A leggyengébb láncszem

Minden lánc annyira erős, amennyire erős a leggyengébb láncszeme. A kibervilágban sincs ez másképp.

A III. világháború gyakorlatilag elkezdődött, különböző államok esnek egymásnak a kibertérben. A kibertérben zajló háborúra jellemző, hogy a támadó jelentéktelen befektetések árán tud a másik oldalnak jelentős károkat okozni. Kárt okozni persze akkor lehet, ha sikerül bejutni a támadott rendszerbe – ehhez természetesen szükség van egy belépési pontra. Nos, ha a nyilvánvaló belépési pontok erősen védettek, kell találni egy kevésbé nyilvánvaló és kevésbé jól védett pontot. Például egy szerződött partnert.

A QinetiQ North America is egy ilyen szerződött partner az Egyesült Államokban, drónok, kémműholdak, szoftverek és egyéb had- és kémfelszerelések fejlesztője. A céget 2006-2008 között George Tenet, korábbi CIA igazgató vezette. A fejlesztési munkákat a James Bond-filmekből ismerős laboratórium inspirálta. A cég kiváló célpontnak tűnt kínai kiberkémek számára, akik három év alatt gyakorlatilag a cég összes titkát kilapátolták. Egy esetben olyan sérülékenységet használtak ki, amely hónapok óta ismert volt, de soha nem került befoltozásra. Christopher Day, aki februárig a Verizon Terremark biztonsági divízióját vezette – a céget két alkalommal kérték fel a betörések felderítésére – így nyilatkozott: “Nem volt olyan hely [a cég rendszereiben – a szerk.], ahol ne találtuk volna betörésre utaló nyomokat.”
icJjlLEaqLOsA QinetiQ csak egy része egy nagyobb méretű kiberkémkedési akciónak. 2007 óta kínai kiberkémek gyakorlatilag az összes szerződött partner rendszereit támadják. A zsákmány többszázmillió technológiai oldalra rúg, a QinetiQ-től azonban már nemzetbiztonsági információk is kikerültek, például a helikopterflotta telepítésére és képességeire vonatkozó információk. A 2007-es Lockheed Martin betörés során mind az F-35-ös, mind az F-22-es harci repülőkre vonatkozó információk is kikerültek.
2007-2008 során a Pentagon már felhívta kb. 30 beszállító figyelmét a támadások szaporodó számára – az nem derült ki, hogy a QinetiQ-hez eljutott-e ez a felhívás.
A nyomozás során eljutottak egy shanghai-i csoporthoz (Comment Crew), ami más cégekhez is sikeresen hatolt be, illetve 2008-ban célba vették Barack Obama és John McCain kampányát is. A Comment Crew-n kívül még legalább egy csoport is részt vett a támadásokban.
A Comment Crew a Mandiant-jelentés szerint 141 alkalommal hajtott végre akciókat és azonos a People Liberation Army 61398-s egységével.

A feltételezések szerint a kémkedési akciók elsődleges célja, hogy Kína minél gyorsabban behozhassa haditechnikai hátrányát az Egyesült Államokkal szemben. A QinetiQ-nél zajló kémkedési művelet veszélyeztette az érzékeny technológiákat, beleértve a drónokat, műholdakat, a helikopterflottát, a katonai robotikát, a már kész és a még fejlesztés alatt lévő rendszereket is. A cég szóvivője nem kommentálta a híreszteléseket ezekkel kapcsolatban.

Az események egy részéről azért tudunk, mert az Anonymous által a HBGary-től megszerzett levelekben szó esik róluk; a HBGary-t 2010-ben kérte fel a QinetiQ a biztonsági incidensek kivizsgálására.

A kiszivárgott riportok és e-mailek autentikusak – ezt megerősítette Christopher Day és a HBGary korábbi vezetői is. 2007 decemberében egy Naval Criminal Investigation Service (NCIS) ügynök figyelmeztette a céget, hogy két alkalmazott gépéről titkos információk szivárogtak ki. Az ügynökség egy másik ügy kapcsán történt nyomozás során bukkantak az adatokra és figyelmeztették a céget. A támadók kilétéről az ügynök nem adott tájékoztatást, akiket a Hírszerzés már 2002 óta figyelt, akik más védelmi partnerekhez is betörtek. A QinetiQ csak korlátozott vizsgálatot rendelt el. Brian Dykstra, egy marylandi igazságügyi nyomozó szerint – akit a cég a nyomozás elvégzésére bérelt fel – “Úgy gondolták, hogy ez csak valamilyen apróság, mint egy vírusfertőzés”.

