Το κυνήγι του "Κόκκινου Οκτώβρη"

Συνταξη / Επιμελεια: Θεόδωρος Χατζηκώστας | 18 Ιανουαριου 2013
Posted in λογισμικό - Διαδίκτυο

Ο κρυφός κυβερνοπόλεμος καλά κρατεί, και με την αποκάλυψη του τελευταίου ιού τα πράγματα δείχνουν πως κανείς (σύμμαχος ή εχθρός) δεν είναι πλέον επαρκώς προστατευμένος. Διαβάστε παρακάτω την δομή και τα επιτεύγματα των τελευταίων απίστευτα πολύπλοκων ιών/κυβερνοόπλων.

Μερικοί από τους ποιο διάσημους ιούς κυβερνοπολέμου

Πριν αναφερθούμε στον πρόσφατα ανακαλυφθέντα ιό, θα κάνουμε ένα μίνι flashback σε μερικούς από τους ποιο διάσημους ιούς που πιθανότατα δημιουργήθηκαν από κυβερνήσεις. To 2010 είχαμε την γνωστή και θορυβώδη υπόθεση του Stuxnet, ενός αρκετά πολύπλοκου αλλά και εξειδικευμένου ιού, ο οποίος επικεντρώνονταν στο να επηρεάζει βιομηχανικές συσκευές με απώτερο σκοπό να διενεργήσει σαμποτάζ στους φυγοκεντρητές του Ιρανικού πυρηνικού προγράμματος. Αν και ποτέ δεν μάθαμε το ποια χώρα ήταν υπεύθυνη για την δημιουργία του, οι υποψίες πέφτουν αναπόφευκτα στις κυβερνήσεις του Ισραήλ και των ΗΠΑ.

Το 2011 ανακαλύφθηκε ο Duqu, ο οποίος ήταν ένας "modular" ιός που εκμεταλλεύονταν ένα κενό ασφάλειας του Office με αποτέλεσμα να μπορεί να εκτελείται στον υπολογιστή και να κλέβει δεδομένα, ψηφιακές υπογραφές, πληκτρολογήσεις και κυρίως, να μπορεί να επικοινωνεί με τον έξω κόσμο για περεταίρω οδηγίες. Ο ιός καθ' αυτός, έσβηνε τον εαυτό του μετά από 36 ημέρες προκειμένου να καταστεί δύσκολος ο εντοπισμός του. Και πάλι, το Ιρανικό πυρηνικό πρόγραμμα ήταν αυτό που είχε  στοχεφθεί.

Φτάνουμε στο 2012, όπου και ανακαλύπτεται ο Flame, ένας  απίστευτα πολύπλοκος ιός ο οποίος ήταν κατασκευασμένος με αποκλειστικό στόχο την κλοπή κάθε είδους δεδομένων! Μπορούσε να υποκλέψει ήχο αν ο υπολογιστής διέθετε μικρόφωνο, να εμφανίσει την οθόνη του υπολογιστή σε τρίτους ή να πάρει screenshots, να υποκλέψει αρχεία ή ακόμη και να καταγράψει το τί πληκτρολογούσε ο χρήστης. Μπορούσε να υποκλέψει αρχεία π.χ. κινητών τηλεφώνων μέσω bluetooth, να καταγράψει συζητήσεις στο Skype, να αντιγραφεί μέσω USB stick, ενώ η Kaspersky κατέδειξε πως ο ιός είχε ως μεγαλύτερο στόχο (μαντέψτε) το Ιράν, με μεγάλη... αδυναμία σε αρχεία AutoCAD, PDF και txt! Για όσους αναρωτιούνται πώς είναι δυνατόν το πρόγραμμα να εκτελεί τόσες πολλές διαφορετικές εργασίες κατασκοπείας, θα πρέπει να τους ενημερώσουμε πως ο flame είχε 20 φορές το μέγεθος του Stuxnet, με κώδικα που καταλάμβανε 20MB - ένα τραγικά μεγάλο νούμερο αν αναλογιστούμε πως οι περισσότεροι ιοί και malware καταλαμβάνουν μερικές δεκάδες ή εκατοντάδες kilobytes. Ο ιός χρησιμοποιούσε πέντε (!!!) διαφορετικούς τύπους αποθήκευσης των δεδομένων που κατέγραφε, ενώ εντόπιζε ποιο antivirus ήταν εγκατεστημένο στον υπολογιστή και ανάλογα ρύθμιζε την συμπεριφορά του ώστε να μην εντοπιστεί. Τέλος, χρησιμοποιούσε πλαστογραφημένες ψηφιακές υπογραφές της Microsoft ώστε να φαίνεται πως ο κώδικας του αποτελεί κώδικα της τελευταίας.

