Za atak na Google odpowiadają chińskie władze?

Oprogramowanie wykorzystane podczas niedawnego ataku na Google oraz kilkadziesiąt innych amerykańskich przedsiębiorstw jest zbyt skomplikowane i dopracowane, by mogło być dziełem niezależnych cyberprzestępców - twierdzi Carlos Carrillo, konsultant ds. bezpieczeństwa z amerykańskiej firmy Mandiant. Jego zdaniem, za atakiem z całą pewnością stały chińskie władze.

Carlos Carrillo tłumaczy, że to najbardziej skomplikowany, najlepiej zaplanowany i najdoskonalej przeprowadzony cyberatak, jaki nastąpił w ostatnich latach. To pierwsze wnioski z przeprowadzonych do niego do tej pory analiz całego wydarzenia. Oczywiście, takich opinii pojawia się teraz wiele - ale akurat Carrillo ma podstawy do ich wygłaszania. To on został wynajęty przez Google do przeprowadzenia kompleksowego dochodzenia w sprawie grudniowych ataków. Specjalista na razie nie zdradza zbyt wielu szczegółów - ale w rozmowie z Computerworld.com podał kilka nowych informacji na temat "incydentu".

Unikalne ataki

Warto odnotować, iż podczas wywiadu wielokrotnie wyraźnie było widać, że Carrillo wie więcej, niż może powiedzieć na tym etapie dochodzenia. "Wykorzystane przez włamywaczy złośliwe oprogramowania było bardzo nietypowe, wręcz unikalne. Miało ono pewne niespotykane dotąd cechy. Chodzi o to, że było... cóż, na razie mogę powiedzieć, że było unikalne" - tłumaczył specjalista.

Tę opinię potwierdzają zresztą inni specjaliści - pod koniec ubiegłego tygodnia Dmitri Alperovitch, wiceprezes działu analizowania złośliwego oprogramowania firmy McAfee nazwał kod wykorzystany podczas ataku na Google "czymś bardzo skomplikowanym i nietypowym". "Już kilka razy widzieliśmy coś takiego - ale nigdy nie wykorzystywano takich narzędzi w cyberataku na firmę - zawsze celem były instytucje i agencje rządowe" - tłumaczył Alperovitch.

Carlos Carrillo jest przekonany, że najwyższa jakość hakerskich narzędzi jest dowodem, iż w ataki zamieszane są chińskie władze - jego zdaniem zwykli, niezależni cyberprzestępcy nie mają dostępu do tak skomplikowanych rozwiązań. "To nie jest nic, co przypominałoby Metasploit [czyli open-source'owy pakiet narzędzi do testów penetracyjnych - red.]. Włamywacze wykorzystali narzędzia, do stworzenia których potrzeba czasu i pieniędzy - to nie są jakieś tam aplikacje, które mógłby napisać szesnastolatek w wolnym czasie" - wyjaśnił specjalista.

Atak zlecił Pekin?

Później, na pytanie, czy wysoka jakość owych narzędzi jest dowodem na to, że za atakami stoją chińskie władze, Carrillo odpowiedział: "Powiedziałbym, że tak". Dodał też, że jego firma - Mandiant - została wynajęta przez Google już dawno, zaraz po pojawieniu się pierwszych podejrzeń, że koncern mógł stać się celem cyberataku. Dokładnej daty jednak nie podał - zasugerował ją jednak Dmitri Alperovitch z McAfee. Twierdzi on, iż analiza logów z serwerów wykorzystanych przez przestępców do koordynowania ataku pokazuje, że atak rozpoczął się w połowie grudnia, zaś zakończył 4 stycznia (wtedy nastąpiło wyłączenie ostatniego serwera).

Przypomnijmy, że Google o atakach poinformował w ubiegłym tygodniu - firma oświadczyła, że włamywacze dostali się do jej infrastruktury informatycznej i próbowali uzyskać m.in. dostęp do kont Gmail chińskich działaczy opozycyjnych. Reakcją koncernu była zapowiedź zlikwidowania cenzury w chińskiej wersji wyszukiwarki Google oraz wycofania się z tego rynku.

Carrillo poinformował też, że ujawniona w ubiegłym tygodniu luka w zabezpieczeniach Internet Explorera nie była jedynym błędem wykorzystanym przez przestępców - to poniekąd potwierdza słowa przedstawicieli Microsoftu, którzy od kilku dni tłumaczą, iż koncern nie może być obarczany pełną odpowiedzialnością za dopuszczenie do włamań.

Liczba ofiar wciąż rośnie

Wciąż nie wiadomo też, ile dokładnie firm znalazło się na celowniku włamywaczy - doniesienia w tej sprawie są sprzeczne: jedne źródła szacują ich liczbę na 20, inne nawet na 34. Ale z analiz przeprowadzonych przez zespół Carrillo wynika, że tak naprawdę ofiar jest znacznie więcej - a wiele z nich wciąż nie ma pojęcia, że ktoś włamał się do ich sieci.

Na koniec specjalista przyznał, że ataki zostały perfekcyjnie zaplanowane - przygotowane je tak, że większość stosowanych w firmach zabezpieczeń okazała się zupełnie bezużyteczna. "Ci włamywacze są bardzo dobrzy w tym, co robią. Podszyli się pod legalnych użytkowników z atakowanych firm, a to sprawiło, że klasyczne narzędzia zabezpieczające - np. systemy wykrywania intruzów czy firewalle - nie były dla nich żadnym utrudnieniem" - podsumował Carlos Carrillo.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200