Da li će se desiti novi Vikiliks: Potraga za „crvenim oktobrom“

Ova digitalna podmornica vreba već pet godina, „pecajući“ povjerljive informacije, lovci na viruse su se dali u potragu
56 pregleda 0 komentar(a)
Ažurirano: 28.01.2013. 07:57h

Lovci na viruse sjede u svom sjedištu u jednoj običnoj poslovnoj zgradi na sjeverozapadu Moskve. Vitali Kamljuk, 28-godišnji Bjelorus sa gelom u kosi i sjajnom crnom kravatom, sjedi ispred zida prekrivenog monitorima koji prikazuju mapu svijeta. Vodi raspravu sa blijedom kompjuterskom ekspertkinjom i muškarcem koji sa svojom dugom kosom i bujnom kozjom bradicom liči na štrebera.

Ovo troje lovaca na viruse, dio specijalne jedinice ruske kompjuterske firme „Kasperski“, tragaju za „crvenim oktobrom“. To je ime koje su dali novootkrivenom špijunskom programu, inspirisani gotovo bešumnom podmornicom u istoimenom romanu Toma Klansija.

Ovaj virus je zarazio najmanje 350 ministarstava, ambasada i istraživačkih centara širom svijeta, prije svega u republikama bivšeg SSSR-a. Napadači su bili „posebno zainteresovani za informacije od geopolitičkog značaja“, rekao je za „Špigl“ analitičar Kamljuk.

Jedna od meta bila je i ruska ambasada u Sjedinjenim Državama. Desetine hiljada dokumenata, među kojima su sigurno i povjerljivi izvještaji namijenjeni ministarstvu inostranih poslova u Moskvi, pale su u ruke sajber-špijuna. Postoji mogućnost da je ukupno ukradeno nekoliko terabajta podataka, sadržaji koji bi mogli imati jednako pogubne posljedice kao što su imale depeše koje je plasirao Vikiliks.

Ova digitalna podmornica vreba već pet godina, „pecajući“ povjerljive informacije, a postoji mogućnost da neke od žrtava još nijesu primijetile ovog kradljivca podataka.

„Nikada nismo vidjeli ovako hirurški precizno odrađen napad“, kaže Kamljuk. Od kada je „Kasperski“ objavio vijest o ovoj špijunskoj mreži, kontrolni serveri napadača se postepeno gase. „Neprijatelj uništava dokaz“, upozorava Kamljuk.

Spletkarenje

„Crveni oktobar“ je dio grupe novih špijunskih programa koji su skupi i složeni, ali ne donose gotovo nikakvu finansijsku dobit. Osmišljeni su da kradu političke informacije, a ne podatke iz banaka. Vjeruje se da iza ovih programa stoje vladine obavještajne agencije.

Osnivač kompanije Jevgenij Kasperski, diplomac KGB-ovog univerziteta, usavršava se za novu generaciju vladinih „trojanaca“. Njegova kompanija je 2010. analizirala virus „staksnet“, koji je zarazio kompjutere u Iranu, čime je zadao veliki udarac nuklearnom programu Islamske Republike. Ovi Rusi su prošle godine otkrili „flejm” i „džeus“, dva destruktivna kompjuterska crva koji su uglavnom bili aktivni na Bliskom istoku. Poput „staksneta“, spekuliše se da iza ovog programa stoji američka ili izraelska vlada.

„Crveni oktobar“, međutim, ima drugačiji potpis. U njegovom kodu se stalno pojavljuje ruski žargon, uključujući riječi poput „zakladka“ (buba) i „proga“ (program). Sergej Nikitin iz Grupi-IB, firme za obezbjeđenje sa sjedištem u Moskvi, vjeruje da su mnogi autori radili na programu, ali da nisu bili u kontaktu jedni s drugima. Stil programiranja pojedinačnih modula, kaže Nikitin, nije dosljedan, i varira od sofisticiranih do prostih modula. Smatra da je ovaj program vjerovatno naručila „obavještajna služba koja je angažovala programere putem andergraund foruma u ruskoj hakerskoj zajednici“.

Postoji veliki broj nezavisnih sajber ratnika spremnih da prodaju svoje usluge, prije svega u Rusiji. Premda ova zemlja nudi dobre mogućnosti tehničkog obučavanja, plata je u vladinim istraživačkim institucijama često jadna - što tjera ove stručnjake da potraže drugi izvor prihoda. Rusko ministarstvo unutrašnjih poslova procjenjuje da Rusi čine oko 30 odsto svih pojedinaca uključenih u sajber kriminal širom svijeta.

Podržavaoci „crvenog oktobra“, s druge strane, mogli bi biti u bilo kojoj drugoj državi. Prvobitno se sumnjalo na Kinu, jer tamo do sada nije otkrivena ni jedna žrtva. Štaviše, kineski hakeri su prethodno koristili djelove ovog programa kako bi špijunirali kompjutere tibetanskih aktivista. Ali to bi mogao biti lažan trag, možda čak i namjerno ostavljen.

"Pecanje“

Jasno je, međutim, da je „crveni oktobar“ namjenski ubačen u kompjutere nekoliko odabranih primalaca, koristeći metod nazvan „ciljano pecanje“ kako ne bi privukli veliku pažnju. Poruke u kojima se ovaj virus krio bile su spravljene po mjeri primalaca. U jednom slučaju, na primjer, primalac je dobio lažni i-mejl sa naslovom „diplomatski automobili na prodaju“.

