Data: 1 listopada 2021

[Ctrll]+[F]: poszukiwania sprawcy

Sieć internetowa odgrywa znaczącą rolę na geopolitycznej planszy. Służby skonfliktowanych krajów przeprowadzają cybernetyczne operacje szpiegowskie oraz dokonują precyzyjnie wycelowanych ataków dezinformacyjnych. Hakerzy opłacani przez rządy włamują się do systemów wroga, a czasem nawet sojusznika, by zyskać polityczną przewagę.

ŹRÓDŁO: FLICKR

Dawniej w przypadku operacji szpiegowskich, dywersyjnych czy nawet dezinformacyjnych znalezienie sprawcy zwykle równało się ze zidentyfikowaniem strony odpowiedzialnej za zaplanowaną akcję. Obecnie w erze cyfrowych, zdalnych cyberataków nie jest to łatwe zadanie. Atrybucja, czyli przypisanie odpowiedzialności, szczególnie w przypadku relacji międzypaństwowych, to bardzo wrażliwy temat. Stuprocentowa pewność poprawnego przypisania odpowiedzialności za zdalny atak w kontekście rozproszonych agresorów, sieci VPN, TOR, botnetów, używanych metod anonimizacji, sojuszy, cybernajemników i operacji wykonywanych pod fałszywą flagą, choć technicznie bardzo trudna do osiągnięcia, jest możliwa.

Proces atrybucji, będący w zdecydowanej mierze procesem technicznym, zawiera w sobie również wymiar polityczno-ekonomiczny. Część techniczna skupia się na bezpośrednich dowodach cyberataku, czyli cyfrowych śladach. Źródłach połączeń, logach, przeglądzie złośliwego kodu wykorzystanego podczas ataku i wielu innych. Badacze skrupulatnie sprawdzają kod i moduły oprogramowania użytego do ataku. Poszukują znanych sygnatur i ewentualnych śladów pozostawionych przez autorów. Sprawdzane są też logi aktywności sieciowej z czasu zdarzenia, artefakty językowe oprogramowania, wiadomości e-mail czy innych komponentów wykorzystywanych podczas ataku. Technicy badają również luki w zabezpieczeniach wykorzystywane przez złośliwe oprogramowanie oraz sposób, w jaki dostało się do systemu ofiary. Próbują również odpowiedzieć na pytania: czego szukał i co chciał osiągnąć intruz. To ostatnie zagadnienie często wymaga analizy ekonomicznej, a nawet geopolitycznej. Mniej techniczną część pracy analityków można porównać do działań kryminalnych śledczych, którzy w poszukiwaniu podejrzanych stosują koncept MMO.

Technika MMO opiera się na identyfikacji odpowiedzi na trzy pytania o to, kto miał: możliwości, motyw i okazję[1] do popełnienia przestępstwa. Pozwala to zawęzić listę podejrzanych, a czasami nawet wprost wskazać, kto dokonał przestępstwa. W przypadku ataków cybernetycznych, w szczególności tych o podłożu geopolitycznym, pytanie o atrybucję zamienia się z „kto to zrobił?” na „kogo należy obwinić?”[2]. Poprawna atrybucja pomaga w rozpoczęciu procesu odszkodowawczego bądź karnego, w wyniku którego winni staną przed sądem, o ile efektywność legislatury zaatakowanego kraju sięga wystarczająco daleko. Atrybucja ma też ogromne znaczenie obronne. Przypisanie odpowiedzialności za międzynarodowy cyberatak konkretnym jednostkom, a co ważniejsze, wskazanie zleceniodawców, ma wielki potencjał odstraszający.

