Belgijski resort spraw zagranicznych w ubiegłą sobotę był zmuszony poddać kwarantannie cały system komputerowy. W czwartek udało się przywrócić pracę systemów odpowiadających za wizy i paszporty.
Podobne ataki mają miejsce także w innych częściach Europy. Belgijski minister spraw zagranicznych Didier Reynders po spotkaniu z francuskim dyplomatą powiedział agencji informacyjnej Belga, że „każdy obecnie zauważył duży wzrost działalności hakerskiej, która ma swoje źródło prawdopodobnie na wschodzie i ma związek z wydarzeniami na Ukrainie”.
Belgijska prasa donosi, że za problemy w Brukseli jest odpowiedzialny rosyjski program Snake. Jeśli to prawda, to Belgom udało się rozpoznać jednego z najbardziej niezwykłych węży. Program dziś znany pod nazwą Agent.BTZ, w 2008 jeszcze jako nieznane złośliwe oprogramowanie, zaatakował amerykański Departament Obrony. Informacje o ataku stały się jawne dopiero w 2010 roku po tym, jak zastępca sekretarza obrony USA William J. Lynn III pisał na łamach „Foreign Affairs” o istotnym zainfekowaniu sieci komputerowych Departamentu Obrony USA. Ktoś wsunął pamięć przenośną typu flash drive ze złośliwym oprogramowaniem do laptopa w bazie wojskowej na Bliskim Wschodzie. Program rozprzestrzenił się z tego miejsca dalej, powodując gigantyczną odpowiedź ze strony USA w postaci stworzenia specjalnej jednostki wojskowej ds. walki z cyberzagrożeniami (US Cyber Command).
Biorąc pod uwagę powagę tego wydarzenia, można się było spodziewać, że USA i amerykańscy sojusznicy NATO dogłębnie rozpoznają zagrożenie i zablokują złośliwe oprogramowanie. Tak się jednak nie stało. Zbrojeniowy gigant BAE Systems napisał w ostatnim raporcie, że po ostatnich atakach jedynie nieznacznie zmieniono narzędzia i techniki, pomimo powszechnej uwagi, jaką sprawa ta wzbudziła kilka lat temu.
Złośliwe oprogramowanie Agent.BTZ jest również znane jako Snake (nazwa, której używają Belgowie), Uroburos, Sengoku, Snark. Nazwy te są używane do oznaczenia różnych wersji tego programu.
Agent.BTZ to wyjątkowo wyrafinowane i elastyczne oprogramowanie, które po tym, jak już zainfekuje system operacyjny Windows, może działać zarówno z poziomu użytkownika, który uruchamia programy, jak i z poziomu systemu kernel, skąd uruchamiane są sterowniki.
„Oprogramowanie jest tak zaprojektowane, aby potajemnie zainstalować się na danym komputerze, ukryć swoją obecność i wytworzyć mechanizm komunikacji” – czytamy w raporcie BAE. Po tym program wykrada informacje oraz dane i wysyła je na zewnątrz. Innymi słowy – na komputerze zainfekowanym przez program Snake nic nie jest bezpieczne.
GData, niemiecka firma ds. cyberbezpieczeństwa przeanalizowała złośliwe oprogramowanie Uroburos, jedną z wersji Agent.BTZ. Analitycy GData odkryli, że twórcy tego oprogramowania mówią po rosyjsku. Urzędnicy amerykańskiego Departamentu Obrony również podejrzewali, że rosyjscy hakerzy byli zaangażowani w tworzenie tego złośliwego oprogramowania i atak na Departament Obrony. Uroburos, który został stworzony w 2011 roku, po zainstalowaniu się na danym komputerze sprawdza najpierw, czy jest na nim „stary, dobry” Agent.BTZ. Jeśli tak, wówczas Uroburos pozostaje nieaktywny.
„Ze względu na dużą złożoność rootkita, którym posługuje się Uroburos, oceniamy, że program ten został zaprojektowany do atakowania instytucji rządowych, badawczych i wielkich korporacji, które posługują się wrażliwymi danymi” – czytamy w raporcie firmy GData. „Rozwijanie takiego przedsięwzięcia, jak Uroburos, to olbrzymia inwestycja” – dodają autorzy raportu.
Agent.BTZ, który ma wiele wersji, był szeroko stosowany przez twórcę tego groźnego oprogramowania. Firma BAE Systems zebrała 32 próbki tego oprogramowania, które pochodziły z Ukrainy. Większość z nich została zainstalowana od czasu, gdy rozpoczęły się protesty w Kijowie. 11 z nich pochodziło z Litwy, 4 z Wielkie Brytanii, 2 z USA i pozostałe 6 z innych krajów.
Biorąc pod uwagę fakt, że pierwsza znana wersja „węża” pochodzi ze stycznia 2006 roku, BAE stwierdza, że cyberszpiegostwo oparte o ten program jest już mocno zakorzenione.
W istocie, w ciągu ponad 8 lat złośliwe oprogramowanie musiało ukraść znacznie więcej wrażliwych informacji niż tylko poufny raport dyplomatyczny na temat Ukrainy, który był przedmiotem zainteresowania Belgów.
Eksperci ds. cyberbezpieczeństwa nie potrafią zidentyfikować i odtworzyć sieci zakażonych komputerów na podstawie jednego wykrytego przypadku, ponieważ Snake jest zaprojektowany w bardzo sprytny sposób, który to uniemożliwia. Jedynym rozwiązaniem, aby oczyścić sieć z obecności tego oprogramowania, jest pobranie go z internetu i przeskanowanie każdego komputera – tak jak zrobili to Belgowie z komputerami ministerstwa spraw zagranicznych.
W obliczu powyższego całe agencje w krajach NATO powinny przeprowadzić tę samą procedurę. Zagrożenie jest tym większe, że do zainfekowania komputera wystarczy jedno kliknięcie nieświadomego urzędnika. Wejście w atrakcyjny link albo skorzystanie z niezweryfikowanej stacji dysków sprawia, że cała sieć zamienia się w gigantyczny hydrant, który tryska informacjami w kierunku serwerów w Moskwie lub gdziekolwiek tam, gdzie znajduje się centrum kontroli nad programem Snake.
Eksperci ds. bezpieczeństwa zastanawiali się, dlaczego konflikt na Ukrainie, poza paroma incydentami awarii stron internetowych czy prorosyjskim trollingiem, nie doprowadził do prawdziwej cyberwojny. Być może jednak Moskwa nie potrzebuje klasycznej cyberwojny.
Jest bowiem dużo bardziej prawdopodobne, że wojna, którą prowadzi Rosja, to cicha batalia przy pomocy „grubego” już ośmioletniego węża. Być może oprogramowanie Snake to najbardziej efektywna broń, jaką dysponuje dziś Kreml, a Władimir Putin zrozumiał myślenie Zachodu w znacznie większym stopniu, niż politycy z UE i USA są gotowi przyznać.
>>>