Ο κυβερνοπόλεμος είναι εδώ

Δεν χωράει καμία αμφιβολία πως οι παραπάνω ιοί δεν κατασκευάστηκαν ούτε για πλάκα, και ούτε από 17χρονους hackers που δεν είχαν τί να κάνουν. Όλοι τους είχαν πολύ συγκεκριμένα χαρακτηριστικά: Είχαν κοινό στόχο (το Ιράν) και είχαν πολυπλοκότητα που καταδεικνύει τεράστια τεχνική γνώση που δεν μπορούν να κατέχουν ένα ή δύο άτομα μόνο. Για παράδειγμα, όσον αφορά το σαμποτάζ των φυγοκεντρητών, οι προγραμματιστές έπρεπε να έχουν γνώση του τρόπου χρήσης τους για την παραγωγή εμπλουτισμένης πυρηνικής ύλης, να έχουν πρόσβαση σε ακριβό βιομηχανικό εξοπλισμό και documentation, και φυσικά να μπορούν να τεστάρουν αν το σαμποτάζ τους θα έχει αποτέλεσμα σε πραγματικές συνθήκες! Από εκεί και πέρα, όταν μιλάμε για πρόγραμμα 20MB που κατάφερε για μήνες ή και χρόνια να υποκλέπτει δεδομένα, αυτό σημαίνει συνεχής ανανέωση και υποστήριξη. Δύο τελευταία πολύ ενδιαφέροντα κοινά σημεία των ιών είναι ακόμη το γεγονός πως ανέφεραν τα ευρήματα τους σε άσχετους servers ανά την υφήλιο (!), servers που λειτουργούσαν ως proxy με αποτέλεσμα ο πραγματικός server να παραμένει κρυφός, ενώ οι δύο ιοί βασίστηκαν πάνω σε αδυναμίες προγραμμάτων της Microsoft, κάτι που από μόνο του, λέει πολλά. Και φυσικά να μην ξεχάσουμε να αναφέρουμε πως τρεις από τις τέσσερις περιπτώσεις, τον εντοπισμό τον έκανε η (Ρωσική) Kaspersky Lab..

Ο Κόκκινος Οκτώβρης

Ο πρόσφατα ανακαλυφθείς ιός πήρε το όνομα του από το υποβρύχιο του βιβλίου "Το κυνήγι του Κόκκινου Οκτώβρη" του Tom Clancy. Για την επικοινωνία του με τον έξω κόσμο, χρησιμοποιεί πάνω από 60 servers ανά την υφήλιο για να μεταφέρει τα ευρήματα του στους δημιουργούς του, ενώ έχει την δυνατότητα να υποκλέπτει δεδομένα όχι μόνον από υπολογιστές, αλλά και από smartphones με διαφορετικά μάλιστα λειτουργικά συστήματα, όπως το iPhone, κινητά με λειτουργικό Microsoft ή και Nokia (δεν μπορέσαμε να βρούμε πάντως αν εννοούσαν Microsoft-based κινητά ή Symbian). Στο κυνήγι δεδομένων ο ιός είναι απίστευτα επιθετικός, καθώς μπορεί να φορτώσει αρχεία configuration από δικτυακό εξοπλισμό της Cisco, να κλέψει αρχεία από εξωτερικές συσκευές και σκληρούς δίσκους, να χρησιμοποιήσει την ενσωματωμένη (!!) δυνατότητα undelete για να κλέψει σβησμένα αρχεία, να κλέψει ολόκληρες βάσεις δεδομένων emails του Outlook ή POP/IMAP server, και να τραβήξει αρχεία από τοπικούς ftp servers. Ακόμη είχε ιδιαίτερη αδυναμία σε κρυπτογραφημένα έγγραφα του ΝΑΤΟ. Εδώ υπάρχει ένα ενδιαφέρον pattern: Προκειμένου ο ιός να πραγματοποιήσει τους στόχους του, χρησιμοποιούσε όχι μία, όχι δύο, αλλά τρεις "τρύπες" προγραμμάτων της Microsoft (μία του Excel και δύο του Word). Τέλος ως "μοναδικό" χαρακτηρίζεται το module... ανάστασης, όπου ο ιός αποθηκεύει κώδικα σε τμήματα του Word και του Acrobat, έτσι ώστε αν ο κύριος ιός εντοπιστεί και καθαριστεί, τα modules αυτά εν καιρώ να ανακαταλάβουν τον υπολογιστή!

