Ţeapă de proporţii: Kaspersky expune o operaţiune de spionaj contra terorismului în Orientul Mijlociu
(Getty Images)
Guvernul american şi gigantul rus în securitate cibernetică Kaspersky Lab se află în prezent în mijlocul unei bătălii juridice neplăcute ce are loc pe fondul unei îndelungate dispute cu privire la modul în care s-a comportat compania în legătură cu operaţiunile americane de colectare a informaţiilor.
Dar, o descoperire recentă făcută de Kaspersky ar putea menţine disputa încă mulţi ani de acum înainte.
Compania de securitate cibernetică CyberScoop a aflat că o analiză efectuată de Kaspersky a expus recent o operaţiune de spionaj cibernetic împotriva terorismului care a fost condusă de SUA. Potrivit unor foşti şi actuali oficiali ai serviciilor de informaţii americane, operaţiunea a fost folosită pentru a viza membrii grupului jihadist Statul Islamic (cunoscut şi sub numele de ISIS sau Daesh) şi membri Al-Qaeda.
În 9 martie, Kaspersky a anunţat public existenţa unei campanii care a utilizat un malware puternic - campanie numită Slingshot (Praştia). Potrivit cercetătorilor companiei ruse, campania a compromis mii de dispozitive prin intermediul ruterelor atacate în diverse ţări africane şi în Orientul Mijlociu, printre care Afganistan, Irak, Kenya, Sudan, Somalia, Turcia şi Yemen.
În raportul său, Kaspersky nu a atribuit campania Slingshot niciunei ţări şi niciunui guvern, descriind-o doar ca o ameninţare avansată persistentă (APT). Dar actuali şi foşti oficiali din domeniul securităţii americane au declarat pentru CyberScoop că Slingshot reprezintă un program militar american administrat de Comandamentul pentru Operaţiuni Speciale Comune (JSOC), o componentă a Comandamentului pentru Operaţiuni Speciale (SOCOM).
Campania complexă, despre care cercetătorii au precizat că a fost activă cel puţin şase ani, a permis răspândirea unui malware extrem de invaziv care putea să colecteze cantităţi mari de date de la dispozitivele infectate.
Campania Slingshot a ajutat armata şi comunitatea de informaţii din SUA să colecteze informaţii despre terorişti prin infectarea calculatoarelor folosite de aceştia, au declarat unele surse companiei CyberScoop. Deseori, aceste calculatoare vizate erau localizate în internet cafe-uri în ţările dezvoltate. Teroriştii ISIS şi Al-Qaeda au folosit internet cafe-uri pentru a trimite şi primi mesaje, au afirmat sursele.
Aceşti oficiali, care au discutat despre un program secret cu condiţia anonimatului, se tem că dezvăluirea ar putea face ca SUA să piardă accesul la un program de monitorizare valoros şi folosit timp îndelungat, care ar putea pune în pericol viaţa unor militari.
Dezvăluirea are loc într-un moment dificil pentru Kaspersky. Compania se luptă în prezent cu guvernul american în instanţă, după ce guvernul a susţinut că programul companiei din Moscova prezintă un risc pentru securitatea naţională din cauza presupuselor legături ale companiei cu guvernul de la Kremlin. Kaspersky a negat în mod constant orice ilegalitate.
Un cercetător de la Kaspersky implicat în raportul privind Slingshot a afirmat că această campanie este una dintre cele mai sofisticate operaţiuni de hacking documentate public vreodată. Creatorii campaniei au luat numeroase măsuri pentru a-şi ascunde identitatea şi obiectivele, făcând ca Slingshot să fie extrem de dificil de studiat, a explicat Kurt Baumgartner, un cercetător de securitate al companiei Kaspersky.
Cetăţeanul american Baumgartner nu este autorul raportului privind Slingshot. În schimb, o echipă de patru cercetători, majoritatea aflaţi în Rusia, sunt creditaţi cu întocmirea raportului.
Campania Slingshot a folosit o tehnică distinctă pentru a instala codul virusat în sistemele vizate. Există doar trei ameninţări avansate persistente (APT) care au folosit exact aceeaşi tehnică de atac.
Abilitatea Kaspersky de a identifica chiar şi cele mai avansate variante de malware-uri este bine documentată, în special în cadrul comunităţii extrem de competitive în domeniul securităţii cibernetice. Majoritatea acestor cazuri sunt gestionate de echipa Global Research & Analysis Team (GReAT) a gigantului Kaspersky. În plus, compania rusă este cunoscută pentru faptul că foloseşte unii dintre cei mai buni ingineri şi analişti specializaţi în malware-uri din întreaga industrie.
O sursă apropiată de Kaspersky Lab a declarat pentru CyberScoop că, pe când unii cercetători ar fi putut considera că Slingshot a fost acţiunea unei naţiuni din aşa-zisul grup “Cinci Ochi” – termen folosit pentru a descrie o alianţă în domeniul securităţii cibernetice încheiată între Australia, Canada, Noua Zeelandă, Marea Britanie şi SUA –, totuşi ei nu au fost siguri de acest lucru.
Malware-ul este format din module individuale, fiecare având un nume diferit, precum “Gollum”, “Cahnadr” sau “NeedleWatch”, a menţionat Kaspersky. Un memoriu divulgat al NSA, publicat în 2015, descrie Gollum ca fiind un “partner implant” folosit de o altă agenţie, separată de NSA. Memoriul, circulat între naţiunile celor Cinci Ochi, menţionează necesitatea creării unui canal de date accesibil pentru colectarea de informaţii din calculatoare infectate cu implanturi active bine ascunse.
Pe lângă Gollum, modul în care campania Slingshot exploatează ruterele produse de compania letonă Mikrotik ar putea fi urmărit până la o altă agenţie de spionaj: CIA. Documente secrete publicate de WikiLeaks în seria de dezvăluiri “Vault 7” arată că CIA a fost interesată de compromiterea echipamentelor Mikrotik începând cel puţin cu 2015. Produsele Mikrotik sunt populare în Orientul Mijlociu şi Asia de Sud-Est.
Situaţia se complică şi datorită procesului pe care Kaspersky l-a intentat împotriva guvernului american. Legea din 2018 National Defense Authorization Act interzice ca sistemele de calculatoare ale guvernului federal să utilizeze produse Kaspersky. Compania Kaspersky susţine că interdicţia este neconstituţională.
Interdicţia a fost aplicată după publicarea a numeroase rapoarte, potrivit cărora programul de antivirus al companiei Kaspersky a fost utilizat de spioni ruşi pentru a colecta de la distanţă documente secrete americane din calculatoarele care aveau instalat programul respectiv. Drept răspuns, Kaspersky a lansat o acţiune de transparenţă în octombrie 2017, susţinând că produsele sale nu sunt dăunătoare.
