Często na naszych łamach mogliście przeczytać o atakach na rządy i firmy zachodniego świata, przypisywane Chińczykom. Do tej pory brakowało jednak jednoznacznych dowodów, potwierdzających tę tezę. Sytuację może zmienić raport firmy Mandiant.
Nortel, Nissan, Adobe, Coca Cola, Twitter, Facebook, Bit9 czy liczne amerykańskie agendy rządowe – to tylko niektóre z ofiar włamań, w których włamywaczom udało się zdobyć i utrzymać przez pewien czas dostęp do wewnętrznej sieci firmy. W części z wymienionych przypadków ofiary wprost wskazywały na chińskie źródła ataku, jednak najczęściej dowody, które miały uzasadniać takie tezy, były pośrednie – chińskie IP serwera C&C, język chiński użyty w treści złośliwego kodu czy też materiały, interesujące włamywaczy, dotyczące bezpośrednio Chin. Dzisiaj pojawił się jednak raport, który po raz pierwszy, bazując na dużej ilości informacji, wskazuje jednoznacznie nie tylko na Chiny, ale także na konkretny budynek w Szanghaju, z którego pochodzi większość ataków.
Mandiant, ekspert do spraw chińskich APT
Firma Mandiant od wielu lat specjalizuje się w analizie powłamaniowej systemów organizacji komercyjnych i rządowych. Dzięki zdobytej reputacji i doświadczeniu jest jednym z najczęściej wybieranych zewnętrznych dostawców, wzywanych w momencie stwierdzenia „ktoś buszuje w naszej sieci i czyta nasze dane”. Udział w wielu tego typu interwencjach pozwolił Mandiantowi na zebranie unikatowego zestawu danych na temat różnych autorów ataków wymierzonych w największe firmy i instytucje rządowe, głównie w USA. Jedną ze zidentyfikowanych przez ekspertów grup, stojących za atakami, jest tzw. APT1 – nazwa przyznana grupie, której aktywność Mandiant śledzi już od roku 2006. Im właśnie poświęcony jest najnowszy raport.
Raport w skrócie
Mandiant twierdzi, że APT1, zwana również Comment Group, odpowiada za co najmniej 141 ataków analizowanych przez firmę w ciągu ostatnich 7 lat. Dzięki monitorowaniu aktywności włamywaczy w czasie rzeczywistym, Mandiantowi udało się namierzyć pewną część infrastruktury używanej przez włamywaczy. Analiza połączeń, serwerów C&C, używanych narzędzi, procedur i taktyki wskazała na 4 sieci, z których nawiązywane były połączenia. Wszystkie adresy źródłowe zlokalizowane zostały w Szanghaju, z czego część lokalizacji udało się zawęzić do dzielnicy Pudong New Area. W tej samej dzielnicy znajduje się dwunastopiętrowy budynek należący do jednostki 61398 Chińskiej Armii Ludowo – Wyzwoleńczej. Cel działania tej jednostki jest objęty tajemnica państwową, lecz rekrutuje ona specjalistów ds. sieci oraz bezpieczeństwa IT, mówiących biegle po angielsku, a sam budynek podłączony jest łączem światłowodowym o znaczeniu krytycznym dla bezpieczeństwa kraju.
Analizowana grupa korzysta ze specyficznych narzędzi, których nie zaobserwowano w innych atakach (Np. GETMAIL oraz MAPIGET, służących do kradzieży poczty). Po uzyskaniu dostępu do sieci swojej ofiary, włamywacze starają się zebrać jak najwięcej wartościowych informacji i jak najdłużej utrzymać swój dostęp. Średnio w obserwowanych przypadkach włamywacze byli obecni w sieci ofiary przez rok, a znany jest tez przypadek, kiedy atak trwał ponad 4 lata. W rekordowym przypadku włamywaczom udało się wytransferować z zaatakowanej sieci ponad 6TB danych. Branże, z których pochodzą zaatakowane firmy, zgodne są z listą strategicznych branż dla rozwoju chińskiej gospodarki.
