Του Ειδικού Συνεργάτη*

Μαζικές επιχειρήσεις κατασκοπείας κατά του ΝΑΤΟ και των κυβερνήσεων και κρατικών υποδομών των χωρών της Δύσης διεξάγουν οι αρμόδιες υπηρεσίες της Ρωσίας και της Κίνας, χρησιμοποιώντας ηλεκτρονικές και «φυσικές» (μέσω πρακτόρων) μεθόδους.

Η SolarWinds, που εδρεύει στο Όστιν του Τέξας, είναι ευρέως γνωστή στις Ηνωμένες Πολιτείες και η μετοχή της διαπραγματευόταν στο χρηματιστήριο της Γουόλ Στρητ από το 2009 ως το 2015 και, ξανά, από το 2018 ως σήμερα.

Το κύριο συμπέρασμα, το οποίο εξάγεται από τις υποθέσεις που πρόσφατα αποκαλύφθηκαν (Βουλγαρία, Ιταλία, Τσεχία Πολωνία), καθώς και από το μεγάλο αριθμό άλλων που τώρα ερευνώνται, είναι ότι οι κατασκοπευτικές επιχειρήσεις είναι πολλαπλάσιες από εκείνες της εποχής του Ψυχρού Πολέμου. Για τη εξαγωγή του συμπεράσματος αυτού, δεν χρειάζεται να είναι κανείς ειδικός. Αρκεί η λογική σκέψη. Μέχρι την κατάρρευση του Συμφώνου της Βαρσοβίας και τη διάλυση της ΕΣΣΔ τη διετία 1989-1991, οι επιχειρήσεις κατά της Δύσης γίνονταν από κατασκόπους (υπεξαγωγές και κλοπές εγγράφων και άλλων πληροφοριών) και από υποκλοπές μέσω των τηλεπικοινωνιακών δικτύων της τότε εποχής. Σήμερα, σε όλες  αυτές τις «παραδοσιακές» μεθόδους, πρέπει να προστεθούν οι κυβερνοεπιθέσεις  (cyber attacks) και, γενικότερα, όλες οι μέθοδοι του κυβερνοπολέμου (cyber warfare).

Όπως είναι γνωστό, στη διεθνή επικαιρότητα κυριάρχησαν, το τελευταίο διάστημα, τέσσερα περιστατικά. Στα μέσα Μαρτίου, οι συλλήψεις Βουλγάρων κρατικών υπαλλήλων, ενώ τον περασμένο Δεκέμβριο ο Ρώσος στρατιωτικός ακόλουθος στη Σόφια είχε ήδη χαρακτηριστεί ανεπιθύμητος. Ακολούθησε, στα μέσα Μαρτίου, η σύλληψη Ιταλού πλοιάρχου που παρέδιδε εθνικά και ΝΑΤΟϊκά έγγραφα σε Ρώσο στρατιωτικό που ήταν διαπιστευμένος στην πρεσβεία της χώρας του στη Ρώμη. Και, στα μέσα και τέλη Απριλίου, μαζικές απελάσεις Ρώσων «διπλωματών» από τις κυβερνήσεις της Τσεχίας και της Πολωνίας.

Ο πρόεδρος της Ρωσικής Ομοσπονδίας Βλ. Πούτιν, σε επίσκεψή του στην έδρα της στρατιωτικής υπηρεσίας πληροφοριών GRU, το 2006.

Όλες αυτές οι υποθέσεις -για τις οποίες αναμένεται δημοσιοποίηση περισσότερων στοιχείων το προσεχές διάστημα- αφορούν παραδοσιακή κατασκοπεία με «φυσικό» τρόπο. Είχε προηγηθεί όμως, στα μέσα του Δεκεμβρίου 2020, η αποκάλυψη μιας πρωτοφανούς ιστορίας cyber warfare. Κύριος άξονάς της ήταν η «παρέμβαση» Ρώσων (ή και Κινέζων) χάκερς στα προγράμματα υπολογιστών που είχε προμηθεύσει η εταιρία SolarWinds, που εδρεύει στο Τέξας, σε μεγάλο αριθμό κυβερνητικών φορέων και ιδιωτικών εταιριών στις Ηνωμένες Πολιτείες και άλλες χώρες.