W ostatnich latach mieliśmy do czynienia z aktywną działalnością USA i ich międzynarodowych partnerów w zakresie poprawnego wskazywania sprawców serii cyberataków. W Polsce służby odpowiedzialne za analizę niedawnych włamań na skrzynki pocztowe polityków oraz ataku na stronę internetową Akademii Sztuki Wojennej również wskazały winnych[3]. Najbardziej spektakularnym przykładem obrazującym skomplikowaną pracę przy użyciu zaawansowanych technik atrybucji było zidentyfikowanie przez agencje rządowe USA osób odpowiedzialnych za ataki na infrastrukturę krytyczną, m.in. systemy Westinghouse Electric i US Steel. W wyniku śledztwa postawiono zarzuty popełnienia przestępstwa naruszenia systemów informatycznych pięciu żołnierzom jednostki 61398 Chińskiej Armii Ludowo-Wyzwoleńczej[4].

Nie zawsze początkowa atrybucja jest trafna. W 2019 i 2020 roku hakerzy włamali się do komputerów izraelskiego rządu i firm technologicznych. Pierwsze zgromadzone dowody wskazywały bezpośrednio na Iran, największego politycznego wroga Izraela. Cyberprzestępcy wykorzystali narzędzia, których zwykle używali irańscy hakerzy. Znaleziono artefakty językowe będące dowodem na to, że autorzy ataku posługiwali się językiem nowoperskim.

Hakerzy z powodzeniem zaatakowali izraelski rząd, firmy technologiczne i telekomunikacyjne. Co więcej, skutecznie ukryli swoją tożsamość – pozostawili po sobie ślady wprowadzające w błąd analityków. Najnowszy raport firmy FireEye[5], która przy współpracy z izraelskimi agencjami wojskowymi ponownie przejrzała dane z włamań do izraelskich podmiotów, wskazała nowego winnego. Analiza wykazała, że związana z chińskim rządem grupa UNC215 w tym czasie używała identycznych technik, w szczególności utrudniających atrybucję. Analitycy FireEye nie posiadają obecnie wystarczających informacji, aby dokładnie sklasyfikować grupę czy bezpośrednio wskazać jej członków. Nie mają jednak wątpliwości co do związku UNC215 z chińskim rządem i jej aktywności w regionie. Z powyższych wynika, że to nie Iran odpowiada za ataki z 2019 i 2020 roku.

W dziedzinie cyberbezpieczeństwa wymaganie dowodów ponad wszelką wątpliwość powinno być obligatoryjne. Oczywiście nie zawsze jest możliwe zgromadzenie wystarczającej ich liczby czy osiągnięcie stuprocentowej pewności co do ich autentyczności. Dodatkowy problem stanowi też państwowy interes polityczny, powodujący, że zwaśnione państwa bardzo chętnie przypisują sobie wzajemnie odpowiedzialność za incydenty w cyberprzestrzeni.

[1] Sam Halbati, Means, motive, opportunity then crime, The Independent, 2014.

[2] Jason Healey, The Spectrum of National Responsibility for Cyberattacks, The Brown Journal of World Affairs, Vol. 18, No. 1, 2011.

[3] https://www.pap.pl/aktualnosci/news%2C631945%2Czaryn-atak-na-strone-akademii-sztuki-wojennej-fake-news-i-dezinformacja, dostęp: 19.10.2021.

[4]Blaize Misztal, Problem z przypisaniem cyberincydentu jego sprawcom, cyberdefence24, 2016

[5]FireEye, UNC215: Spotlight on a Chinese Espionage Campaign in Israel, 2021.

Autor: Wiktor Sędkowski

Wiktor Sędkowski ukończył teleinformatykę na Politechnice Wrocławskiej, specjalizując się w dziedzinie bezpieczeństwa cybernetycznego. Jest ekspertem od zagrożeń cyfrowych. Posiadacz certyfikatu CISSP, OSCP i MCTS, pracował jako inżynier i solution architect dla wiodących firm informatycznych.

Wesprzyj nas

Jeżeli przygotowane przez zespół Warsaw Institute treści są dla Państwa przydatne, prosimy o wsparcie naszej działalności. Darowizny od osób prywatnych są niezbędne dla kontynuacji naszej misji.

Wspieram

Wszystkie teksty publikowane przez Fundację Warsaw Institute mogą być rozpowszechniane pod warunkiem podania ich źródła oraz autora. Obrazy nie mogą być wykorzystywane bez pozwolenia.

Powiązane wpisy
Top