Threat Inteliigence / OSINT / NETSEC / NATSEC

Kiedy DoJ publikuje twoje zdjęcie – o aktach oskarżenia i cyber operacjach

Obserwując praktykę administracji USA w zakresie narzędzi politycznych stosowanych wobec podmiotów odpowiedzialnych za cyber operacje przeciwko Stanom akty oskarżenia są jednym z najbardziej widocznych elementów. W ostatnich latach widzieliśmy choćby akty oskarżenia wobec funkcjonariusz GRU, wywiadu Chin czy ostatnio funkcjonariuszy FSB. Z pozoru może się wydawać, że działania takie nie mają sensu. W końcu akt oskarżenia słusznie kojarzy się z postępowaniem sądowym, skazaniami, wyciągnięciem konsekwencji w postaci grzywny czy pozbawienia wolności. Jeżeli mówimy natomiast o funkcjonariuszu Chińskiego Ministerstwa Bezpieczeństwa Państwowego to trudno się spodziewać, że będziemy w stanie sprawić aby trafił za kratki. To prawda, że pociągnięcie do odpowiedzialności karnej jest rzadko osiągalne. Nie znaczy to jednak, że akty oskarżenia są całkiem bezużyteczne. Przyjrzyjmy się im z dwóch perspektyw – polityki w cyberprzestrzeni i reakcji na cyber operacje, oraz ich użyteczności dla analityków threat intelligence.

Jeżeli chodzi o pierwszą perspektywę to faktycznie sprawa jest mocno kontrowersyjna. Założeniem, które zdaje się przyświecać administracji USA jest to, że tak zwane „name and shame” czyli ujawnianie tożsamości operatów może stanowić element odpowiedzi na cyber operacje. Akty oskarżenia mają więc sprawić, że operacje będą wiązały się z określonym kosztem, stanowiąc przez to element odstraszania (deterrence) powstrzymujący przed rozpoczęciem operacji, a właściwie narzucania woli (compellence) aby inne państwa nie próbowały prowadzić operacji przeciwko USA. Czy więc jest tak w rzeczywistości i jakie konsekwencje wiążą się z aktem oskarżenia? Zaczynając od drugiego pytania to konsekwencje dotykają naturalnie nie całych organizacji odpowiedzialnych za ataki, ale poszczególnych operatorów. Fakt, że poszukuje ich wymiar sprawiedliwości USA w naturalny sposób znacznie ogranicza możliwości podróżowania, funkcjonariusze mogą więc zapomnieć nie tylko o wakacjach w Miami ale też państwach posiadających umowy o ekstradycje ze Stanami. A biorąc pod uwagę jak wpływowym państwem jest USA można się spodziewać, że naciski dotyczące wydania, ostatecznie oficera wrogiego wywiadu, będą silne i skuteczne. Co interesujące potwierdzenie tej uciążliwości przyszło niejako z drugiej strony barykady. Jake Williams, który pracował dla NSA TAO, w mediach społecznościowych i wywiadach dla prasy głośno wyrażał swoje obawy związane z tym, że funkcjonariusze i oficerowie Amerykańskich jednostek będą traktowani w podobny sposób. Anonimowe podobne obawy wyrazili również inni funkcjonariusze:

To jednak jednostkowe przypadki, dodatkowo reprezentujące tylko Amerykański punkt widzenia. Patrząc szerzej czy akty oskarżenia mogą stanowić skuteczny element strategii? Jednym z krytyków tego podejścia jest Jack Goldsmith, który w swoich komentarzach wielokrotnie zwracał uwagę na jego wady. Zauważa on, że koszt nakładany na operatorów nie jest nieznaczący i ograniczenie możliwości podróżowania dla wielu będzie sporą niedogodnością, koszt ten jednak jest pomijalny biorąc pod uwagę straty wywołane aktywnością będącą podstawą oskarżenia. Co ważniejsze, działania takie mogą paradoksalnie świadczyć o słabości państwa i dawać iluzoryczne poczucie przeciwdziałania przez „robienie czegoś”. Przestępstwa o które oskarżeni są sprawcy to często bardzo poważne operacje niosące za sobą konkretne koszty ekonomiczne – w najjaskrawszym przykładzie miliardy dolarów wywołane NotPetyą. W tym kontekście więc, poprzestanie na w dużej mierze symbolicznym dokumencie o niewielkich praktycznych konsekwencjach jest faktycznie zdecydowanie nieproporcjonalne i można odnieść wrażenie, że symboliczny gest zastępuje tutaj kosztowne środki jak nałożenie sankcji ekonomicznych. Kolejnym często pojawiającym się argumentem za aktami oskarżenia jest to, że pokazują one jak głęboka jest penetracja konkretnych organizacji przez służby USA. Miałoby to wywołać efekt chłodzący, sugerując, że dalsza eskalacja może przynieść bardziej radykalne kroki. Trudno jednak oceniać skuteczność tego podejścia w kontekście braku przykładów kolejnych kroków.