Για να υλοποιήσουν το σκοπό τους, οι χάκερς φέρεται να αξιοποίησαν μία αναβάθμιση-βελτίωση του λογισμικού Orion της SolarWinds (παρόμοια με τις συνήθεις, γνωστές αναβαθμίσεις της δημοφιλούς Microsoft σε δισεκατομμύρια υπολογιστές σε όλο τον κόσμο), το Μάρτιο του 2020. Μέχρι να αποκαλυφθεί η ευρεία επιχείρηση ηλεκτρονικής κατασκοπείας, εκτιμάται ότι οι ρωσικές υπηρεσίες δρούσαν ανενόχλητες για μία περίοδο 8-9 μηνών. Οι σύμμαχες χώρες-μέλη του ΝΑΤΟ ενημερώθηκαν από τις, κατά τόπους, πρεσβείες των ΗΠΑ λίγο πριν από τα Χριστούγεννα. Η αμερικανική ενημέρωση έκανε λόγο για, σχεδόν, 20.000 περιστατικά ηλεκτρονικής παραβίασης.

Λόγω της σοβαρότητας και έκτασης των κυβερνοεπιθέσεων αυτών, ο πρόεδρος των ΗΠΑ Τζο Μπάιντεν επέβαλε κυρώσεις στη Ρωσία στα μέσα Απριλίου φέτος. Άλλες κυρώσεις επιβλήθηκαν και σε 7 κινεζικές εταιρίες υψηλής τεχνολογίας. Ο πρόεδρος Μπάιντεν έκανε λόγο για «on-line hacking πέραν του αποδεκτού ορίου», δείχνοντας ότι οι επιχειρήσεις ήταν μεγάλης κλίμακας  και, προφανέστατα, πολύ σοβαρές.

Τα τεχνικά στοιχεία

Η CISA, η ομοσπονδιακή υπηρεσία των ΗΠΑ για την κυβερνοασφάλεια και τις υποδομές,  εκτιμά πως οι αντίπαλοι δρώντες έδειξαν μεγάλο «επαγγελματισμό» και ικανότητες. Στις αρχές του 2021, η εκτίμηση ήταν πως η απομάκρυνση του κακόβουλου λογισμικού, ως παράγοντα απειλής σε παραβιασμένα περιβάλλοντα υπολογιστών και δικτύων, θα είναι πολύ περίπλοκη και δύσκολη. Η αιτία είναι ότι οι χάκερς επέδειξαν ικανότητα εκμετάλλευσης της αλυσίδας εφοδιασμού λογισμικού της Orion με -ταυτόχρονη- σημαντική γνώση των δικτύων Windows. Δεν μπορεί να αποκλειστεί οι χάκερς να απέκτησαν και άλλες προσβάσεις σε δίκτυα με τεχνικές και διαδικασίες που δεν έχουν ακόμη ανακαλυφθεί. Κι αυτό, επειδή διαρροές και δυσλειτουργίες παρατηρήθηκαν και σε υπολογιστές που είτε δεν είχαν κάνει αναβάθμιση λογισμικού Orion είτε δεν το χρησιμοποιούσαν καν. Μεταξύ άλλων, καταγράφηκε παραβίαση σε ένα ινστιτούτο-δεξαμενή σκέψης και, συγκεκριμένα, σε υπολογιστές που έκαναν χρήση της εφαρμογής Outlook Web. Σκοπός ήταν η υποκλοπή μυστικών κωδικών, καθώς η αλυσίδα εφοδιασμού του Orion της SolarWinds είναι συμβατή με τα πρωτόκολλα του  Outlook.

Η σοβαρότητα της υπόθεσης SolarWinds οδήγησε τον πρόεδρο των ΗΠΑ Τζ. Μπάιντεν στην επιβολή κυρώσεων φέτος τον Απρίλιο.

Τα όργανα των ρωσικών υπηρεσιών πρόσθεσαν μία κακόβουλη παραλλαγή του δυαδικού κώδικα στον κύκλο ζωής του λογισμικού Orion το οποίο, στη συνέχεια, «υπογράφηκε» από το νόμιμο πιστοποιητικό κώδικα της SolarWinds. Αυτός ο δυαδικός κώδικας, μόλις εγκατασταθεί, καλεί σε έναν συγκεκριμένο τομέα του υπολογιστή-θύματος, χρησιμοποιώντας ένα πρωτόκολλο που έχει σχεδιαστεί, ακριβώς, για να μιμείται τη νόμιμη κίνηση πρωτοκόλλου SolarWinds. Μετά την αρχική είσοδο, ο χάκερ μπορεί να χρησιμοποιήσει την απόκριση του συστήματος ονομάτων τομέα (DNS), για να στείλει επιλεκτικά νέους τομείς ή διευθύνσεις ΙΡ αλληλεπίδρασης και ελέγχου (C2).