Ο ιός σύμφωνα με τα Kaspersky Lab κατασκευάστηκε από κάποιους που γνώριζαν την Ρωσική γλώσσα (αν και υπάρχει πάντα η πιθανότητα οι δημιουργοί να θέλησαν να παραπλανήσουν) ενώ τα περισσότερα θύματα βρίσκονται στην ανατολική Ευρώπη. Στόχοι δείχνουν να είναι πρεσβείες, κυβερνητικά κτήρια, ερευνητικά κέντρα, εμπορικά επιμελητήρια, εγκαταστάσεις ενέργειας (πυρηνικά εργοστάσια, εταιρείες άντλησης πετρελαίου), στρατιωτικές εγκαταστάσεις, και αεροναυπηγικές εταιρείες. Μιλάμε λοιπόν για ένα παγκόσμιο στημένο δίκτυο που θυμίζει λίγο τους κακούς των ταινιών του James Bond, με σκοπό το ψάρεμα οποιασδήποτε χρήσιμης πληροφορίας!

Κλικ για μεγέθυνση...

Ο κόκκινος Οκτώβρης της Ελλάδας

Η Kaspersky Lab αναφέρει πως Ελληνικές πρεσβείες χτυπήθηκαν από τον ιό, αλλά κανείς δεν μπορεί να αποκλείσει πιθανές μολύνσεις σε υπολογιστές άλλων εγκαταστάσεων. Προς το παρόν δεν μπορούμε να γνωρίζουμε με σιγουριά για το πότε ξεκίνησε αυτή η τεράστια επιχείρηση κατασκοπίας της μισής υφηλίου ή ακόμη το ποιος βρίσκεται πίσω από αυτήν -αν και οι υποψίες αυτή τη φορά κινούνται προς την πλευρά της Κίνας.

Το μόνο σίγουρο είναι πως θα πρέπει επιτέλους στην χώρα μας να πάρουμε σοβαρά το θέμα ασφάλεια. Έχοντας εργαστεί κατά καιρούς σε ιδιωτικό τομέα, στον ευρύτερο δημόσιο και φυσικά έχοντας περάσει την μισή μου θητεία πληκτρολογώντας, θα μπορούσα να πω πως η ασφάλεια των δεδομένων από κλοπή στην Ελλάδα είναι ανύπαρκτη. Ειδικά τώρα σε περίοδο κρίσης κανείς δεν θέλει να επενδύσει σε ένα σωστό firewall, σε ένα managable switch ή σε ένα encryption tool. Κανείς δεν θέλει να πληρώσει στην αναβάθμιση του Office την στιγμή που τα encrypted αρχεία των Office 2003 και 2007 σπάνε πανεύκολα, κανείς δεν θέλει να πληρώσει στην αντικατάσταση των Windows XP με ένα ποιο ασφαλές λειτουργικό σύστημα. Δυστυχώς μας λείπει η παιδεία αλλά και η προνοητικότητα σε τέτοιο βαθμό που είναι δυνατόν να εντοπίσουμε ακόμη και σε γιγαντιαίες εταιρείες ή οργανισμούς, τεράστιες τρύπες ασφάλειας ή ακόμη ευαίσθητα δεδομένα σε προκλητικά κοινή θέα, που ακόμη και ένα 12χρονο θα μπορούσε να τα κλέψει χωρίς καν να γράψει έναν πολύπλοκο ιό δεκάδων χιλιάδων γραμμών. Το μόνο που ελπίζουμε είναι πως με αφορμή τον Κόκκινο Οκτώβρη, επιτέλους να ευαισθητοποιηθούν κυβέρνηση και ιδιωτικός τομέας, έτσι ώστε να υπάρξει στο μέλλον μεγαλύτερη πρόνοια στην διαφύλαξη αυτών των τόσο σημαντικών δεδομένων. Όσο για τον ιό καθ' αυτό, ας περιμένουμε λίγο ακόμη για να διαβάσουμε τις επίσημες και πλήρεις ανακοινώσεις...