Medvede na love nepriateľov Moskvy, I. časť

Medvede na love nepriateľov Moskvy, I. časť

Medvede sú typickými symbolmi Ruska, a preto nečudo, že po nich experti pomenovali dve najnebezpečnejšie ruské hackerské skupiny – Fancy Bear a Cozy Bear. Oba celky si za dobu svojej aktivity pripísali na svoj vrub viacero operácií, no do pamäte sa najviac zapísal ich spoločný útok na americké prezidentské voľby v roku 2016.

Na článok voľne nadväzuje Medvede na love nepriateľov Moskvy, 2. časť.

APT28, Sofacy Group alebo známejšie Fancy Bear je ruská hackerská skupina označovaná ako pokročilá vytrvalá hrozba, ktorá vyvíja svoje nástroje minimálne od roku 2007. Medzi jej top produkty sa radí downloader SOURFACE/CORESHELL a backdoory EVILTOSS a CHOPSTICK, ktoré sú nepretržite vo vývoji a používajú sa už od prvých útokov. Donedávna mali tieto útoky jednu vec spoločnú – terčom sa stali kritici a odporcovia ruskej vlády.

Medzi prvými obeťami týchto hakerov boli novinári a blogeri z celého sveta, ktorí sa zaoberali témami ruskej zahraničnej politiky – špeciálne konfliktom na Ukrajine, pádom lietadla spoločnosti Malaysia Airlines, továrňou na internetových „trollov“ alebo šírením dezinformácií. Je zrejmé, že z pohľadu Kremľa išlo o citlivé témy, ktoré zhoršovali jeho imidž.

Približne od roku 2014 preto hakeri začali systematicky napádať emailové účty novinárov z popredných svetových (The Times, Washington Post, CNN), ale aj lokálnych médií (Novaja Gazeta, Vedomosti), u ktorých hľadali kompromitujúce materiály na ich zdiskreditovanie a zastrašenie.

V prípade reportéra televízie Dožď Pavla Lobkova útočníci zverejnili jeho súkromnú konverzáciu z Facebooku len pár dní po tom, čo sa verejne priznal k nakazeniu HIV. Niektoré správy mali pritom výrazne sexuálny podtón.

Operácie pod falošnou vlajkou

Keď bol Islamský štát v roku 2015 na vrchole svojich síl, paralelne s ním sa častejšie začali objavovať aj správy o kyberútokoch takzvaného CyberCaliphate. Najznámejšími útokmi, za ktorými mala táto skupina údajne napojená na ISIS stáť, boli vyhrážky manželkám niektorých amerických vojakov a útok na francúzsku televíziu TV5Monde. Islamský štát naozaj zastrešuje „združenie“ hakerských skupín. Lenže to sa volá United Cyber Caliphate a s ruským alter egom ho spája len podobný názov.

V prvom prípade sa útok tejto skupiny, ktorá sa vydávala za islamistických teroristov, dotkol minimálne piatich osôb, ktoré svoje zážitky aj medializovali. Vďaka tomu sa záležitosť dostala do rúk investigatívcom z agentúry Associated Press, ktorí vypátrali spojitosť medzi emailovými adresami použitými v týchto útokoch a tými, ktoré boli použité pri iných útokoch skupiny APT28. Počas vyšetrovania boli zaznamenané ďalšie pokusy o odcudzenie emailových účtov. O motivácii útočníkov sa však dá iba polemizovať. Len dve veci totiž spájali obete – boli vydaté za vojakov a ich práca letmo súvisela s vojenstvom (písanie blogov, účasť v spolkoch). Útok mal teda zrejme len odpútať pozornosť od niečoho väčšieho.

Tento nenápadný vstup CyberCaliphatu na scénu o pár mesiacov nahradil útok, ktorý prerušil vysielanie a takmer zničil jednu z najväčších televízií vo Francúzsku. Od 23. januára 2015, keď došlo k prvotnému prieniku, útočníci mapovali sieť a systémy stanice TV5Monde, aby mohli na mieru vyvinúť deštrukčný malvér, ktorý by vyradil k internetu pripojený hardvér potrebný na vysielanie (napr. enkódovacie systémy na prenos vysielania).

Akcia sa začala v jeden aprílový večer, keď 12 kanálov náhle prerušilo vysielanie. V priebehu niekoľkých minút sa malvér rozšíril na ďalšie zariadenia, čím spôsobil výpadok stanice na celú noc. Našťastie pre televíziu, v centrále sa v tom čase ešte nachádzali technici. Jednému z nich sa podarilo identifikovať počítač, z ktorého sa útok riadil a ktorý následne odpojil od internetu. Prvý kanál sa podarilo obnoviť zhruba o piatej hodine ráno nasledujúceho dňa. „Len pár hodín nás delilo od úplného konca stanice,“ zhrnul generálny riaditeľ Yves Bigot. Televízia musela v prvom roku minúť päť miliónov eur na pokrytie škôd a každý ďalší rok zhruba tri milióny na zlepšenie bezpečnosti.

