info:niebezpiecznik.plRządowi hakerzy z USA włamali się do rosyjskiej fabryki trolli, sformatowali serwery, zainfekowali iPhona i zastraszyli pracowników.
Do amerykańskiej prasy przeciekły informacje na temat bardzo ciekawego odwetowego ataku hackerskiego. U.S. Cyber Command, czyli amerykańskie cyberwojska, miały “odciąć od internetu” rosyjską “agencję informacyjną” IRA, która trudni się antyamerykańską propagandą. Kiedy amerykańskie media ogłaszały sukces tej operacji, Rosjanie znienacka opublikowali swój raport dotyczący tego incydentu. O wiele bardziej techniczny od amerykańskiego. Poniżej opisujemy tę cudowną cyberbitkę — warto się jej przyjrzeć, aby zobaczyć jak hakują “duzi chłopcy” z jednej i drugiej strony barykady.
Zielone klawiatury
Rosyjskie trolle współpracują z rosyjskimi rządowymi hakerami
O tym, że Rosja spamuje internet fake newsami i prowadzi w cyberprzestrzeni operacje wpływu doskonale wiecie już z naszych poprzednich artykułów. To jak Rosjanie rekrutują swoich trolli, gdzie oni pracują, jak tworzą fałszywe treści, portale a nawet memy już w 2015 roku opisywaliśmy w artykule “Kulisy pracy rosyjskich prorządowych trolli internetowych” — mocno polecamy jego lekturę każdemu, kto wierzy w wiadomości publikowane w internecie
Rosyjskie trolle jednak nie pracują samodzielnie. Operacje wpływu są wspierane faktycznymi “technicznymi” cyberatakami. Oficjalnie narzekały na nie zarówno CIA, FBI jak i NSA. Te agencje w 2017 roku wspólnie opublikowały raporty ujawniające narzędzia i infrastrukturę, którą do ataków na USA w czasie prezydenckiej kampanii wyborczej wykorzystywały rosyjskie cyberramiona GRU. To szalenie ciekawe dokumenty, z którymi warto się zapoznać, ale jeśli nie macie czasu na pełną lekturę oryginałów, to polecamy nasz artykuł pt. Jak Rosjanie wpływali na przebieg wyborów prezydenckich w USA
Rok później, bo w 2018 roku, USA oficjalnie oskarżyły z imienia i nazwiska 13 Rosjan, ujawniając w akcie oskarżenia jak Rosjanie budowali siatki agentów, jak kradli tożsamości i mobilizowali tłumy w internecie i na prawdziwych protestach, wydając przy tym miliony na reklamę na Facebooku. Podsumowanie tego niesamowicie bogatego w szczegóły techniczne aktu oskarżenia znajdziecie w tym artykule.
Najwyraźniej jednak ścieżka prawna nie jest wystarczająco satysfakcjonująca dla USA, bo świat właśnie obiega wiadomość, że w listopadzie 2018, kiedy w USA miały miejsce wybory Senatu, amerykańskie wojska zhackowały infrastrukturę rosyjskiej Internet Research Agencji, czyli właśnie fabryki trolli. A atak miał autoryzować sam prezydent Trump.
Takie zablokowanie internetu można kupić w każdym sklepie!
Wedle Washington Post, któryZaloguj lub Zarejestruj się aby zobaczyć!osobę “blisko zaznajomioną z operacją” amerykańskiego U.S. Cyber Command stojącego za atakiem:
“They basically took the IRA offline. They shut them down.”Niestety nie jest to techniczny opis. Paraliż można spowodować zarówno atakiem DDoS (i żaden to “hacking”) jak i włamaniem i uszkodzeniem infrastruktury (por. Atak na infrastrukture TV5 Monde). Co dokładnie zrobili Amerykanie? Tego z amerykańskich przecieków do prasy na temat tej operacji się jednak nie dowiemy.
Zresztą, czy w ogóle taka wiedza jest istotna w tym kontekście? Czy taki krótkotrwały atak (jeśli dane nie zostały bezpowrotnie usunięte, w co należy wątpić) ma sens? Nawet jeśli ma miejsce 5 listopada 2018 roku, czyli dzień przed amerykańskimi wyborami? Wkurzyć, trolli wkurzy, bo w tych dniach każdy troll powinien być wybitnie aktywny, a przez dzień lub dwa nie będzie mógł pracować. Palcem taki atak też trollom pogrozi. Ale czy demonstracja siły, której przecież Rosjanie są doskonale świadomi, spowoduje że zrezygnują z tego dochodowego i optymalnego kosztowo procederu fake newsów? Bardzo wątpliwe, ale… Amerykanie poza paraliżem infrastruktury IRA zrobili jeszcze coś.
