Ήταν το 2015 όταν ειδικοί
ερευνητές του FBI επιβεβαίωσαν ότι μεγάλος αριθμός servers ήταν
ουσιαστικά υπό τον απόλυτο έλεγχο της Κίνας. Πολλοί από αυτούς
χρησιμοποιούνταν σε data centers του Υπουργείου Αμύνης (DoD – Department
of Defense) των ΗΠΑ, επιχειρήσεις των drones της CIA, δίκτυα
υπολογιστών σε πολεμικά πλοία, επικοινωνίες με τον Διεθνή Διαστημικό
Σταθμό, κά. Ήταν η στιγμή που έλουσε κρύος ιδρώτας την κοινότητα των
μυστικών υπηρεσιών όχι μόνο των ΗΠΑ, αλλά και όλου του δυτικού κόσμου.
Όλα ξεκίνησαν όταν η Amazon.com Inc άρχισε να δείχνει ενδιαφέρον για
την εξαγορά της Elemental Technologies μιας νέας, αλλά πολλά
υποσχόμενης, εταιρείας που κατασκεύαζε προϊόντα συμπίεσης video. Η
Elemental ουσιαστικά παρήγαγε το λογισμικό και το ενσωμάτωνε σε servers
που αποκτούσε από την Super Micro Computer Inc.
Η τελευταία ήταν ένας από τους μεγαλύτερους τροφοδότες server motherboards παγκοσμίως, με ετήσια έσοδα της τάξης των 2,5 με 3 δις δολαρίων και πάνω από 900 πελάτες σε 100 χώρες. Μεταξύ αυτών συγκαταλέγονταν το DoD, η NSA, η CIA, το US Navy, η NASA, το Κογκρέσο, η Βουλή των Αντιπροσώπων, το Department of Homeland Security, η Amazon, η Apple, μεγάλες τράπεζες κά.
Στο πλαίσιο της διερεύνησής της, η Amazon έστειλε στον Καναδά μερικούς servers της Elemental, ώστε να ελεγχθούν για την ασφάλειά τους από ανεξάρτητο φορέα. Εκεί ανακαλύφθηκε η ύπαρξη ενός μικροσκοπικού κυκλώματος στις motherboards, που δεν υπήρχε στα αναλυτικά σχέδια. Επρόκειτο για ένα chip μικρότερο από ένα κόκκο ρυζιού, που δεν προσέλκυε προσοχή, αφού έμοιαζε πολύ με παθητικό εξάρτημα υποστήριξης σαν τα πάμπολλα που υπάρχουν σε κάθε motherboard.
Όμως, μετά από διεξοδική έρευνα σε συνεργασία με το FBI, βρέθηκε ότι το συγκεκριμένο εξάρτημα είχε αποθηκευμένο κώδικα και σε κατάλληλη στιγμή αλλοίωνε τον πυρήνα του λειτουργικού συστήματος Linux, που έτρεχε στον server. Κατόπιν, άνοιγε μια κρυφή πίσω «πόρτα» (backdoor) από την οποία επικοινωνούσε με κάποιον απομακρυσμένο και ανώνυμο υπολογιστή στο Internet, από τον οποίο λάμβανε περεταίρω κώδικα για να διευρύνει το επίπεδο παράνομης πρόσβασης στον συγκεκριμένο server και στο δίκτυό του γενικότερα.
Λόγω της hardware φύσης της, η επέμβαση δεν ήταν δυνατόν να ανιχνευθεί από κανενός είδους αντιβιοτικό και δεν αφαιρούνταν ούτε μετά από ολικό format. Λόγω της σοβαρότητάς της, στην έρευνα ενεπλάκησαν και άλλοι φορείς των ΗΠΑ (NSA, CIA, DoD κά), οι οποίοι ανίχνευσαν την πηγή των παραβιάσεων σε μία ειδική μονάδα του κινεζικού Στρατού.
Ανακάλυψαν επίσης και πλήθος άλλων servers, οι οποίοι είχαν επίσης τροποποιηθεί με παρόμοιο κύκλωμα, αλλά μικρότερο και πολύ καλύτερα κρυμμένο ανάμεσα στις εποξικές στρώσεις του τυπωμένου κυκλώματος. Τέτοια κυκλώματα μπορούν να ανακαλυφθούν μόνο με χρήση αξονικής τομογραφίας.
Επίσημα για προφανείς λόγους, οι εμπλεκόμενοι φορείς και τα θύματα της επέμβασης δήλωσαν είτε ότι δεν είχαν προσβληθεί, είτε ότι δεν υπήρξε απώλεια δεδομένων. Όμως όλοι έσπευσαν να αντικαταστήσουν τα συγκεκριμένα συστήματα που είχαν στην κατοχή τους.
Ειδικά η Apple έγινε γνωστό ότι αντικατέστησε μέσα σε λίγες εβδομάδες περίπου 7000 τέτοιους servers. Επίσης, όλοι φρόντισαν να διακόψουν κάθε συνεργασία με την Supermicro. Η τελευταία, εκεί που προέβλεπε έσοδα του ύψους των 3,2 δις δολαρίων το 2015, κατέληξε να αποβληθεί από τον Nasdaq.
Γενικά, οι ΗΠΑ, η Ρωσία, η Κίνα, το Ηνωμένο Βασίλειο και άλλες προηγμένες χώρες έχουν αρκετές φορές ανταλλάξει κατηγορίες για διεξαγωγή hardware και software κυβερνοεπιθέσεων. Οι κατηγορίες γενικά αφορούν βιομηχανική κατασκοπεία, αφού οι επιθέσεις με στρατιωτικό περιεχόμενο δεν αποκαλύπτονται.
Και άλλα ενδιαφέροντα περιστατικά διείσδυσης και ελέγχου πληροφοριακών και άλλων ηλεκτρονικών συστημάτων ξένων χωρών έχουν κατά καιρούς βγει στην επιφάνεια της δημοσιότητας. Ας θυμηθούμε τους ιούς EquationDrug και GrayFish και πως η NSA τους χρησιμοποίησε για να «πειράξει» το firmware σκληρών δίσκων. Με τον τρόπο αυτόν, η NSA αναλάμβανε τον πλήρη έλεγχο των υπολογιστικών συστημάτων, στα οποία ήταν εγκατεστημένοι οι δίσκοι, μέχρι που το αποκάλυψε η ρωσική Kaspersky.
Άλλο παράδειγμα είναι η επιτυχημένη χρήση του Stuxnet worm από τις
ΗΠΑ και το Ισραήλ για να προσβάλει τους ελεγκτές (PLC – Programmable
Logic Controllers) των συστημάτων επιτήρησης και ελέγχου (SCADA –
Supervisory Control And Data Acquisition) των πυρηνικών εγκαταστάσεων
του Ιράν και την πρόκληση σημαντικής βλάβης σε αυτές.
Η τελευταία ήταν ένας από τους μεγαλύτερους τροφοδότες server motherboards παγκοσμίως, με ετήσια έσοδα της τάξης των 2,5 με 3 δις δολαρίων και πάνω από 900 πελάτες σε 100 χώρες. Μεταξύ αυτών συγκαταλέγονταν το DoD, η NSA, η CIA, το US Navy, η NASA, το Κογκρέσο, η Βουλή των Αντιπροσώπων, το Department of Homeland Security, η Amazon, η Apple, μεγάλες τράπεζες κά.
Στο πλαίσιο της διερεύνησής της, η Amazon έστειλε στον Καναδά μερικούς servers της Elemental, ώστε να ελεγχθούν για την ασφάλειά τους από ανεξάρτητο φορέα. Εκεί ανακαλύφθηκε η ύπαρξη ενός μικροσκοπικού κυκλώματος στις motherboards, που δεν υπήρχε στα αναλυτικά σχέδια. Επρόκειτο για ένα chip μικρότερο από ένα κόκκο ρυζιού, που δεν προσέλκυε προσοχή, αφού έμοιαζε πολύ με παθητικό εξάρτημα υποστήριξης σαν τα πάμπολλα που υπάρχουν σε κάθε motherboard.
Όμως, μετά από διεξοδική έρευνα σε συνεργασία με το FBI, βρέθηκε ότι το συγκεκριμένο εξάρτημα είχε αποθηκευμένο κώδικα και σε κατάλληλη στιγμή αλλοίωνε τον πυρήνα του λειτουργικού συστήματος Linux, που έτρεχε στον server. Κατόπιν, άνοιγε μια κρυφή πίσω «πόρτα» (backdoor) από την οποία επικοινωνούσε με κάποιον απομακρυσμένο και ανώνυμο υπολογιστή στο Internet, από τον οποίο λάμβανε περεταίρω κώδικα για να διευρύνει το επίπεδο παράνομης πρόσβασης στον συγκεκριμένο server και στο δίκτυό του γενικότερα.
Λόγω της hardware φύσης της, η επέμβαση δεν ήταν δυνατόν να ανιχνευθεί από κανενός είδους αντιβιοτικό και δεν αφαιρούνταν ούτε μετά από ολικό format. Λόγω της σοβαρότητάς της, στην έρευνα ενεπλάκησαν και άλλοι φορείς των ΗΠΑ (NSA, CIA, DoD κά), οι οποίοι ανίχνευσαν την πηγή των παραβιάσεων σε μία ειδική μονάδα του κινεζικού Στρατού.
Ανακάλυψαν επίσης και πλήθος άλλων servers, οι οποίοι είχαν επίσης τροποποιηθεί με παρόμοιο κύκλωμα, αλλά μικρότερο και πολύ καλύτερα κρυμμένο ανάμεσα στις εποξικές στρώσεις του τυπωμένου κυκλώματος. Τέτοια κυκλώματα μπορούν να ανακαλυφθούν μόνο με χρήση αξονικής τομογραφίας.
Επίσημα για προφανείς λόγους, οι εμπλεκόμενοι φορείς και τα θύματα της επέμβασης δήλωσαν είτε ότι δεν είχαν προσβληθεί, είτε ότι δεν υπήρξε απώλεια δεδομένων. Όμως όλοι έσπευσαν να αντικαταστήσουν τα συγκεκριμένα συστήματα που είχαν στην κατοχή τους.
Ειδικά η Apple έγινε γνωστό ότι αντικατέστησε μέσα σε λίγες εβδομάδες περίπου 7000 τέτοιους servers. Επίσης, όλοι φρόντισαν να διακόψουν κάθε συνεργασία με την Supermicro. Η τελευταία, εκεί που προέβλεπε έσοδα του ύψους των 3,2 δις δολαρίων το 2015, κατέληξε να αποβληθεί από τον Nasdaq.
Γενικά, οι ΗΠΑ, η Ρωσία, η Κίνα, το Ηνωμένο Βασίλειο και άλλες προηγμένες χώρες έχουν αρκετές φορές ανταλλάξει κατηγορίες για διεξαγωγή hardware και software κυβερνοεπιθέσεων. Οι κατηγορίες γενικά αφορούν βιομηχανική κατασκοπεία, αφού οι επιθέσεις με στρατιωτικό περιεχόμενο δεν αποκαλύπτονται.
Και άλλα ενδιαφέροντα περιστατικά διείσδυσης και ελέγχου πληροφοριακών και άλλων ηλεκτρονικών συστημάτων ξένων χωρών έχουν κατά καιρούς βγει στην επιφάνεια της δημοσιότητας. Ας θυμηθούμε τους ιούς EquationDrug και GrayFish και πως η NSA τους χρησιμοποίησε για να «πειράξει» το firmware σκληρών δίσκων. Με τον τρόπο αυτόν, η NSA αναλάμβανε τον πλήρη έλεγχο των υπολογιστικών συστημάτων, στα οποία ήταν εγκατεστημένοι οι δίσκοι, μέχρι που το αποκάλυψε η ρωσική Kaspersky.
0 σχόλια:
Δημοσίευση σχολίου