Czy jedyną odpowiedzią na działania hakerów wywiadu innego kraju może być powołanie swojej grupy włamywaczy? Microsoft pokazuje, że do istotnego zakłócenia działań przeciwnika wystarczy zdeterminowany zespół prawników.
Działania włamywaczy określanych jako APT28 czy APT29 (powiązanych z rosyjskimi służbami cywilnymi i wojskowymi FSB i GRU) wydają się być bardzo trudne do powstrzymania. Ataki socjotechniczne i sprawna strona technologiczna nie zostawiają ofiarom wielkiego pola manewru. Co gorsza, obcego wywiadu nie da się postawić przed sądem (a przynajmniej dopóki funkcjonariusz cudzej służby nie zostawi wyraźnych śladów wrogiej działalności i nie wpadnie w ręce organów kraju, który atakował). Jeszcze mniej w wojnie wywiadów mają do powiedzenia firmy, których znaki towarowe naruszają hakerzy podszywając się pod znane marki. Ale od czego są prawnicy!
Jak Microsoft rosyjskich hakerów zhakował przed sądem
Dzięki świetnemu artykułowi Kevina Poulsena możemy poznać historię walki zespołu prawników Microsoftu z grupą APT28, która między innymi podejrzana jest o ataki na komitet wyborczy Demokratów w trakcie ostatniej kampanii prezydenckiej w USA. Prawnikom udało się doprowadzić do zakłócenia rosyjskich operacji wywiadowczych i zidentyfikowania 122 nieznanych wcześniej ofiar włamań. A wszystko dzięki przejętym domenom.
W zeszłym roku prawnicy Microsoftu pozwali przed amerykańskim sądem włamywaczy stojących za setkami ataków na firmy i organizacje polityczne w USA. Wykorzystali w tym celu sprytny argument – rosyjscy hakerzy lubili podszywać się pod marki Microsoftu rejestrując swoje złośliwe domeny, np. livemicrosoft.net czy rsshotmail.com. To wystarczyło, by postawić im zarzuty i rozpocząć postępowanie. Pod wskazanymi adresami rosyjscy hakerzy trzymali serwery C&C, kontrolujące zainfekowane komputery swoich ofiar. Microsoft wskazał 70 takich domen by spróbować przejąć nad nimi kontrolę. Prawnicy wyprodukowali tysiące stron dokumentów uzasadniających ich żądania i w końcu sąd się do nich przychylił. Domeny trafiły pod kontrolę ekspertów Microsoftu, którzy od tego momentu mogli śledzić przychodzące do nich połączenia i identyfikować ofiary włamań. W ten sposób udało się ustalić 122 nowe ofiary, które prawdopodobnie nie wiedziały, że APT28 kontrolowało ich komputery.
Kiedy tylko rejestratorzy domen otrzymali i wykonali sądowe nakazy przekazania ich pod kontrolę Microsoftu, rosyjscy hakerzy zarejestrowali nowe adresy. Microsoft spędził sporo czasu identyfikując nowe domeny i dodając je do listy naruszających jego prawa. Lokalizowanie nowych adresów nie jest trywialnym zadaniem – trzeba korelować wiele elementów takich jak adresy IP czy dane osób i firm podawanych jako właściciele domen. Microsoft przygotował także tabelkę nazw domenowych, których może w przyszłości użyć grupa APT28.
Jak pozwać rosyjskich hakerów
Pozwanie kogoś, kto nie ma adresu korespondencyjnego, nie jest prostym zadaniem. Sąd pozwolił Microsoftowi na próbę ustalenia tożsamości atakujących. Zapytał rejestratorów domen i firmy hostingowe o wszystkie dostępne dane związane z ruchem internetowym oraz płatnościami w procesie rejestracji podejrzanych adresów. Okazało się jednak, że przestępcy zawsze płacili bitcoinami lub przedpłaconymi kartami płatniczymi a połączenia wykonywali wyłącznie za pomocą sieci Tor. Nie mając danych pozwanych, prawnicy Microsoftu dokumenty wysyłali zatem emailem, na adresy podawane w danych potrzebnych do zarejestrowania domeny. Choć nie doczekali się nigdy odpowiedzi, to elementy osadzone w wysyłanych dokumentach pozwoliły im potwierdzić, że co najmniej 30 z nich zostało otwartych przez odbiorców.