Ovaj program troši malo energije pokušavajući da se infiltrira u spoljne kompjutere. Njegova genijalnost leži u takozvanoj „eksfiltraciji“, ili diskretnom uklanjanju kvarova.

„'Crveni oktobar' je fantastičan“, kaže Kostin Raiu, jedva skrivajući svoje divljenje

"'Crveni oktobar' je fantastičan“, kaže Kostin Raiu, jedva skrivajući svoje divljenje. „Napadači su napisali oko 1.000 različitih modula kako bi ukrali podatke“.

Raiu, muškarac u srednjim tridesetim okruglog lica, iz svoje kancelarije u Bukureštu upravlja istraživačkim timom firme „Kasperski“ koji broji 34 radnika raštrkana po cijelom svijetu.

„Izvor“ mu je prenio virus u oktobru 2012. Fajl mu se činio trivijalnim. Raiu je odlučio da posmatra ovog uljeza.

Kada je namjerno zarazio posebne laboratorijske kompjutere, počeo je da uviđa efekte virusa. Softver se samostalno aktivirao, skenirao kompletnu mrežu iznutra, napravio popis svih umreženih uređaja, zatim ih skladištio i šifrovao informaciju. Ovaj poslušni uljez je, takođe, dodijelio broj svakom zaraženom kompjuteru.

Nakon što je njegova istraga okončana, program kontaktira određen broj kontrolnih kompjutera na internetu. Zavisno od vrste hardvera na koji virus naiđe, on skida potrebne mehanizme za dešifrovanje: kako bi tragao za šiframa, adresama, kalendarima, porukama, tabelama i listama poziva. Jedan od modula koristi se za čitanje informacija skladištenih na ajfonovima, dok drugi kopira sadržaj sa USB-a, čak i kada njegovi vlasnici vjeruju da su obrisali sadržaj.

Skidanje slojeva

Virus takođe traga za povjerljivim dokumentima koji su osigurani šifrovanim softverom pod nazivom „Esid kriptofajler“, koji takođe koriste Evropska unija i NATO. Da bi dešifrovao ove fajlove, on pamti ulaske putem tastature koristeći takozvanu „šifru za logovanje“.

Raiu u ovom trenutku posmatra postepeno gašenje komandnih servera. Ali to jedino znači da se „crveni oktobar“ nalazi u stadijumu hibernacije

Zatim kompresuje podatke u paketiće koje prebacuje na oko 60 komandnih servera. Ovi serveri, zauzvrat, komuniciraju sa „matičnim brodovima“, sistemom mijenjanja kompjutera (proksija) koji prosljeđuje podatke skrivenim štetočinama. „Cijela stvar je osmišljena poput slojeva glavice luka, kaže Raiu.

Raiu je postavio zamku kako bi utvrdio šta je bila meta napada. Neke veb adrese koje je virus kontaktirao nisu odgovarale. Raiu je jednostavno registrovao istekle Internet adrese na svoje ime i preusmjerio prenos podataka na svoju laboratoriju. Ova metoda je nazvana „slivnik“, jer omogućava korisniku da zađe duboko u skriveni sistem tunela.

Za nekoliko sedmica on je prikupio 55.000 istraga iz kompjutera zaraženih virusom. „Mogli smo samo da pristupimo šest od 60 komandnih servera“, kaže Raiu. „Drugim riječima, samo smo mogli da vidimo oko 10 odsto mreže. Postoji mogućnost da je broj žrtava daleko veći“.

Raiu u ovom trenutku posmatra postepeno gašenje komandnih servera. Ali to jedino znači da se „crveni oktobar“ nalazi u stadijumu hibernacije. Za sobom je ostavio tajne „priključke“, koji se mogu ponovo aktivirati u bilo kom trenutku, iako je virus, kako se vjeruje, izbrisan, upozorio je Igor Kotenko, profesor informacionih tehnologija na Univerzitetu Sankt Peterburg.

Zaštita

Industrija antivirusa je ponižena. Kako je ovaj crv mogao proći neprimijećeno čak pet godina? Andreas Marks, direktor AV-testa u njemačkom gradu Magdeburg, objašnjava ovaj problem: „'Crveni oktobar' je namjenski zarazio pojedinačne kompjutere, dok su se antivirus softveri uglavnom fokusirali na široko rasprostranjene crve“.

Poplava opasnih softvera širi se neviđenom brzinom, upozorava Marks. „Samo ove godine dodato je 50 miliona varijanti“. To znači dvije varijante u sekundi. Marks savjetuje korisnike da takođe koriste sistem zaštite poput splojeva glavice luka, koji se sastoji od automatskog ažuriranja svih programa, zaštite od virusa, fajervola i „bijele liste“ pouzdanih kompjutera.

„Antivirus programi mogu navesti ljude da misle da su bezbjedni a nisu“, kaže Fred Koen, savjetnik za bezbjednost u uredničkom odboru „Žurnala za kompjutersku virologiju“. „Mnogi korisnici skidaju svakakve stvari, jer vjeruju da su zaštićeni“.

Koen je jedan od pionira u IT zajednici. Osmislio je termin „kompjuterski virus“, nakon što je testirao kompjuterske crve na Univerzitetu Južne Kalifornije.

To je bilo 1983. Trideset godina iskustva naučile su Koena da za svaku vrstu virtuelne zaštite postoji virus koji može da je zaobiđe. Stoga, kada je u pitanju zaštita od virusa, i dalje ima najviše povjerenja u samog sebe: svoj skepticizam i oprez.

Galerija

Bonus video: