Šios įmonės kibernetinio saugumo tyrėjai antradienį informavo, kad atlieka kibernetinio šnipinėjimo kampanijos, pavadintos „Operation Softcell“ tyrimą. Šios kampanijos metu paveikti ryšio operatoriai Europoje, Azijoje, Afrikoje ir Artimuosiuose Rytuose. Ryšio paslaugų teikėjų tinklai buvo infekuoti dar nuo 2012 metų, tokiu būdu įgyjant visišką šių tinklų kontrolę. Per tą laiką iš operatorių tinklų atsisiųsti šimtai gigabaitų duomenų apie asmenis, rašo cnet.com.
Kol kas tai yra tik pirmosios žinios apie milžiniško masto įsilaužimą – tikėtina, kad gerokai daugiau žinių sulauksime ateinančiomis dienomis, mat galėjo nutekėti įvairiausiose srityse dirbančių įmonių klientų informacija. Taip pat programišiai turėjo aukšto privilegijuotumo lygio prieigą, kuri leido ne tik vogti informaciją.
„Jie turi visus vartotojų vardus ir slaptažodžius ir sukūrė daugybę domeno lygio privilegijų sau, su daugiau nei vienu vartotoju. Jie gali daryti viską, ko panorėję. Kadangi jie turi tokio lygio prieigą, kilus norui jie tinklus galėtų išjungti kad ir rytoj“, – sakė „Cybereason“ saugumo tyrimų padalinio vadovas Amitas Serperis.
Pavogti gigabaitai duomenų
Kibernetinės atakos prieš infrastruktūrą yra nacionalinio saugumo klausimas: programišiai rado būdų išjungti elektros tinklus – ką dukart jau įrodė Ukrainoje. Reaguodamas į atakas prieš savo infrastruktūrą, JAV Nacionalinio saugumo departamentas įsteigė atskirą centrą, kurio darbas yra apsauga nuo atakų prieš JAV infrastruktūrą. Ir net šis pats kibernetinės gynybos centras yra dažnas programišių taikinys. O jei programišiai sugebėtų išjungti mobiliojo ryšio tinklus, visoje šalyje kiltų komunikacijos problemų ir iš esmės prasidėtų suirutė.
Telefonuose jokios piktybinės įrangos nėra. Jie tiksliai žino kur esate ir su kuo kalbatės, nors į telefonus neįdiegė jokio piktybinio kodo.
A.Serperis sakė, kad ataka prieš mobiliuosius tinklus vis dar nėra pasibaigusi ir pažeistų mobiliojo ryšio operatorių gali rastis daugiau. Ir nors galimybę trikdyti tinklų veikimą jie turi, programišius daugiau domina šnipinėjimas ir duomenų vagystės.
Nustatyta, kad programišiai yra pavogę šimtus gigabaitų duomenų apie skambučius – įskaitant tokią, jautrią informaciją, kaip realaus laiko geolokacijos informacija, nekalbant apie ryšių žurnalo informaciją (skambintojo ir adresato numerius, skambučių laiką ir trukmę), taip pat informaciją apie trumpųjų žinučių siuntimą.
Tiesa, nors neteisėta prieiga buvo gauta prie milijonų asmenų duomenų, iš tiesų programišius domino tik mažiau nei 100 žmonių, kurių duomenys daugiausiai ir buvo siunčiami programišiams. Taikiniais tapo žinomi asmenys: valdžios institucijų darbuotojai, kariuomenių vadai, sakė „Cybereason“ saugumo praktikos viceprezidentas Moras Levi.
Jei ryšio operatoriai įsilaužimo nepastebėjo, programišiai nusižiūrėtų taikinių skambučių žurnalus gali stebėti realiu laiku.
„Įsilaužimas į kompaniją, kuri turi kalnus duomenų, kurie yra nuolat atnaujinami, yra tarsi Šventasis Gralis žvalgybos agentūroms. Kalba eina ne tik apie prieigos įgijimą. Kalba eina apie nuolatinės prieigos palaikymą“, – sakė A.Serperis.
Kaip vyko atakos
„Cybereason“ ekspertai išsiaiškino, kad programišiai prieigą prie ryšio operatorių serverių įgijo išnaudodami senas kibernetinio saugumo spragas – pavyzdžiui, įterpdami piktybinį kodą į „Microsoft Word“ rinkmeną ar surasdami prasčiau apsaugotą tai operatoriui priklausančią viešąją tarnybinę stotį.
Patekus į tinklą vykdomas piktybinės programinės įrangos platinimas: surandami visi į tą patį tinklą sujungti kompiuteriai ir bandoma prie jų gauti prieigą užtvindant juos bandymais prisijungti. Tokie bandymai plisti vykdomi tol, kol veikia turimi prisijungimo duomenų rinkiniai ir tol, kol programišiai negauna prieigos prie skambučių duomenų bazių.
Įgiję tokio lygio prieigą programišiai taip pat prisikurdavo sau paskyrų svetimuose tinkluose, naujosioms paskyroms suteikdami aukšto lygio prieigos teises – iš esmės, programišiai apsimeta ryšio operatorių darbuotojais. Todėl net jeigu pažeistosios bendrovės imtųsi priemonių pašalinti saugumo spragas, programišiai turėtų galimybę išsaugoti prieigą prie tų tinklų dar daugelį metų po saugumo spragų pašalinimo.
Kadangi atakos metodas buvo sudėtingas ir tikslinis, „Cybereason“ tyrėjai turi pagrindo manyti, jog jų užsakovas buvo valstybės. Visi analizės duomenys (panaudoti įrankiai, metodai ir tarnybinės stotys) rodo į konkrečią valstybę – Kiniją bei su Kinija siejamą programišių grupuotę APT10.
Tiesa, nepaneigiamų įkalčių, kad tai iš tiesų yra Kinijos vyriausybės užsakymu vykdyta šnipinėjimo kampanija, nėra. Nors programišiai naudojasi kiniška programine įranga ir kiniškais serveriais, tyrėjų manymu, gali būti, kad kokie nors dar suktesni programišiai gali bandyti „pakišinėti“ Kiniją.
„Kadangi mūsų matyti įrankiai jau buvo patekę į viešumą ir juos gali rasti kiekvienas, žinanatis ko ieško, tai gali būti bet kas, kas nori atrodyti kaip APT10“, – sakė M.Levi.
Ką daryti?
„Cybereason“ tikina, kad apie įsilaužimą pranešė visiems paveiktiems ryšio operatoriams, nors nėra aišku, kokiomis priemonėmis buvo stabdomas įsibrovimas.
M.Levi rekomenduoja visiems ryšio operatoriams griežtai stebėti visą savo įrangą, palaikančią ryšį su internetu, ypač – tarnybines stotis. Taip pat mobiliojo ryšio operatoriai turėtų atidžiai įvertinti kiekvieną vidinę vartotojo paskyrą su aukšto lygio prieigos teisėmis.
A.Serperis teigia, jog situacijos tyrimas dar nesibaigė – kiekvieną dieną vis atrandama naujų kompanijų, kurios nukentėjo šios operacijos metu, o programišių tarnybinės stotys iki šiol veikia be sustojimo.
Tuo tarpu asmenims, kurie yra stebimi programišių, iš esmės nereikia nieko daryti – jie neturi praktiškai jokių priemonių apsisaugoti nuo šnipinėjimo. Tiesą sakant, tokios šnipinėjimo aukos net neturi būdų sužinoti, kad jų skambučių ir žinučių duomenys yra vagiami iš ryšio operatorių.
„Telefonuose jokios piktybinės įrangos nėra. Jie tiksliai žino kur esate ir su kuo kalbatės, nors į telefonus neįdiegė jokio piktybinio kodo“, – sakė A.Serperis.