Rosja w tle. Atak na komputery polskich, unijnych i natowskich dyplomatów [ANALIZA]

Wroga kampania została więc dość szybko zidentyfikowana. CERT Polska wraz ze Służbą Kontrwywiadu Wojskowego opublikowały niedawno informacje dotyczące dość tej zaawansowanej kampanii szpiegowskiej wymierzonej w polskich i unijnych dyplomatów oraz osoby powiązane z NATO.

To dobra wiadomość. Raporty zawierają dane pozwalające zidentyfikować pliki wykorzystywane do przeprowadzenia ataków. Z czego niewątpliwie skorzystali już producenci programów antywirusowych i innych narzędzi automatycznie wykrywających złośliwe oprogramowanie.

Cykl „SOBOTA PRAWDĘ CI POWIE” to propozycja OKO.press na pierwszy dzień weekendu. Znajdziecie tu fact-checkingi (z OKO-wym fałszometrem) zarówno z polityki polskiej, jak i ze świata, bo nie tylko u nas politycy i polityczki kłamią, kręcą, konfabulują. Cofniemy się też w przeszłość, bo kłamstwo towarzyszyło całym dziejom. Rozbrajamy mity i popularne złudzenia krążące po sieci i ludzkich umysłach. I piszemy o błędach poznawczych, które sprawiają, że jesteśmy bezbronni wobec kłamstw. Tylko czy naprawdę jesteśmy? Nad tym też się zastanowimy.

Anatomia elektronicznej kampanii szpiegowskiej

Kampania opierała się na… przekonywaniu osób atakowanych do ściągnięcia i uruchomienia złośliwego oprogramowania. W tym celu były do nich wysyłane e-maile udające wiadomości od dyplomaty z innego kraju lub osoby pracującej w innej instytucji. Zawierały one na przykład pytanie o możliwość zorganizowania spotkania z ambasadorem (jeśli atakowana była osoba pracująca w ambasadzie) oraz link do "kalendarza".

Link faktycznie prowadził do strony (przygotowanej tak, by wyglądała na stronę instytucji, za której pracownika podawali się w atakujący), z której pobierany był na komputer osoby zaatakowanej złośliwy plik. To jednak nadal nie wystarczało do infekcji. Osoba atakowana musiała jeszcze otworzyć pobierany plik (ZIP lub ISO) i uruchomić zawarty w nim program.

Czemu jednak ktoś miałby kliknąć i uruchomić program, skoro oczekiwał "kalendarza"?

Ukryte .exe

Atakujący wykorzystywali różne sztuczki, by ukryć fakt, że kliknięcie w plik uruchomi złośliwy kod. Od dość banalnych (jak użycie w nazwie pliku dużej liczby spacji, tak, by rozszerzenie .exe było trudniejsze do zauważenia) po bardziej nieoczekiwane (jak zmiana kierunku pisma w nazwie pliku tak, by wyświetlony był np. jako november_schedulexe.pdf, mimo że faktycznie .exe znajduje się na końcu jego nazwy).

Narzędzia użyte w ataku nie uzyskiwały też dostępu na poziomie administratora systemu. Wcale jednak nie musiały. Działając z poziomu uprawnień zwykłego użytkownika miały dostęp zarówno do wszelkich plików tego użytkownika, jak i do Internetu. Mogły więc spokojnie wysyłać pliki zaatakowanej osoby na serwery kontrolowane przez osoby odpowiedzialne za atak.

Pomijam tu rzecz jasna mnóstwo szczegółów technicznych, metod uniknięcia wykrycia przez odpowiednie narzędzia, i dość ciekawych technik mających utrudnić ustalenie, co złośliwe oprogramowanie użyte w tej kampanii faktycznie robi.

Dobór narzędzi

Kampania nie wykorzystywała żadnych niezałatanych podatności oprogramowania, polegając wyłącznie na (nieświadomej) współpracy osoby atakowanej. Daleko więc wykorzystanym w niej narzędziom do systemów typu Pegasus, które nie wymagają często żadnej interakcji w celu skutecznego przejęcia pełnej kontroli nad zaatakowanym urządzeniem. Narzędzia użyte w ataku nie uzyskiwały też dostępu na poziomie administratora systemu.