Skalę działalności grupy najlepiej obrazuje fakt, ze w ciągu ostatnich dwóch lat korzystała z co najmniej 937 serwerów C&C, znajdujących się pod 849 różnymi adresami IP w 13 państwach oraz jej członkowie logowali się co najmniej 1905 razy do swoich serwerów z 832 rożnych adresów IP. W 97% przypadków z tych 1905 analizowanych logowań, połączenia były nawiązywane z Szanghaju, a systemy, używane do połączenia, korzystały z chińskiej strony kodowej. Dodatkowo, w 614 przypadkach, gdy atakujący używali narzędzia HTRAN do przesyłania danych, w 614 przypadkach adresy IP były zarejestrowane w Chinach, a 613 należało do jednej z 4 zidentyfikowanych sieci w Szanghaju.
Czy to na pewno chińska armia?
Biorąc pod uwagę wagę przytoczonych przez Mandianta dowodów, należy rozważyć także drugą hipotezę. Być może, w najludniejszym chińskim mieście, w bliskiej okolicy profesjonalnej jednostki wojskowej, zajmującej się kwestiami bezpieczeństwa komputerowego, korzystając z podlegających całkowitej inwigilacji łącz państwowego operatora, działa od 7 lat nielegalny, kilkusetosobowy, świetnie zorganizowany zespół hakerów, o którym chińskie władze nie mają zielonego pojęcia. To całkiem prawdopodobne, prawda? Polecamy także lekturę pełnej treści raportu – zawarto w nim dużą ilość informacji, potwierdzających tezy Mandianta.
Oprócz opisowego raportu, Mandiant opublikował także obszerny załącznik, zawierający spisy domen, sygnatur MD5 czy certyfikatów używanych przez atakujących. Dane te mogą zostać użyte do tworzenia sygnatur, pozwalających wykrywać przyszłe lub trwające ataki. Na deser Mandiant opublikował także nagranie przechwyconej sesji jednego z włamywaczy w trakcie pracy.
Komentarze
Wiem że stary news, ale jedna sprawa mnie zastanawia:
a) W dużym stopniu to rozległe działanie i specjalizacja APT potwierdza że stoi za tym chińska armia.
b) Raport firmy Mandiant – taki dokładny, szczegółowy, precyzyjnie dobrane słowa oraz ilość przekazanych nam informacji. Ile dokładnie pracuje tam osób? W jaki sposób? Ile jest firm podrzędnych/struktura grup finansowych i przerejestrowań. Skąd te wszystkie firmy mają tyle $$$ na taką pracę? (to nie tylko M., jest ich sporo więcej)
c) Jeśli Mandiant to tylko prywatna firma – to następny ruch należy do chińczyków, aby się do nich włamać. Contra. Ale jeśli za Mandiant stoi wyżej inna jednostka i chińczycy o tym się dowiedzą, to raczej zostawią ich w spokoju, aby nie prowokować otwartej dyskusji i dodatkowego „zbrojenia” :)
Wiem że stary news, ale jedna sprawa mnie zastanawia:
a) W dużym stopniu to rozległe działanie i specjalizacja APT potwierdza że stoi za tym chińska armia.
b) Raport firmy Mandiant – taki dokładny, szczegółowy, precyzyjnie dobrane słowa oraz ilość przekazanych nam informacji. Ile dokładnie pracuje tam osób? W jaki sposób? Ile jest firm podrzędnych/struktura grup finansowych i przerejestrowań. Skąd te wszystkie firmy mają tyle $$$ na taką pracę? Konkurencja jest ogromna, ale jest różnica między raportami w stylu Symanteca, a tym raportem, ilość i jakość zebranych danych.
Na ile jest prawdopodobne mniej lub bardziej ścisłe powiązanie z jakąś agencją?
c) Jeśli Mandiant to tylko prywatna firma – to następny ruch należy do chińczyków, aby się do nich włamać. Contra. Ale jeśli za Mandiant stoi wyżej inna jednostka i chińczycy o tym się dowiedzą, to raczej zostawią ich w spokoju, aby nie prowokować otwartej dyskusji i dodatkowego „zbrojenia” :)