Steganografia, botnety, open source jihad - jak złapać cyberszpiega?

Jednym z tematów tegorocznej RSA Conference, było tropienie cyberszpiegów i cyberterrorystów. Na konferencji omówiono m.in. przypadek chińskiego hakera parającego się szpiegowstwem przemysłowym oraz terrorysty kradnącego dane z kart kredytowych w celu wyprania pieniędzy przeznaczonych na finansowanie działań terrorystycznych na Bliskim Wschodzie lub punktach zapalnych na Kaukazie.

Joe Stewart z Dell SecureWorks opowiedział o swoim śledztwie dotyczącym chińskiego hakera. Stewart wytropił go na podstawie zebranych laboratoryjnie informacji. Historia nazwana "Sin Digoo affair" ma swój początek w roku 2004. Osoba używająca adresu poczty elektronicznej [email protected] zarejestrowała w latach 2004 do 2011 pewną liczbę domen internetowych pod fałszywym nazwiskiem "Tawnya Grilth". W danych rejestracyjnych podawano adres pocztowy z błędnie zapisaną nazwę San Diego ("Sin Digoo"). Steward zwrócił uwagę na powtarzanie się nazwy "Tawnya Grilth" w różnych kontekstach (m.in. w sygnaturach złośliwego kodu) i uznał to za jeden z ważnych tropów.

Polecamy: Anatomia ataku - Anonymous vs Watykan?

Zobacz również:

  • Hakerzy zarobili 184 mln zł na oszustwach związanych z Covid-19
  • Cyberprzestępczość – złoto dla zuchwałych

Wiadomo już było, że zarejestrowany zestaw domen używano wyłącznie do działań szpiegowskich. Po miesiącach pracy detektywistycznej, Stewartowi udało się powiązać adres [email protected], użyty do zarejestrowania domen, z mnóstwem innych poszlak, z których wynikało, że "Tawnya" jest chińskim hakerem, prawdopodobnie należącym do grupy stojącej za usługą socialup.net. Ta, akceptująca m.in. płatności PayPal usługa polega na na zwiększaniu popularności w portalach społecznościowych (dostarczanie "sztucznych sympatii", często poprzez botnety). Tego typu usługi zaliczane są do kategorii "blackhat SEO", obejmującej różne techniki manipulowania silnikami wyszukiwań i portalami społecznościowymi w celach marketingowych.

Śledząc laboratoryjnie zgromadzone dowody, w tym witryny znanych chińskich hakerów, Steward doszedł do wniosku, że zidentyfikował hakera-szpiega i przystąpił do odszukania jego prawdziwego nazwiska. Nazwisko to oraz wszystkie pozostałe dane, które udało mu się zgromadzić Stewart przekazał do FBI, chociaż nadzieja na jakiekolwiek oskarżenie o działalność szpiegowską na rzecz Chin jest w tym momencie nikła. Stewart zamierza jednak dołożyć starań, aby ta kryminalna działalność powiązana z botami mogła była przedmiotem dochodzenia, chociaż podkreślił, że wszystko, co znalazł, to dowody na działanie pojedynczej osoby.

Polecamy: Ataki drive-by download: jak się przed nimi uchronić?

Podczas innej sesji konferencji RSA mówiono także o tym, jaki użytek z sieci robią dzisiaj ekstremiści dżihadu i o sposobach prania pieniędzy przeznaczonych na finansowanie działań terrorystycznych. Mikko Hypponen z F-Secure spędził dużo czasu przeczesując internet w celu wyszukania dowodów na to, że ekstremiści korzystają w tym celu z wymyślnych technologii online.

Znalazł dowody na rosnące zainteresowanie technologią, kryptografią i hakingiem w publikacjach online zwolenników dżihadu, zawierających teraz takie pozycje jak: "Open Source Jihad" czy "Technical Mujahedin", w których opisano m.in. jak ukryć pliki używając rootkitów czy steganografii. Analizował także czy jest prawdopodobne, aby wywiad brytyjski udostępniał fałszywe wersje tych publikacji, zarażone trojanem, które po sprowadzeniu mogłyby monitorować działania terrorystów na ich komputerach.

Polecamy: NGFW - firewalle następnej generacji

Głośnym przykładem powiązania islamskich terrorystów z zaawansowanymi technicznie operacjami, takimi jak kradzież informacji z kart kredytowych przez botnety kontrolujące tysiące komputerów zoombie, była sprawa Tariqa Al-Daoura, Palestyńczyka z obywatelstwem brytyjskim, skazanego na karę wiezienia po tym jak jego gang został złapany na posługiwaniu się skradzionymi kartami kredytowymi grając w pokera na witrynie Absolute Poker, głównie w celu wyprania kilku milionów dolarów. Kradzione pieniądze wydawane były na telefony satelitarne, śpiwory i mnóstwo innych rzeczy, które służyły wsparciu działań terrorystycznych powiązanych z Al-Kaidą. Według Hypponena, za opracowanie odpowiedniego oprogramowania Tariq Al-Daour płacił rosyjskim programistom.

Sytuacja z grupami ekstremistów wykorzystujących zaawansowane techniki hakerskie i boty nie wymyka się jeszcze spod kontroli, ale istnieją dowody, że grupy ekstremistów są coraz bardziej zainteresowane zaawansowaną techniką. Umieszczają w swoich multimedialnych publikacjach online informację o Apache, PGP, NMAP oraz tworzą swoje własne publiczne klucze szyfrujące, tuż obok instrukcji konstruowania bomb. Hypponen uważa więc, że nadszedł czas, aby poświęcać im więcej uwagi.


TOP 200