Dykstra csak négy napot kapott a vizsgálatok lefolytatására. A nyomozó szerint a cég nem volt túl együttműködő és nem bocsátotta rendelkezésére azokat az információkat, amelyekből kideríthető lehetett volna, mely alkalmazottakat támadták még. Végső jelentésében figyelmeztette a céget, hogy “valószínűleg nem látják át teljes mértékben az őket ért támadást”.
Ez nagyon hamar bebizonyosodott, ugyanis 2008 januárjában a NASA figyelmeztette a társaságot: a cég gépeiről próbálnak betörni az ügynökséghez.
A következő hónapokban a cég a rendszereit ért támadássorozat minden egyes elemét külön incidensként kezelte. A támadók a támadássorozat első két és fél évében több, mint 13,000 jelszót loptak el és belső információkat szerezték a társaságról és annak szerveződéséről – csak hogy minél pusztítóbban sújthassanak le.

A további nyomozás újabb biztonsági lyukat fedezett fel: a QinetiQ belső hálózata elérhető volt egy nem biztonságos wifi-kapcsolaton keresztül egy parkolóból. Ugyanez a vizsgálat arra is fényt derített, hogy orosz támadók több, mint két és fél éve adatokat lopnak egy titkárnő gépén keresztül, amelyeket közvetlenül egy Orosz Föderációban lévő szerverre továbbítottak. Mindeközben a QinetiQ vezetői a növekvő költségek miatt nyugtalankodtak.
William Ribich szerint, aki 2009 novemberéig vezette a QinetiQ Technology Solutions Groupot (TSG), meg kell találni a megfelelő egyensúlyt a védekezésre fordított költségek és a bizonytalanul bekövetkező támadások között. [Ne feledjük: ezt egy védelmi beszállító egyik magas pozícióban lévő vezetője mondta… – a szerk.]

A kínai támadók először Ribbich walthami székhelyű divízióját nullázták le, különösen a drón- és robottechnikát. A dokumentumok szerint 2009-re a támadók teljesen átvették a TSG rendszereinek irányítását. Ebben az évben a kiberkémnek 251 napon keresztül legalább 151 gépet támadtak, szervereket és laptopokat egyaránt, katalogizálva a TSG forráskódjait és mérnöki adatait. Az információkat kis adatcsomagokban csempészték ki a cégtől, hogy megelőzzék az észlelést. Mielőtt teljesen leállították volna ezt a szivárgást, addigra több, mint 20 GB-nyi adat hagyta el a cég rendszereit.

“Minden kódjuk és kereskedelmi titkaik odavesztek” – ezt Phil Wallisch, a HBGary egyik biztonsági mérnöke nyilatkozta a cégétől kiszivárgott e-mailek szerint. A helyzet azonban még tovább romlott: a támadók megszerezték Darren Back hálózati adminisztrátor hozzáférését és 2010 márciusában ezzel léptek be a rendszerekbe. A támadók ugyanolyan egyszerűen léptek be távolról, mintha alkalmazottak lettek volna, ugyanis a QinetiQ nem használt kétfaktoros azonosítást. Erre a hiányosságra hónapokkal korábban felhívta a figyelmet a Mandiant, akiket felkértek a korábbi események során a felderítésre. A megoldás nem került volna sokba, de teljesen figyelmen kívül hagyták.

Négynapos aktivitásuk során a támadók 14 szerverre hatoltak be, a cég pittsburgh-i és huntsville-i rendszereire koncentrálva, ahonnan haladó robotikai, valamint nagyon érzékeny csúcstechnológiai fegyverrendszerek dokumentumait és forráskódjait szerezték meg. Gyakorlatilag a QinetiQ minden digitális titkára rátették a kezüket. Amint a támadás szélesedni kezdett és a támadók túljutottak a TSG-n, a QinetiQ két céget bérelt fel 2010 áprilisában: a Terremarkot és egy viszonylag új céget, a HBGary-t, amelyet Greg Hoglund, a hackerből lett biztonsági szakértő alapított.