Μετά την ανακάλυψη του μεγάλου κινδύνου, η SolarWinds αποφάσισε, το Δεκέμβριο του 2020, τη χρήση μιας διεύθυνσης ΙΡ στη λίστα αποκλεισμού της Microsoft. Αυτό αναιρεί οποιαδήποτε μελλοντική χρήση του λογισμικού που «φυτεύτηκε» και θα πρέπει να έχει ήδη προκαλέσει τη διακοπή των επικοινωνιών με το «μολυσμένο» τομέα του δικτύου υπολογιστών. Αντίθετα, στις περιπτώσεις «μολύνσεων» που ο εισβολέας έχει ήδη περάσει το C2 μετά από τον αρχικό «φάρο», η χρήση και διασύνδεση του παράνομου λογισμικού, πιθανότατα, θα συνεχιστεί παρά τις ενέργειες αποκλεισμού.

Το Orion, συνήθως, διαθέτει σημαντικό αριθμό λογαριασμών και πρόσβαση για την εκτέλεση κανονικών λειτουργιών. Η συμβατότητα ενός από αυτά τα συστήματα μπορεί, επομένως, να αποτρέψει περαιτέρω παράνομη δράση.

Οι χάκερς, πιθανότατα όργανα των ρωσικών (ή και κινεζικών) υπηρεσιών πρόσθεσαν μια κακόβουλη παραλλαγή του δυαδικού κώδικα στον κύκλο ζωής του λογισμικού Orion το οποίο, στη συνέχεια, «υπογράφηκε» από το νόμιμο πιστοποιητικό κώδικα της SolarWinds.

Μέθοδοι παραπλάνησης

Η εκτίμηση της αμερικανικής CISA και ανάλογων  κρατικών και ιδιωτικών φορέων στην Ευρώπη είναι πως οι χάκερς της Μόσχας (ή και του Πεκίνου) κάνουν εκτενή χρήση μεθόδων συσκότισης, για να κρύψουν τις παράνομες επικοινωνίες με το C2 των υπολογιστών-στόχων τους. Χρησιμοποιούν εικονικούς ιδιωτικούς διακομιστές (VPS), συχνά με διευθύνσεις ΙΡ στη χώρα καταγωγής του θύματος, ώστε να κρύψουν τη δραστηριότητά τους μεταξύ της νόμιμης κυκλοφορίας χιλιάδων χρηστών. Οι επιτιθέμενοι εναλλάσσουν, επίσης, συχνά τις λεγόμενες IP διευθύνσεις «τελευταίου μιλίου» σε διαφορετικά τελικά σημεία, ώστε -και πάλι- να αποκρύψουν τη δραστηριότητά τους και να αποφύγουν τον εντοπισμό.

Παράλληλα, έχει γίνει δημοσίως γνωστό πως μια ιδιωτική εταιρεία, η FireEye που εδρεύει στην Καλιφόρνια, ανέφερε ότι οι χάκερς χρησιμοποιούν μία σύγχρονη μορφή «στενογραφίας», για να αποκρύψουν τις επικοινωνίες C2. Αυτή η τεχνική αναιρεί πολλές αμυντικές δυνατότητες για την ανίχνευση της δραστηριότητας.

Σύμφωνα με τη FireEye, το κακόβουλο λογισμικό ελέγχει και λίστες με τις λεγόμενες «σκληρές» κωδικοποιήσεις διευθύνσεων σε μια προσπάθεια να εντοπίσει εάν το κακόβουλο λογισμικό εκτελείται σε περιβάλλον ανάλυσης (π.χ. σύστημα ανάλυσης και εξουδετέρωσης κακόβουλου λογισμικού). Εάν συμβαίνει αυτό, τότε το κακόβουλο λογισμικό θα σταματήσει την περαιτέρω εκτέλεση ενεργειών του. Επιπλέον, διαπιστώθηκε ότι, με την είσοδο «από την πίσω πόρτα», εφαρμόζονταν και έλεγχοι χρονικού ορίου για να διασφαλιστεί ότι δεν θα υπάρχουν απρόβλεπτες καθυστερήσεις μεταξύ των προσπαθειών επικοινωνίας C2, μπλοκάροντας πρόσθετες ενέργειες της παραδοσιακής ανάλυσης άμυνας.

Σύμφωνα με τη FireEye, το κακόβουλο λογισμικό ελέγχει μία λίστα με τις λεγόμενες «σκληρές» κωδικοποιήσεις διευθύνσεων, προσπαθώντας να εντοπίσει εάν το κακόβουλο λογισμικό εκτελείται σε περιβάλλον ανάλυσης (π.χ. σύστημα ανάλυσης και εξουδετέρωσης κακόβουλου λογισμικού). Εάν συμβαίνει αυτό, τότε το κακόβουλο λογισμικό θα σταματήσει την περαιτέρω εκτέλεση ενεργειών του.

