Οι ειδικοί της εταιρείας ασφάλειας υπολογιστών Kaspersky αποκάλυψαν ένα εξελιγμένο δίκτυο ηλεκτρονικής κατασκοπείας με στόχους διπλωματικούς, κυβερνητικούς, ερευνητικούς και βιομηχανικούς σε διάφορες
Η δράση των εγκληματιών του κυβερνοχώρου είχε ως στόχο την απόκτηση εμπιστευτικών πληροφοριών και δεδομένων, που προσφέρουν πρόσβαση σε συστήματα ηλεκτρονικών υπολογιστών, σε προσωπικές φορητές συσκευές και δίκτυα εταιριών, καθώς και τη συλλογή στοιχείων γεωπολιτικού χαρακτήρα. Οι δράστες έδωσαν ιδιαίτερη έμφαση στη Ρωσία, σε δημοκρατίες της πρώην ΕΣΣΔ, σε χώρες της Ανατολικής Ευρώπης και σε ορισμένα κράτη της Κεντρικής Ασίας.
Τον Οκτώβριο του 2012 οι ειδικοί των εργαστηρίων Kaspersky, γνωστής εταιρίας ασφάλειας υπολογιστικών συστημάτων, ξεκίνησαν την έρευνα για μια σειρά από επιθέσεις που σημειώθηκαν σε ηλεκτρονικά δίκτυα διεθνών διπλωματικών αποστολών. Στην πορεία της διερεύνησης των περιστατικών αυτών, οι χειριστές ανακάλυψαν ένα μεγάλο δίκτυο κυβερνοκατασκοπείας. Τα αποτελέσματα των αναλύσεων οδήγησαν στο συμπέρασμα ότι η επιχείρηση «Κόκκινος Οκτώβρης» είχε ξεκινήσει από το 2007 και συνεχίζεται μέχρι σήμερα.
Η μεγαλύτερη κυβερνοπειρατεία παγκοσμίως
«Η έρευνά μας ξεκίνησε όταν λάβαμε κάποια αρχεία από έναν συνεργάτη μας που θέλησε να παραμείνει ανώνυμος, και πολύ σύντομα, καταλάβαμε ότι έχουμε να κάνουμε με ένα από τα μεγαλύτερα δίκτυα κυβερνοκατασκοπείας που είδαμε ποτέ», ανέφερε στη διαδικτυακή πύλη ειδήσεων για ηλεκτρονικές τεχνολογίεςCNews, ο ειδικός των εργαστηρίων Kaspersky, Βιτάλι Καμλιούκ. Όπως τόνισε, ο αριθμός και η ποικιλία των κακόβουλων κωδικών της επιχείρησης αυτής είναι απίστευτα, καθώς περιλαμβάνουν περισσότερα από 1000 μοναδικά αρχεία και 34 διαφορετικούς τύπους κωδικών. Πρόσθεσε δε, ότι σύμφωνα με υπολογισμούς της εταιρίας του, αποκαλύφθηκε ένα μικρό μόνο τμήμα, και το συνολικό εύρος του παράνομου δικτύου είναι στην πραγματικότητα πολύ μεγαλύτερο.
Μέσα σε πέντε χρόνια οι δράστες της επίθεσης «μόλυναν» περίπου τριακόσιους ηλεκτρονικούς υπολογιστές και υπέκλεψαν εκατοντάδες τεραμπάιτς δεδομένων, χρησιμοποιώντας περισσότερες από 60 διαδικτυακές ονομασίες τοποθεσίας και ιδιοκτησίας (domains), ανέφεραν οι αναλυτές των εργαστηρίων. Σύμφωνα με τα στοιχεία τους, τα domains τοποθετούνταν σε ενδιάμεσους παρόχους υπηρεσιών, κυρίως με ρωσικές και γερμανικές διευθύνσεις ΙΡ. Το πού είναι εγκατεστημένος ο βασικός διακομιστής, παραμένει άγνωστο.
Οι ρωσικές λέξεις και όροι που υπάρχουν στους κώδικες του ιού, επιτρέπουν τις εικασίες ότι οι δημιουργοί του είναι ρώσοι προγραμματιστές, ωστόσο, οι τεχνικοί των εργαστηρίων Kaspersky δεν κατάφεραν να προσδιορίσουν την προέλευση και τους σκοπούς των χάκερς.
Στόχος και διεθνείς οργανισμοί
Εκείνους που ενορχήστρωσαν την επίθεση δεν ενδιέφεραν μόνο αξιωματούχοι και διπλωμάτες. Μολύνθηκαν υπολογιστές και σε επιστημονικούς, εμπορικούς και αμυντικούς οργανισμούς, σε εταιρίες ατομικής ενέργειας, πετρελαίου και φυσικού αερίου, καθώς και σε αεροδιαστημικές. Από τα μολυσμένα συστήματα εκλάπησαν πληροφορίες που περιέχονταν σε αρχεία διαφόρων μορφών. Μεταξύ αυτών, οι ειδικοί ανακάλυψαν και έγγραφα που είχαν κρυπτογραφηθεί με τον μυστικό αλγόριθμο Cryptofiler, τον οποίο χρησιμοποιούν πολλές οργανώσεις οι οποίες σχετίζονται με την ΕΕ και το ΝΑΤΟ. Τα εργαστήρια Kaspersky προτίμησαν να μην αποκαλύψουν από ποιούς ακριβώς οργανισμούς υποκλάπηκαν τα δεδομένα, τουλάχιστον μέχρι να ολοκληρωθεί η έρευνα.