Metoda atakowania przeciwnika przez przejmowanie kontroli nad jego domenami nie jest nowa – Microsoft dość skutecznie używał jej już w walce z takimi botnetami jak Rustock, Waledac, Kelihos czy Citadel (w tym ostatnim przypadku „przy okazji” przejmując domeny zarejestrowane w tym samym celu przez innych badaczy…). Po najnowszej akcji Microsoftu rosyjscy włamywacze zaczęli zmieniać taktykę – nowe domeny coraz rzadziej zawierają teraz nazwy firm, które mogą ich pozwać. Wygląda zatem na to, że działania Microsoftu musiały im przynajmniej w pewnym stopniu zaszkodzić. Pamiętajcie, nie lekceważcie mocy prawników!
Jeśli kogoś interesują szczegóły to tu znajdzie dokumentację sprawy.
Komentarze
No to sie faktycznie Rosja rozsypie przez te kawalki prawniczego papieru toaletowego. Nie wiem, czy ten artykul to na powaznie, czy czysta kpina z glupoty i naiwnosci Amerynakow zyjacych w swoim prawniczym matrixie.
Skoro zmienili strategię rejestracji domen C&C, to znaczy że faktycznie była to dla nich pewna upierdliwość.
dokladnie
Tu raczej chodzi o ochronę własnej marki i ewentualnych klientów.
Sama działalność wrażych hakerów nie ma prawdopodobnie dla Microsoftu większego znaczenia.
Jest jeszcze opinia, że produkty tej firmy to szmelc…
Adamie, tytuł powinien brzmieć „Microsoft próbuje wygrać potyczkę z rosyjskim wywiadem”.
.
Microsoft to duży gracz, ale cyberprzestępców na usługach Kremla nie złamie.
.
Pamiętaj że FSB/GRU ma nieformalny układ z rosyjskim cyberpodziemiem: dopóki działacie dla dobra Rosji i/lub nie szkodzicie Rosji, dopóty macie parasol ochronny Kremla.
.
Rosja pójdzie w zaparte że to nie ona, ewentualnie znajdzie jakiegoś jelenia którego poświęci na pożarcie papugom.
.
Tak więc Microsoftowe papugi vs Kreml, jednak na korzyść Kremla.
Choć nie doczekali się nigdy odpowiedzi, to elementy osadzone w wysyłanych dokumentach pozwoliły im potwierdzić, że co najmniej 30 z nich zostało otwartych przez odbiorców.
W jaki niby sposób? Naprawdę ktoś myśli że ludzie z tego APT to tacy kretyni którzy pozwolili by na zdalne zawartości? Czy o czymś nie wiem i każdy może osadzić obrazek z serwera gdzie nie ma komunikatu o tym że dokument typu doc/docx chce załadować zdalne zawartości?
wlacz winword i wiresharka i ogladaj
Jeśli nie oglądasz maili w plain tekście, to jesteś podatny. Najprostrszą metodą jest obrazek 1 pxelowy, pobierany z twojej strony, a trochę bardziej skomplikowana metoda robi coś ze stylami maila(większośc klientów podstawowo wyświelta maile jako html)
Bardzo dobrze nie należy udzielać Rosjanom wywiadòw. Wiadomo że rosyjskie media manipulują. Dlatego zawsze trzeba się upewnić że to nie rosyjskie media nawet gdy podają się za Polsat !!
„(…) Microsoft przygotował także tabelkę nazw domenowych, których może w przyszłości użyć grupa APT2.”
Zastanawiam się, od kiedy wolno rejestrować domeny będące nazwami usług sieciowych; np. http?
Jeśli chodzi o „zmianę strategii rejestracji domen” to tutaj właściwie chodzi o to, że jeśli „cyberprzestępca” rejestruje domenę w której jest wykorzystany zastrzeżona nazwa – znak towarowy jakiegoś podmiotu, to o wiele łatwiej taką domenę zablokować u rejestratora. To jest dosyć oczywista sprawa, dlatego też domeny zawierające nazwę banku czy też firmy są zazwyczaj wykorzystywane do szybkich 2-3 dniowych akcji, bo po tym czasie zostaną zablokowane (z małymi wyjątkami).