Digitálni detektívi rozlúštili 20 rokov starú záhadu.

0

Starý server pomohol odhaliť, že páchateľ jedného z prvých mediálne známych kybernetických útokov je stále aktívny.

V roku 1996 sa viacero amerických inštitúcii (univerzít, laboratórií) spolupracujúcich s armádou stalo obeťou rozsiahleho útoku, ktorého cieľom bolo získať čo najviac utajovaných informácii. V bezpečnostnej komunite, ale aj v médiách sa pre túto kampaň vžilo označenie Moonlight Maze. Na základe výberu cieľov bolo od začiatku americkým vyšetrovateľom jasné, že majú s najväčšou pravdepodobnosťou dočinenia so štátom podporovaným páchateľom.

Rozsah a prevedenie útoku boli dovtedy nevídané, útočníci použili veľké množstvo nainfikovaných proxy serverov, cez ktoré sa snažili získať prístup ďalej či získať pre nich zaujímavé dáta. A práve jedno z týchto zariadení, ktoré použili proti vôli ich majiteľov, sa dostalo do rúk odborníka na históriu kybernetických útokov Thomasa Rida. Spojil sa s ním vtedajší administrátor jedného z napadnutých serverov a oznámil mu, že server aj záznamy z neho stále má (navyše uložené na magnetooptických páskach, ktoré vydržia naozaj dlho). Je to o to výnimočnejšie, že všetky ostatné použiteľné originálne záznamy (serverové a diagnostické informácie) boli zničené po skončení vyšetrovania, ktoré viedla FBI. Počítač HP9000 sa tak stal neoceniteľným zdrojom dát.  

Údaje z neho nakoniec odhalil dve veci, ktoré prekvapili bezpečnostnú komunitu. Prvou bolo, že jeden zo softvérových nástrojov využívajúcich zraniteľnosť v operačnom systéme Linux, ktorý v tom čase páchatelia použili a ktorého stopy sú v diagnostických záznamoch, je stále používaný a aj po 20 rokoch funguje. To podľa výskumníkov ukazuje na prehnanú dôveru v Linux a lenivosť vývojárov jednotlivých distribúcií opravovať chyby.

Najšokujúcejšie však bolo zistenie, že existuje prepojenie (využívanie rovnakých častí kódu, softvérových nástrojov či spôsobov ako preniknúť do cieľového počítača) medzi páchateľom, ktorý rozpútal Moonlight Maze a dnešnou skupinou Turla, ktorú s najväčšou pravdepodobnosťou podporuje Rusko. Známou sa stala hlavne zneužívaním satelitov na svoje ciele. Doteraz sa jej vznik datoval do rokov 2004 až 2006. Najnovšie poznatky tímu, ktorý sa venoval Moonlight Maze, však ukazujú, že môže byť podstatne staršia. Ak naozaj stála aj za Moonlight Maze, znamenalo by to, že v kyberpriestore pôsobí už vyše dvadsať rokov, čím by sa vyrovnala Equation Group (pravdepodobne americká NSA), ktorá je jedinou skupinou, o ktorej je isté, že pôsobila už v roku 1996.

(JF)

O autorovi

Pridaj komentár