Ο ιός μόλυνε κυρίως μέσω του ηλεκτρονικού ταχυδρομείου, και μάλιστα, για καθένα από τα θύματα είχε ετοιμαστεί μια επιστολή πάνω σε θέμα το οποίο ήταν ικανό να προσελκύσει την προσοχή του συγκεκριμένου ιδιοκτήτη λογαριασμού, τόνισε ο Βιτάλι Καμλιούκ στην εφημερίδα Vedomosti. Για παράδειγμα, υπήρχαν ανακοινώσεις που αφορούσαν την πώληση διπλωματικού αυτοκινήτου. Στην επιστολή υπήρχε ένα ειδικό πρόγραμμα Trojan, για την εγκατάσταση του οποίου τα γράμματα περιείχαν του λεγόμενους exploits, δηλαδή κωδικούς ή εντολές που εκμεταλλεύονται τα τρωτά σημεία του Microsoft Office. Τα exploits αυτά έχουν δημιουργηθεί από χάκερς και παλαιότερα είχαν χρησιμοποιηθεί σε διάφορες κυβερνοεπιθέσεις, οι οποίες είχαν ως στόχο τους ακτιβιστές του Θιβέτ, αλλά και τους τομείς άμυνας και ενέργειας αρκετών κρατών της Ασίας.
Συνεχείς κυβερνοεπιθέσεις
Ένα από τα πιο αξιοσημείωτα χαρακτηριστικά που χρησιμοποίησαν οι παράνομοι του κυβερνοχώρου, ήταν ένας ανεξάρτητος κωδικός που εγκαθίσταται στο Adobe Reader και στο Microsoft Office και εξασφαλίζει σε αυτούς που πραγματοποιούν την επίθεση επαναληπτική πρόσβαση στο σύστημα, σε περίπτωση που ο βασικός ιός εντοπίστηκε και απορρίφθηκε, ή συνέβη ανανέωση στην ενημέρωση του συστήματος. Αυτός, επιτρέπει επίσης την κλοπή στοιχείων και από κινητά τηλέφωνα.
Τα εργαστήρια Kaspersky συνεχίζουν την έρευνά τους σε συνεργασία με διεθνείς οργανισμούς, αρχές ασφαλείας και εθνικές υπηρεσίες αντίδρασης για συμβάνταστον τομέα των ηλεκτρονικών υπολογιστών (Computer Emergency Response Teams, CERT).
Τα τελευταία πέντε χρόνια οι κατασκοπευτικές κυβερνοεπιθέσεις, από μεμονωμένες, οι οποίες εκμεταλλεύονται συγκεκριμένες αδυναμίες, εξελίχθηκαν σε συστήματα βιομηχανικής κλίμακας, όπως ανέφερε στην Vedomosti ο εκτελεστικός διευθυντής της Peak Systems, Μαξίμ Εμ. Προκειμένου να αποκτηθεί η πληροφορία, συχνά πλέον δεν απαιτούνται στοχευμένες επιθέσεις. Όπως εξηγεί, οι υπολογιστές που προκαλούν το ενδιαφέρον (για παράδειγμα, στις δημόσιες υπηρεσίες) έχουν μολυνθεί εκ των προτέρων, και η πρόσβαση σε αυτούς πωλείται από άτομα που ελέγχουν ολόκληρο δίκτυο υπολογιστών στα οποία έχουν εισαχθεί κακόβουλα προγράμματα.
Η προστασία από τέτοιες επιθέσεις είναι εφικτή με τη βοήθεια ταυτόχρονης χρήσης τεχνικών μέσων, όπως η εγκατάσταση προγραμμάτων anti-virus (αν αυτός που πραγματοποιεί την επίθεση γνωρίζει το πρόγραμμα anti-virus που χρησιμοποιεί το θύμα του, είναι κάτι που τον βοηθά να παραμείνει απαρατήρητος). Επίσης, τα μέτρα οργανωτικού χαρακτήρα, όπως το να μην ανοίγει κανείς διευθύνσεις και συνημμένα αρχεία από άγνωστο αποστολέα, αλλά και να μην χρησιμοποιεί τα ίδια εξωτερικά μέσα αποθήκευσης στα εσωτερικά και εξωτερικά δίκτυα, αναφέρει ο Καμλιούκ. Όσο περισσότερα επίπεδα άμυνας από κυβερνοεπιθέσεις διαθέτει ένας οργανισμός, τόσο λιγότερες είναι οι πιθανότητες παραβίασης του όλου συστήματος προστασίας του. Πρέπει να εγκαθίστανται εγκαίρως οι ενημερώσεις των προγραμμάτων, να απουσιάζουν τα προγράμματα άγνωστης προέλευσης, να τοποθετούνται προγράμματα anti-virus, και τέλος, οι υπολογιστές που περιέχουν ευαίσθητες πληροφορίες να είναι αποκομμένοι από τους υπολογιστές που είναι συνδεδεμένοι στο ίντερνετ.