W mojej ocenie problem sięga jednak stopień głębiej i wynika z wkładania do jednego worka operacji CNA i CNE. Wśród przestępstw wskazywanych w aktach oskarżenia możemy wyróżnić dwie grupy – destrukcyjne ataki jak NotPetya i Olympic Destroyer oraz akty szpiegostwa jak działania Chińskiego wywiadu nakierowane na szpiegostwo przemysłowe. O ile w przypadku pierwszej kategorii należy spodziewać się represaliów i wyraźnego sygnału, że operacje takie nie będą akceptowane, to zastanówmy się nad odstraszaniem w kontekście szpiegostwa. Jeżeli mówimy o organizacjach jak SVR, GRU czy MSS, a po stronie zachodniej CIA, SIS, BND to zbieranie informacji dla decydentów jest clue ich istnienia. Trudno realistycznie oczekiwać zaprzestania aktywności szpiegowskiej, która zdaniem np.: autorów Podręcznika Tallińskiego nie stanowi ataku zbrojnego, a sama jest praktykowana również przez kraje zachodnie. Trzeba jednak dokonać pewnego rozróżnienia. Powodem dla którego Stany Zjednoczone tak wiele uwagi poświęcają Chińskiemu szpiegostwu przemysłowemu jest to, że Chiny korzystają ze swoich służb wywiadowczych jako wsparcia B&R. Rządowe agencje atakują więc podmioty prywatne i przekazują informacje również podmiotom prywatnym w Chinach, zwiększając ich przewagę konkurencyjną. Jest to coś czego nie praktykują agencje zachodnie i stanowi eskalacje w stosunku do zwykłej aktywności wywiadowczej. Należy tutaj zaznaczyć, że akty oskarżenia były częścią szerzej zakrojonej kampanii. Administracja USA nakładała sankcje na Chińskie firmy technologiczne i ściśle kontroluje licencje eksportowe. Starania obejmowały również zawarcie porozumienia w sprawie zaprzestania szpiegostwa przemysłowego. Według raportu FireEye porozumienie przyniosło skutki i ograniczyło skalę aktywności. Muszę jednak wspomnieć, że spotkałem się z opiniami, że spadek aktywności spowodowany był reorganizacją Armii Ludowo Wyzwoleńczej w tym okresie, jestem ostrożny z wnioskami. Trzeba jednak podkreślić, że oskarżenie służyło tutaj jako jeden ze środków politycznych wykorzystanych do osiągnięcia konkretnego celu.

W przypadku Rosyjskiego szpiegostwa ujętego w dokumentach, sprawa jest prostsza – FSB, SVR i GRU to agencje wywiadowcze i próby zmuszenia ich do zaprzestania działalności nomen omen wywiadowczej jako takiej nie będą skuteczne.

Zwolennikiem publikacji aktów oskarżenia jest również Departament Obrony USA gdyż wspierają one tzw. „defense forward” czyli doktrynę polegającą na prowadzeniu operacji wobec wrogich podmiotów ograniczając ich możliwości prowadzenia działań w cyberprzestrzeni. W tym kontekście akt oskarżenia poprzez przedstawienie okoliczności, motywacji i celów działań napastników podkreśla potrzebę podjęcia działań. Tak było w przypadku operacji „Synthetic Theology” której celem były Rosyjskie agencje zajmujące się propagowaniem dezinformacji. Poprzedzona była ona aktem oskarżenia wobec Internet Research Agency dokumentującym działalność celu w zakresie prób wpływania na Amerykańskie społeczeństwo.

Pomiędzy wpływem na politykę innych państw i analizą TI leży jeszcze jedna, pośrednia, funkcja aktów oskarżenia. Przez ich publikacje i otoczkę związaną ze skierowaniem uwagi wymiaru sprawiedliwości na dane działania, mogą one wpływać na sektor prywatny, motywując organizacje do zwiększenia poziomu bezpieczeństwa w organizacji.