Ten na pierwszy rzut oka niespecjalnie wysoki poziom zaawansowania mógł być celowym wyborem. Grupa, która zdaniem autorek i autorów raportu stoi za tymi atakami — APT29, znana też czasem jako Cozy Bear ("Przytulny Niedźwiedź") i pod paroma innymi nazwami, przypisanymi przez różne organizacje zajmujące się bezpieczeństwem informacji — ma niewątpliwie wystarczająco dużo doświadczenia, by przeprowadzić bardziej zaawansowane kampanie.

Znajdowanie podatności w systemie operacyjnym i opracowywanie sposobów ich wykorzystania to jednak zegarmistrzowska — a więc bardzo kosztowna! — robota. Przy planowaniu operacji typu opisanej przez CERT i SKW kampanii trzeba brać pod uwagę, że może zostać zauważona, a narzędzia przeanalizowane.

Wykorzystywanie nieznanych (a więc i nie załatanych) podatności w systemie operacyjnym w celu uzyskania dostępu na poziomie administratora bez polegania na "współpracy" użytkownika oznacza więc, że te podatności mogą być wykryte i załatane — a wtedy całą pracę i koszt ich znalezienia i opracowania atakujący muszą spisać na straty.

Tak stało się przecież z Pegasusem. Gdy ataki prowadzone za jego pomocą zostały wykryte, a samo narzędzie przeanalizowane, pozwoliło to ustalić, z jakich luk bezpieczeństwa korzysta. Luki te zostały następnie szybko załatane.

Dla atakujących takie ryzyko ma sens, jeśli atakowana jest stosunkowo niewielka grupa ważnych (z jakiegokolwiek powodu) osób. Nie ma jednak sensu ryzykować utraty bardzo cennych zasobów (w postaci możliwości wykorzystania nieznanych luk bezpieczeństwa), jeśli atakowani są dyplomaci i urzędnicy średniego szczebla.

Tym bardziej, że wcale nie tak trudno nabrać niespodziewającą się ataku osobę i przekonać do pobrania i kliknięcia w plik. A działając z poziomu uprawnień zwykłego użytkownika złośliwe oprogramowanie użyte w kampanii ma zupełnie wystarczający dostęp zarówno do wszelkich plików tego użytkownika, jak i do Internetu. Może więc spokojnie wysyłać pliki zaatakowanej osoby na serwery kontrolowane przez osoby odpowiedzialne za atak.

Procedury i szkolenia

Naiwnie można by stwierdzić, że najlepszą metodą obrony przed tą i podobnymi kampaniami jest… nie klikanie w podejrzane linki i nie uruchamianie podejrzanego oprogramowania. To z jednej strony banał, z drugiej jednak — łatwiej powiedzieć, niż zrobić! Trudno dziś wyobrazić sobie jakąkolwiek działalność, w której nie musielibyśmy klikać w linki i otwierać pobranych z Internetu plików. Skąd urzędnik czy dyplomata ma wiedzieć, że dany link czy plik jest podejrzany?

Niezbędne są regularne szkolenia. Techniki atakujących wciąż się zmieniają, a zatem i obrona przed nimi musi ewoluować. Wymaga to jednak dużych nakładów czasu i środków. Oraz woli politycznej: szkolenia z bezpieczeństwa cyfrowego często traktowane są po macoszemu, zarówno przez decydentów podejmujących (lub nie!) decyzje dotyczące ich przeprowadzenia, jak i przez same osoby szkolone.

Dlatego ważne jest też nazywanie rzeczy po imieniu: opisana przez CERT i SKW kampania to nie atak jakichś bliżej nieokreślonych "hakerów", a cyfrowa kampania szpiegowska zorganizowana i przeprowadzona na polecenie i przy wsparciu Kremla. Takie postawienie sprawy jednoznacznie określa, z jaką powagą należy ją traktować, i kto za nią stoi.

Dodajmy, że osoby postawione najwyżej w hierarchii danej instytucji na ogół najbardziej wymagają regularnych szkoleń, a jednocześnie najsilniej protestują przeciwko "marnowaniu" na nie czasu. Często dochodzi jeszcze pycha pomieszana z nieufnością wobec systemów czy procedur bezpieczeństwa — i efekt w postaci afery Dworczyka gotowy.

Co z tego, że wykryjemy i opiszemy kampanie szpiegowskie, oraz przeszkolimy i zabezpieczymy rzesze urzędniczek i dyplomatów, jeśli rosyjscy cyberszpiedzy mogą sobie ot-tak pobrać poufne dane z nieszyfrowanych maili na prywatnej, horrendalnie źle zabezpieczonej skrzynce ówczesnego szefa kancelarii premiera?