaných škôd sa ešte zistilo, že útoky prebiehali minimálne od roku 2003. Táto dlhoročná operácia vo výsledku vážne narušila vzťahy a dôveru medzi štátmi a odštartovala nové preteky v kyberpriestore.

Približne päť rokov trvajúca akcia však nebola poslednou. Od polovice roku 2009 mala istá čínska armádna jednotka spolupracovať s čínskou hakerskou skupinou prezývanou The Elderwood Gang na niekoľkomesačnej Operácii Aurora. Jej obeťami boli Google, Adobe, Symantec alebo Yahoo, u ktorých Číňania hľadali prístup k zdrojovým kódom ich produktov. V prípade Googlu, útočníci mierili aj na gmailové účty čínskych aktivistov za ľudské práva.

Dvierka do systémov pootvorila dovtedy neznáma zraniteľnosť Internet Exploreru, ktorá umožňovala sťahovanie malvéru z infikovanej stránky. Desiatky kusov škodlivého softvéru, šifrovaná komunikácia a použitie jedného zo serverov obete na zahladenie stôp pri sťahovaní dát ukazovali na súpera z vyššej váhovej kategórie. „Mimo obranného priemyslu sme nikdy predtým nevideli obchodné spoločnosti potýkať sa s takou sofistikovanou formou útoku. Mení to celý proces identifikácie hrozieb,“ zhrnul Dmitri Alperovitch, viceprezident spoločnosti McAfee, ktorá sa na vyšetrovaní podieľala. Celá akcia spôsobila vážne problémy jednak vo vzťahoch medzi Spojenými štátmi a Čínou, ale tiež viedla Google k prehodnoteniu jeho aktivít na Ďalekom východe.

Do roku 2014 prebehlo minimálne ďalších päť veľkých kampaní. Patril k nim aj útok na tri spoločnosti dodávajúce technológie pre systém protiraketovej obrany Izraela, ktorým unikli informácie o raketách Arrow III, bezpilotných lietadlách atď. Ďalším bol útok na spoločnosť Coca-Cola, ktorá chcela odkúpiť čínsku skupinu Huiyuan Juice. Tri dni po ňom ale Američania od obchodu ustúpili.

Analýzou jej operácií sa počas rokov podarilo načrtnúť modus operandi tejto hackerskej skupiny, ktorá bola označená ako Advanced Persistent Threat (APT) číslo 1. Ucelenú správu o nej vydala v roku 2013 kyberbezpečnostná firma Mandiant.

Hoci sa skupina obzvlášť nevymykala bežnému postupu, dokázala ho posunúť o triedu vyššie. Svojim spearphishingovým e-mailom dodávali útočníci dôveryhodnosť tým, že sa vydávali za reálne osoby, pre ktoré zakladali aj reálne kontá na rôznych hostingoch. Text správy sa vyznačoval veľmi kvalitnou angličtinou doplnenou o slang. Typickými prílohami boli archívy (.zip) so súbormi, ktoré sa vydávali za .pdf, no v skutočnosti spustili program WEBC2, ktorý nainštaloval zadné vrátka.

WEBC2 je nástroj zaujímavý z pohľadu rozpoznania útočníka. Charakteristickým znakom bolo to, že tento backdoor nadväzoval spojenie s C2 serverom, ktorý slúži ako prostredník v komunikácii medzi útočníkom a infikovaným počítačom, a od ktorého si následne vyžiadal istú webstránku. V zdrojovom kóde tejto webstránky sa nachádzali špeciálne HTML značky, ktoré backdoor interpretoval ako príkazy, ktoré treba vykonať. Toto špecifikum dalo APT1 zrejme najvýstižnejší názov Comment Crew. Skupina však okrem tohto nástroja a bežne dostupných nástrojov Gh0st RAT a Poison Ivy disponovala aj viac ako 40 „rodinami“ ďalšieho malvéru.

Po infikovaní nasledoval prienik do systému, šírenie po sieti, získavanie právomocí či prístupu do firemnej VPN. Útočníci robili všetko pre to, aby sa dokázali usadiť v napadnutých systémoch čo najdlhšie a mohli sa do nich opakovane prihlasovať. Osobné údaje o obetiach napríklad používali na to, aby ich čo najlepšie napodobnili a nachytali tak ich kolegov. Dôležité súbory sa pred stiahnutím zabalili do .raru, ktorý bol chránený heslom. Nástroje GETMAIL a MAPIGET poslúžili na sťahovanie e-mailov z Outlooku.

Za dva roky sa výskumníkom z Mandiantu podarilo spojiť zhruba tisícku C2 serverov a 850 IP adries s touto skupinou. Drvivá väčšina adries pochádzala zo Šanghaja, kde sa im ich podarilo vystopovať až k adrese Pudong Avenue – k sídlu Jednotky 61398 Čínskej ľudovej armády. Aj iné dôkazy však ukazovali na aktéra z Číny. Analýza protokolu vzdialenej pracovnej plochy, ktorý vyžaduje od klienta okrem iného aj informácie o rozložení klávesnice, prezradila, že používaným jazykom bola zjednodušená čínština. Zaujímavosťou tiež je, že útoky prebiehali len v čase, keď je v Číne bežná pracovná doba. O tom, že ide o „klasické“ zamestnanie, hovorili aj stopy zanechané v kóde nástroja WEBC2, ktorý odkazoval na cestu „work\code\…\mywork“ k súboru na autorovom počítači.

Mandiant zverejnil aj video, ktoré zachytáva útočníka priamo pri práci. Pozrieť sa dá tu: https://www.youtube.com/watch?v=6p7FqSav6Ho.

APT1, Comment Crew, Unit 61398 alebo Byzantine Hades – všetky prezývky odkazujú na tú istú hakerskú skupinu, ktorá je podľa všetkých indícií súčasťou Čínskej ľudovej armády. Vykonala pomerne veľa (viac či menej) úspešných útokov, ktoré neraz mali dohru na politickej scéne. Zrejme najväčším úlovkom bolo, keď sa jej od jednej spoločnosti podarilo v priebehu desiatich mesiacov získať 6,5 terabytov dát. Svoje ciele hakeri hľadali v oblastiach verejnej správy, leteckého priemyslu, vedy, energetiky alebo informačných technológií v anglicky hovoriacich krajinách. Lenže po tom, ako sa v roku 2014 Američanom podarilo vystopovať piatich jej členov a následne ich obviniť z kyberšpionáže, sa zdá, že skupina ukončila svoju činnosť. Odvtedy nie sú známe žiadne útoky, ktoré by niesli znaky typické pre Unit 61398. V hre je však stále možnosť, že sa skupina len pretransformovala a dnes vystupuje pod iným menom s inými cieľmi a nástrojmi.

Prehľad

(VK)