Αν και δεν μπορεί να πιστοποιηθεί ακόμα ότι πρόκειται για μία πλήρη αντι-εγκληματολογική (anti-forensics) τεχνική, φαίνεται πως ο Ρώσος χάκερ αξιοποιεί σε μεγάλο βαθμό συμβατά προγράμματα ή πλαστογραφημένα «κουπόνια για λογαριασμούς. Αυτή η πράξη αποτρέπει τη λειτουργία των τεχνικών ανίχνευσης που χρησιμοποιούνται, συνήθως, σε πολλά περιβάλλοντα υπολογιστών. Με το δεδομένο ότι χρησιμοποιούνται έγκυρα (και -φυσικά- μη εξουσιοδοτημένα) διακριτικά ασφαλείας και λογαριασμοί, η ανίχνευση αυτής της δραστηριότητας απαιτεί πείρα και εξειδίκευση: για τον εντοπισμό ενεργειών που είναι υπεράνω αφενός των γνώσεων ενός ιδιώτη-χρήση υπολογιστή και αφετέρου εκτός των κανονικών καθηκόντων ενός δημόσιου λειτουργού χρήστη. Για παράδειγμα, είναι απίθανο ένας λογαριασμός που να σχετίζεται με το τμήμα Ανθρώπινου Δυναμικού μίας ιδιωτικής εταιρίας ή κρατικού φορέα να έχει προβλεφθεί πως χρειάζεται να έχει πρόσβαση σε βάσεις δεδομένων για την απειλή στον κυβερνοχώρο – ή, πολύ περισσότερο, να κάνει χρήση ειδικών αμυντικών προγραμμάτων.

Συνολικά, αυτές οι τεχνικές υποδηλώνουν έναν αντίπαλο που είναι ικανός, διαθέτει λειτουργική και φυσική ασφάλεια (κατά των ευρωπαϊκών και αμερικανικών αρχών) και είναι πρόθυμος να δαπανήσει σημαντικούς οικονομικούς πόρους, για να διατηρήσει τη μυστική παρουσία του.

Ορατά σημεία και άμυνα

Οι ειδικοί παρατήρησαν ότι χάκερς, σε πολλές περιπτώσεις, στοχεύουν λογαριασμούς e-mail που ανήκουν στο βασικό προσωπικό ενός φορέα, συμπεριλαμβανομένου του κλάδου πληροφορικής (ΙΤ) και του προσωπικού ασφαλείας.  Προσπαθούν δε να «σπάσουν» το σύστημα SAML που χρησιμοποιείται σε φιλοξενούμενες υπηρεσίες email και υπηρεσίες αποθήκευσης αρχείων, όπως το SharePoint)

Οι αρχές της Ιταλίας και της Τσεχίας έδρασαν κατά αξιωματούχων που ήταν διαπιστευμένοι στις πρεσβείες της Ρωσίας στη Ρώμη (αριστερά) και στην Πράγα (δεξιά) αντίστοιχα.
PRAGUE, CZECH REPUBLIC – OCTOBER 8, 2017: A view of the Russian Embassy building in Prague. Igor Shamshin/TASS
×åõèÿ. Ïðàãà. 20 äåêàáðÿ 2017. Çäàíèå ïîñîëüñòâà ÐÔ. Èãîðü Øàìøèí/ÒÀÑÑ

Από την άλλη πλευρά, το θετικό στοιχείο είναι ότι μπορεί να ανιχνευθεί η δράση του χάκερ, αν υπάρξουν τα λεγόμενα “Impossible Logins”. Ο χάκερ χρησιμοποιεί ένα πολύπλοκο δίκτυο διευθύνσεων ΙΡ για να αποκρύψει τη δραστηριότητά του, η οποία μπορεί να οδηγήσει σε μια ευκαιρία εντοπισμού που αναφέρεται με τον όρο «αδύνατο ταξίδι» (“Impossible Travel”). To «αδύνατο ταξίδι» συμβαίνει, όταν ένας χρήστης συνδέεται από πολλαπλές διευθύνσεις ΙΡ που έχουν σημαντική γεωγραφική απόσταση μεταξύ τους. Δηλαδή, ένα άτομο δεν θα μπορούσε να ταξιδέψει, πραγματικά, μεταξύ των γεωγραφικών τοποθεσιών των δύο διευθύνσεων ΙΡ κατά τη χρονική περίοδο μεταξύ των συνδέσεων. Δεν μπορεί, για παράδειγμα, ένας χρήστης να συνδεθεί από ελληνική διεύθυνση IP και μετά από μία διεύθυνση IP στις ΗΠΑ εντός πέντε ωρών, αφού ένα αεροπορικό ταξίδι του θα απαιτούσε, τουλάχιστον, ένδεκα ώρες.

*O Ειδικός Συνεργάτης είναι ξένος εμπειρογνώμονας με μακρά πείρα σε θέματα εξοπλισμών και στις σχέσεις της Δύσης με τη Ρωσία και την Κίνα.