A HBGary speciális szoftver telepített több, mint 1900 számítógépre és elkezdték keresni az ártalmas kódokat. A hibák szinte azonnal felszínre kerültek. A HBGary kiszivárgott e-mailjei szerint a program legalább a gépek harmadán nem töltődött be rendesen, vagy ha igen, akkor sem fedezte fel a támadók kódjait annak ellenére sem, hogy ismert volt a gépek fertőzöttsége. Matthew Anglin, a QinetiQ információbiztonsági szakértője megijedt attól, hogy nem tudja, mi történik a hálózatán. Az ő feladata volt a két nyomozás koordinálása. Kétségét fejezte ki, miszerint a drága külső megbízottak nem találják a fogást a támadók kódjain, de időt vesztegetnek ártalmatlan, vagy illetéktelen programok nyomkövetésére.
A két megbízott cég is civakodott. A HBGary egy jelentésben panaszkodott, hogy a Terremark fontos információkat tart vissza; a Terremark azzal vágott vissza, hogy a támadók tudtak a HBGary utánuk folyó nyomozásáról és az általuk használt technológiát használják a nyomaik eltüntetésére. Wallisch egy e-mailben azt írta: “Azt hitték, figyelmeztettük a támadókat”.

A két cég bizonyítékokat talált arra, hogy a támadók a QinetiQ gyakorlatilag minden részébe befurakodtak, beleértve a műholdbázisú kémprogram fejlesztését is. 2010 júniusának közepére a két cég úgy gondolta, hogy megtisztították a QinetiQ hálózatát és összecsomagoltak.

A nyugalom kicsit több, mint két hónapig tartott. Szeptemberben az FBI értesítette a QinetiQ-et, hogy bizonyítékuk van a cégtől származó újabb adatszivárgásra. Anglin azonnal felvette a kapcsolatot a két korábban megbízott céggel, hogy olyan gyorsan jöjjenek vissza, amennyire csak lehetséges. Érkezésük után néhány órával már újabb malware-eket találtak, néhány már 2009 óta a rendszereken tanyázott.
A két cégnek elkezdett derengeni, hogy a támadók gyakorlatilag állandóan jelen vannak a QinetiQ rendszereiben és amint egy új információ rögzítésre kerül a merevlemezekre, azonnal kilapátolják azokat. A nyomozóknak a türelmetlen alkalmazottakkal is meg kellett küzdeniük. A HBGary detektálóprogramja túl sok erőforrást emésztett fel a számítógépeken, így az alkamazottak engedéllyel törölték azokat az általuk használt számítógépekről. A nyomozás arra is fényt derített, hogy az alelnök, a mérnökök és az architectek gépei is fertőzöttek.

A Qinetiq specialista volt a katonai robotok mikrochipjein alkalmazott, beágyazott rendszerek területén, ami segítette Kínát saját robotprogramja fejlesztésében. 2012 áprilisában a távol-keleti állam bemutatta saját tűzszerész robotját, amely feltűnő hasonlóságokat mutat a QinetiQ Dragon Runnerével. A chip architektúrájának ismerete szintén segíthet Kínának az amerikai robotok és drónok elfogásában.
A támadók megszerezték a helikopterflotta érzékeny adatait is: PIN-kódok, kritikus információk, telepítési és teljesítményadatok kerültek idegen kezekbe.

A Külügyminisztérium lépése, amely visszavonná a QinetiQ megbízásait és jogosultságát az érzékeny katonai adatok kezelésére, még várat magára. A szervezetben egyelőre hiányoznak az erőforrások a veszteségek megfelelő kiértékelésére.

“Ebben az esetben úgy tűnik, évek telnek el anélkül, hogy látszana valamilyen fejlődési görbe és ez az, ami ijesztő” – mondta Steven Aftergood. “A cég felelős a saját hibáiért, de a kormány felelős a nem megfelelő válaszért”. A QinetiQ tevékenységét egy bizottság vizsgálta felül, amelynek tagja volt Riley Mixson, korábbi légi hadviselési főnök. A bizottság többször is tájékoztatást kapott a betörésekről és vizsgálatokról. Egy igen rövid telefonos interjúban Mixson kijelentette: “Mindent megfelelően jelentettek”, majd lecsapta a kagylót. Tenet megtagadta a nyilatkozatot.

A vizsgálatok és azok végeredményei nem befolyásolták a cég sikereit a kormányzati pályázatokon, sőt, állami ügynökségeknek biztosítanak kibervédelmi szolgáltatásokat. [… – a szerk.] 2012 májusában a QinetiQ 4.7 millió USD-s szerződést kötött a Közlekedési Minisztériummal, ami magában foglalja az állam kritikus szállítmányozási infrastruktúrájának védelmét is.
Bob Slapnik, a HBGary alelnöke szerint egy vicc a Pentagon részéről a QinetiQ támogatása kiberkémkedési ügyekben, amelyet a társaság még 2010-ben kapott.