Rusko sa stalo podozrivým po tom, ako kyberbezpečnostná firma FireEye dokázala, že použitá infraštruktúra bola rovnaká ako tá, ktorú využíval Fancy Bear. Stránka CyberCaliphatu, na ktorej útočníci zverejňovali údaje z útoku, mala rovnakú IP adresu a bola prevádzkovaná na rovnakom servery, aký mali k dispozícii ruskí hakeri. Nevedno síce, čo spôsobilo útok, no s najväčšou pravdepodobnosťou išlo o politickú dohru medzi Parížom a Moskvou, medzi ktorými vtedy panovala napätá situácia.

Francúzsko kritizovalo Rusko za anexiu Krymu, čo napokon viedlo k zastaveniu dodávky dvoch vojnových lodí, ktoré pre ruskú flotilu stavali francúzske lodenice. Kremeľ očividne zinscenoval pomstu, ktorú sa snažil skryť pod vlajku Islamského štátu. Teroristi tejto skupiny totiž začiatkom roka 2015 zaútočili na redakciu iného média (časopisu Charlie Hebdo), pri ktorom zabili 12 ľudí. Pokus vytvoriť dojem akejsi série teroristických útokov však nevyšiel.

Špionáž a zasahovanie do volieb

Okrem zastrašovania novinárov a testovania svojich schopností pod cudzím menom má Fancy Bear za sebou aj sériu viac či menej úspešných útokov na politikov, politické strany či vlády. Minimálne od roku 2014, keď sa na Rusko zniesla vlna kritiky za anexiu Krymu, sa jeho terčom stávajú členovia NATO a/alebo EÚ alebo krajiny postsovietskeho priestoru. Najväčšiu skúsenosť s ruskými hakermi má zdá sa Nemecko. Len za posledné štyri roky zaznamenalo štyri útoky, ktoré niesli znaky APT28.

V roku 2015 útočníci mierili na počítače Bundestagu, na ktoré chceli nainštalovať špionážny malvér a zadné vrátka. Podľa riaditeľa tajnej služby BfV (Spolkový úrad na ochranu ústavy) došlo pritom ku krádeži informácií o kritickej infraštruktúre štátu. O rok neskôr sa pokúsili o podobný phishingový útok na vládnu stranu CDU, no neúspešne. Rovnaký výsledok hakerov čakal aj pri snahe kompromitovať servery think-tankov Konrad-Adenauer-Stiftung (spadá pod CDU) a Friedrich-Ebert-Stiftung (SPD) v apríli 2017. Kým prvý útok sa zdá byť izolovaný, zvyšné dva na politické strany a ich think-tanky mali pravdepodobne v pláne ovplyvniť voľby do spolkového snemu v septembri 2017.

Tento vzorec je totiž vidieť aj na príkladoch Francúzska, Holandska a Spojených štátov amerických, ktoré sa pred voľbami tiež potýkali s podobnými incidentmi.

Príklad USA je v tomto ohľade na vrchole pomyselného rebríčka. Tandem Fancy Bear a Cozy Bear začiatkom roka 2016 napadol servery Demokratickej strany a emailové účty jej členov, z ktorých vyťažil cenné dáta a ktoré neskôr prostredníctvom falošnej prezývky Guccifer 2.0 posunul WikiLeaks a médiám na zverejnenie. Len Johnovi Podestovi, poradcovi Hillary Clintonovej, útočníci zverejnili zhruba 50-tisíc emailov. Niektorí odborníci a politici dodnes tvrdia, že za víťazstvom Donalda Trumpa stál práve tento útok.

Ďalšie emaily unikli na internet prezidentskému kandidátovi Emmanuelovi Macronovi a jeho strane En Marche! len dva dni pred druhým kolom volieb. Ich poupravený obsah mal strhnúť hlasy na stranu Marie Le Penovej. To sa však nestalo a Macron vyhral s náskokom 10 miliónov hlasov.

Naopak v Holandsku sa po útoku na ministerstvo všeobecných vecí vo februári 2017 vláda rozhodla, že pre možnú manipuláciu s elektronickým volebným systémom budú všetky hlasy počítané ručne. Tieto a ďalšie útoky na Maďarsko, Poľsko, Ukrajinu či Gruzínsko sú súčasťou dlhodobej Operácie Pawn Storm, ktorá sa sústredí na politické ciele.