DOXing trolli SMS-ami i e-mailami
Drugim elementem ataku były działania wymierzone bezpośrednio w pracowników IRA, czyli trolli. Jak piszeZaloguj lub Zarejestruj się aby zobaczyć!,
“zatrudnieni w IRA Rosjanie zaczęli otrzymywać e-maile, popupy, SMS-y i inne bezpośrednio do nich skierowane komunikaty, w którym USA informowało, że zna tożsamość danego trolla”Ponoć przez chwilę kierownictwo IRA myślało, że to żart jakiegoś insidera.
Rosja już wykorzystuje to w propagandzie.
Przedstawiciele Kremla w oficjalnej wypowiedzi dotyczącej tego incydentu, już kota odwrócili ogonem. Stwierdzili, że cały czas różne instytucje rosyjskie są atakowane przez Amerykanów i wykorzystali sytuację do promocji swojej cenzury i prawa, które każe dane Rosjan przechowywać na terenie Rosji (nawet amerykańskim firmom), podkreślając że właśnie ze względu na takie ataki Rosja widzi potrzebę “suwerennego, autonomicznego internetu”.
Dodatkowo, jak zauważa ZDNet, rosyjska agencja informacyjna FAN (Federal News Agency, na marginesie — powiązana z IRA) atak potwierdziła, ale w swoim komunikacje określiła go jako kompletną porażkę. Według Rosjan, jedyne co udało się Amerykanom, to zniszczenie kontrolera RAID i wymazanie zawartości dwóch z czterech dysków, które były do niego podpięte.
FAN informuje też, że prób ataku, oczywiście powstrzymanych przez Rosjan, było kilka. Amerykanie mieli też:
Wniosek z tych “nieudanych” jak nazywa je FAN, prób ataków?
- zainfekować jeden z komputerów pracowników IRA trojanem. Wektorem był załącznik w e-mailu, który został przez pracownika otworzony — ale segmentacja sieci, według FAN, nie pozwoliła Amerykanom na przejęcie innych urządzeń w podsieci.
- zhackować iPhona 7 Plus należącego do jednego z pracowników. Brak jednak informacji jak Amerykanie mieli się dostać na jego telefon, ale ponoć kiedy pracownik podpiął telefon kablem USB do swojego komputera, jego komputer został zainfekowany. I z racji “całkiem szerokich uprawnień”, tym razem Amerykanom udało się po podsieci rozprzestrzenić, docierając do “centralnego serwera”.
- uzyskać dostęp do wynajętych przez IRA serwerów w serwerowniach Amazonu w Szwecji i Estonii. I to właśnie tym serwerom, które IRA używała jako “mirror” serwisu poświęconego wyborom w USA miały zostać sformatowane dyski. Ale nie tylko. Ponoć Amerykanie również “odwołali” certyfikat TLS dla serwera, co sprawiło, że dostęp do niego był utrudniony.
IRA zakazało używania iPhonów swoim pracownikomJeśli wierzyć tym rewelacjom (bo przypomnijmy, że FAN to jednak rosyjska agencja informacyjna powiązana z IRA, czyli ofiarą ataku, trudniącą się propagandą), to można by nawet przypuszczać, że na iPhone Amerykanie spalili jakiegoś 0day’a. A może takiego ataku w ogóle nie było, a FAN/IRA po prostu chce zniechęcić swoich obywateli do korzystania z telefonów produkowanych przez amerykańskie Apple, które umożliwiają Rosjanom bezpieczną komunikacje i chowając ich dane przed Rosjanami, dbają o ich prywatność, zapewne wkurzając przy tym rosyjskie służby. Kto wie?
Lepsza taka wojna niż strzały i czołgi.
Żyjemy w czasach, w których możemy się okładać po pyskach przez internet. Jest to szalenie łatwie i opłacalne (por. Wirusy nie potrzebują paszportów). Zamiast strzelać i mordować, formatujemy sobie dyski. I utrata danych to zdecydowanie “milsza” perspektywa niż utrata życia. Więc
make exploits not war ))