2010 őszén a Terremark jelezte Anglin felé, hogy a Comment Crew már 2007 óta célba vette a QinetiQ rendszereit, amely 2009 során is folytatódott. Ez a jelentés is az Anonymous által kiszivárgott e-mailekben található.

A támadók teljes hozzáféréssel bírtak a cég hálózatában, rejtett kommunikációs csatornákat építettek ki az ellopott adatok továbbítására. A nyomozók szerint mindenhez hozzájuthattak, amihet csak akartak. “Az az érzésem, ha egy hacker évek óta bent van a környezetedben, minden adatod odavan” – írta Wallisch egy kollégájának e-mailben, néhány héttel azelőtt, hogy a HBGary-t is megtámadták és porig rombolták. “Amikor minden üzleti információd analizált és katalogizált az ellenségeid által, már nincs miért sietni.”

Az írás eddigi része a Bloomberg írása alapján készült.

A szerző véleménye

Elsőre azt gondoltam, hogy végre egy olyan cikk a Hálón, amely sok érdekességgel fog szolgálni. Nos, ez a várakozásom a legmesszebbmenőkig beteljesedett, bőven túlszárnyalta a várakozásaimat is, ugyanakkor ezzel egyidőben milliónyi kérdés üti fel a fejét, amelyek közül én csak néhányat feszegetnék.

Az NCIS ügynök által jelzett támadókat már 2002 óta megfigyelte a Hírszerzés – de vajon miért vártak a lekapcsolásukkal, de még inkább a tevékenységük ellehetetlenítésével? A QinetiQ hogyan nyújthatott kibervédelmi szolgáltatásokat különböző ügynökségek részére, mikor saját magukat sem tudták megvédeni, sőt, még összefüggéseiben sem látták a támadássorozatot? Hogyan adhattak Dykstrának kétségbeejtően rövid határidőt munkája elvégzésére? Hogyan történhet meg, hogy egy volt állami ügynökség által vezetett cég a védelmi költségeken aggódik, miközben olyannyira érzékeny információkat kezelnek? Hogyan lehet, hogy a QinetiQ minden szegletébe bejutottak a támadók? Mennyire volt jelen a biztonságtudatosság a cégen belül? Hogyan lehetséges, hogy a cégnél nem létezett többlépcsős autentikáció? Hogyan lehetséges olyan amatőr cégeket megbízni nyomozással, mint a Terremark és a HBGary? A Külügyminisztérium miért nem vonja vissza a QinetiQ megbízásait, mikor szemmel láthatóan alkalmatlanok az érzékeny adatok kezelésére? Meddig söpri az amerikai kormányzat az ilyen adatszivárgásokat a szőnyeg alá?

A magyar kormány miért köt stratégiai megállapodást olyan kínai telekommunikációs cégekkel, akiket nemzetbiztonsági kockázatnak tekintenek az USA-ban? Miből gondoljuk azt, hogy mi meg tudjuk védeni magunkat a kínai kiberkémektől, mikor az amerikaiaknak sem sikerül? Nálunk is van bőven érzékeny adat a NATO-ról, az EU-ról és hát magáról az országról is, amely idegen kezekbe kerülve károkat okozhat nekünk? Az orosz és közel-keleti támadóktól sem voltunk képesek megvédeni magunktól, miért sikerülne ez kínai állami kiberkémekkel szemben?

4 hozzászólás itt: “A leggyengébb láncszem”

  • Достаточно интересная статья. Думаю стоит добавить в избранное для дальнейшего изучения

  • Alisa B. Chrome 27.0.1453.94 Windows 7:

    Vagy én hogy tudnám veled?

    • sh4d0w808 Chromium 25.0.1364.160 Ubuntu :

      Megkeresed az sh4d0w usert az ITCafé fórumán és ott dobsz egy privátot. Linuxos topicokban elő szoktam fordulni, de a Logouton a szerzők között is megtalálsz.

  • Alisa B. Chrome 27.0.1453.94 Windows 7:

    Eszméletlen jók az írásaid, napok óta ezen csüngök. Felvennéd velem a kapcsolatot?
    Üdv.: Egy nagy fan.

Szólj hozzá

Avatar
QR-kód
qrcode
Archívum
Kategória
+GER+ Warriors
+GER+ Clan Urban Terror Community