Páchateľov usvedčili opakujúce sa IP adresy z použitých riadiacich serverov, využitie rovnakých bezplatných mailových a webových hostingov na rozosielanie phishingových emailov, ktoré v sebe buď ukrývali malvér Sourface (známy aj ako Sofacy), alebo link na podvrhnutú webstránku, z ktorej získavali prihlasovacie údaje.

Techniky, nástroje a prisúdenie

Pre hackerov z Fancy Bear sú špecifické tri nástroje – Sourface (a jeho novšia verzia Coreshell), Chopstick a Eviltoss. Prvý menovaný je takzvaný downloader, ktorý po stiahnutí a nainštalovaní do systému nadviaže spojenie s útočníkovým serverom, od ktorého si vyžiada ďalší malvér. Tým je buď backdoor Eviltoss, alebo Chopstick. Eviltoss umožňuje získať prístup k systémovým súborom a registrom, zaznamenávať stlačenia klávesníc (podobne ako keylogger) alebo spustiť škodlivý kód. Chopstick naopak obsahuje viacero modulov, vďaka ktorým dokáže zhromaždiť informácie o operačnom systéme, nastavení firewallu alebo webového prehliadača, ale aj preposielať útočníkovi dokumenty z počítača obete alebo záznam jej aktivít vo forme screenshotov.

Malvér sa do počítača obete dostane vďaka nepozornosti ľudí, ktorí naletia phishingovým mailom, ktoré ho buď schovávajú v prílohe, alebo naň odkazujú na infikovanej stránke. Práve tento phishing je jednou z charakteristík skupiny. Na rozdiel od jej kolegov z čínskeho APT1, ruské maily sa nevyznačujú kvalitnou angličtinou. V čom však vynikajú, sú vykonštruované dokumenty a správy, ktoré odzrkadľujú aktuálne dianie v politike, čím dodávajú mailom dôveryhodnosť a vážnosť.

Navyše sú odosielané z adries, ktoré sa nápadne podobajú na tie, ktoré používajú medzinárodné organizácie, vlády alebo médiá. Ide napríklad o domény „qov.hu.com“ (maďarská vláda používa „gov.hu“) alebo „login-osce.org“ (OBSE používa „osce.org“).

Sila tohto medveďa však spočíva aj vo využívaní zero-day zraniteľností, ktoré si sám vyhľadáva. Niekedy namiesto infikovaného dokumentu stačí len odkázať na podvrhnutú stránku, na ktorej zraniteľnosť Adobe Flash alebo Javy urobí prácu zaňho.

O pôvode hakerov napovedala správa bezpečnostnej firmy FireEye, podľa ktorej boli nástroje kompilované v ruskojazyčnom vývojovom prostredí a len počas bežného pracovného času v Moskve. Usvedčili ich aj samotné ciele, ktoré mali jednu vec spoločnú – kritizovali ruskú vládu za jej zahraničnú, ale aj domácu politiku. Útok na Demokratickú stranu sa však niektorým z nich stal osudným. V lete 2018 boli dvanásti príslušníci vojenskej spravodajskej služby GRU, ktorá údajne zastrešuje túto skupinu, usvedčení z haknutia emailov počas prezidentských volieb.

So skupinou sa však spája aj zábavná historka. Názov Fancy Bear je odvodený od krycích mien, ktoré Dmitri Alperovitch, kyberbezpečnostný analytik, pripisoval krajinám. Rusi boli medvede, Číňania pandy a Iránci mačiatka. Svoj prívlastok dostala skupina po tom, čo bolo v nástroji Sourface objavené slovíčko „Sofacy.“ Alperovitchovi to pripomenulo pesničku „Fancy“ od speváčky Iggy Azaley a Fancy Bear bol na svete.

Fancy Bear dnes

Skupiny, ktorá sa nebojí vydávať za teroristov, zasahovať do priebehu volieb alebo zastrašovať médiá, sa svet doposiaľ nezbavil. Naopak, za posledné roky dokonca zmenila taktiku a na jej zozname dnes nájdeme pestrú paletu cieľov. Mierila na Svetovú antidopingovú agentúru, ekumenického patriarchu Bartolomeja I. alebo nemecké ministerstvá vnútra a obrany. Ktokoľvek sa postaví Kremľu do cesty, môže padnúť za obeť tomuto medveďovi. Ruská kyberhrozba sa stala strašiakom v medzinárodnej politike a štáty si to uvedomujú. Veľká Británia preto nedávno ohlásila vznik nového kybernetického komanda, ktoré má proti nej bojovať.

Alternatívne názvyAPT28, Fancy Bear, Sofacy Group, Sednit Group, Tsar Team, Pawn Storm
Prisudzovanéruská vojenská spravodajská služba GRU
Trvanie2007 – doteraz
Obetenovinári, krajiny post-sovietskeho priestoru, členovia NATO

(VK)