Co więc z perspektywą analityka threat intelligence? Tutaj sprawa wygląda zgoła inaczej. Akty oskarżenia są niezwykle istotnym materiałem dla CTI z kilku powodów:

  1. Za zawartymi w nich informacjach stoi cała siła aparatu państwa co sprawia, że możemy znaleźć wiele informacji niedostępnych dla sektora prywatnego. Co więcej, ponieważ są to dokumenty w postępowaniu sądowym dowody stojące za twierdzeniami muszą być bardzo mocne.
  2. Powiązując dane cyber operacje z konkretnymi jednostkami wojskowymi i agencjami wywiadowczymi uzyskujemy obraz prawdziwej atrybucji co pozwala nam lepiej profilować grupy aktywności, zrozumieć ich cele, i sprawdzać czy nasze wewnętrzne ustalenia.
  3. To truizm, ale przestępstwo wymaga ofiary. Akty oskarżenia pozwalają nam na wgląd w wiktymologię określonych grup i TTP stosowanych przeciwko różnym ofiarom.

Świetnym przykładem jest incydent związany z malwarem Olympic Destroyer. Spójrzmy na akt oskarżenia w którym opisano go tutaj. Zaczynając od atrybucji, dzięki dokumentowi wprost dowiadujemy się kto stoi za atakiem i jakie są afiliacje napastników:

Używając metodologii Diamond Model możemy więc uzupełnić już oś socio-polityczną – dokładnie znamy napastników i ich motywacje. Mówiąc o motywacjach, to są one dalej wskazane wprost:

Przechodząc do samego ataku, znajdziemy opis tego jak za pomocą spearpshishingu napastnicy uzyskiwali dostęp do środowiska. W dokumencie zawarte są nawet szczegóły odnośnie kont mailowych z których wysyłane były pliki, nazwy plików, a nawet zrzuty ekranu pokazujące same wiadomości:

W końcu dowiemy się też jak napastnicy poruszali się po środowisku:

i dokonali zniszczeń:

Możemy więc zrekonstruować cały killchain ataku, a także opisać wszystkie wierzchołki diamentu, tworząc bardzo dokładny obraz sytuacji. Dużo dokładniejszy niż znaleźlibyśmy w dowolnym raporcie o APT z sektora prywatnego.

Idźmy więc dalej i spójrzmy na opublikowany na dniach akt oskarżenia wobec funkcjonariuszy FSB odpowiedzialnych za operacje nakierowane na infrastrukturę krytyczną i instytucje rządowe w USA i Europie. Wśród zarzucanych im czynów znajduje się np.: użycie malware’u Triton, który to był użyty w jednym z najpoważniejszych ataków na systemy przemysłowe w historii. Miał on bowiem doprowadzić do uszkodzenia systemów bezpieczeństwa rafinerii w Arabii Saudyjskiej, a w rezultacie zniszczenia urządzeń i być może ofiar w ludziach. Z aktu oskarżenia dowiem się jak dokładne rozpoznanie towarzysz tego rodzaju atakom. Możemy powiem przeczytać jak oskarżeni przeglądali dwa artykuły naukowe przygotowane przez Urząd Obrony Cywilnej na temat podatności w Amerykańskich rafineriach napisane w latach sześćdziesiątych i siedemdziesiątych dwudziestego wieku:

Jak widzimy, jest to poziom detali dostępny bardzo niewielu instytucjom.

Akty oskarżenia związane z operacjami cyber są bardzo intersującym narzędziem. Z jednej strony ich wartość jako narzędzie zapobiegania operacjom jest trudna do określenia, z drugiej jednak stały się metodą komunikacji informacji o operacjach przez rząd USA. A poziom szczegółowości połączony z faktem, że są to dokumenty z postępowań sądowych i podlegają bardzo silnym i sformalizowanym wymogom dowodowym sprawia, że są obowiązkową lekturą dla analityków CTI. Oceniając ich rolę, rozpatrujmy je więc nie jako niezależne wydarzenia, a jeden z wielu elementów układanki państwowej reakcji na operacje cyber.

Na koniec polecam przygotowaną przez Katie Nickels listę dokumentów procesowych wartych uwagi analityków CTI: https://docs.google.com/spreadsheets/d/12iZfDkc-DtVNXV5ZoOiKKZuNGcsb3yQ0V3DNBQIalSo/edit#gid=1677585875

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany.

pl_PLPolish