W poprzednim poście zajmowaliśmy się tym jak grupy terrorystyczne wykorzystują media społecznościowe do wspierania swojej aktywności, a tym razem przyjrzymy się temu jak służby wywiadowcze i wojskowe mogą wykorzystać Internet aby prowadzić działania antyterrorystyczne. Tak jak zaznaczałem poprzednio, terroryzm jest ścigany i zwalczany z całą mocą aparatu państwowego, włączając w to operacje militarne w normalnych warunkach zarezerwowane dla sytuacji konfliktu zbrojnego. Nie powinno być więc zaskoczeniem, że tak jak operacje cyber prowadzone są przeciwko wrogim państwom, tak będą też stosowane wobec organizacji terrorystycznych. Co więcej, w wielu sytuacjach będzie to bardziej odpowiednie narzędzie. Ze względu na możliwość bardzo precyzyjnego określenia celu operacji i braku bezpośrednich efektów kinetycznych, szanse na szkody uboczne są dużo mniejsze niż w przypadku stosowania środków konwencjonalnych. Z drugiej strony oczywiście nie wszystkie cele będą możliwe do osiągnięcia w tens sposób. Jeżeli mówimy o zniszczeniu obozu szkoleniowego, magazynu broni czy po prostu eliminacji przywódców ugrupowań, nie będzie raczej alternatywy dla dronów, amunicji precyzyjnej i żołnierzy. Spójrzmy więc jakie operacje antyterrorystyczne miały miejsce do tej pory (i mogliśmy o nich przeczytać publicznie 🙂 ), jakie miały cele i jak były prowadzone.
Podobnie jak w przypadku wszystkich innych cyber operacji prowadzonych przez podmioty rządowe będziemy mieć do czynienia z działaniami typu CNA i CNE. I o ile mogłoby się wydawać, że destrukcyjne ataki będą dużo bardziej powszechne biorąc pod uwagę cel działań, to podobniej jak przy działaniach ściśle wojskowych dominować będą operacje wywiadowcze – czasem z pewnym elementem ataku o czym za chwilę.
Jednym z najgłośniejszych przypadków ujawnienia działań cyber wymierzonych w organizację terrorystyczną – w tym przypadku ISIL i Al-Kaidę – jest raport Kaspersky na temat group Slingshot. Co z początku wydawało się bardzo zaawansowaną, ale jednak jedną z wielu operacji APT śledzonych przez badaczy bezpieczeństwa, okazało się Amerykańską operacją przeciwko ISIL. Tym samym publikacja analizy tej operacji była dość niefortunna i utrudniła działania antyterrorystyczne, dała jednak wgląd w to jak służby prowadzą operacje tego rodzaju. I faktycznie to co zobaczyli analitycy Kaspersky nie różni się zbytnio od mniej szlachetnych operacji grup APT:
Widzimy więc routery jako sposób rozpowszechniania infekcji poprzez podmianę pliku DLL na podstawiony przez atakujących i umożliwiający im pobranie następnych narzędzi. Wykorzystując podatności napastnicy załadowali własne podpisane sterowniki co umożliwiło im uruchamianie procesów z przywilejami SYSTEM i ostatecznie załadowanie dwóch pakietów narzędzi. Działającego na poziomie jądra systemu „Cahnadr” i działającego na poziomie środowiska użytkownika „GollumApp”. W połączeniu umożliwiały one szeroki wachlarz działań związanych z pozyskiwaniem danych – robienie zrzutów ekranu, przechwytywanie klawiszy, pozyskiwanie zawartości schowka, czy zbieranie informacji o podłączonych urządzeniach USB. Jak widzimy więc całkiem przydatny pakiet jeżeli naszym celem jest zbieranie danych wywiadowczych dotyczących zachowania użytkownika. Analitycy Kaspersky określili również zakres geograficzny działań – obejmowały one kraje Bliskiego Wschodu i Afryki, ze szczególnie wysoką liczbą infekcji w Kenji i Jemenie. Badacze stwierdzili również, że za operację odpowiadają najprawdopodobniej osoby posługujące się językiem angielskim – jak widzimy więc całkiem trafnie scharakteryzowali źródło i cel włamań. Operacja zdecydowanie nie była jednorazową akcją, ślady wskazywały bowiem na początek aktywności już w 2012 roku i ciągłą aktywność w momencie publikacji raportu czyli w roku 2018.
Techniczna analiza zeszła jednak na drugi plan w kontekście informacji uzyskanych przez CyberScoop, według których APT Slingshot było w istocie operacją prowadzoną przez Amerykańskie JSOC (Joint Special Operations Command), a jej celem było infekowanie komputerów z których korzystają bojownicy ISIL i Al-Kaidy. Bardzo często były to komputery w kawiarenkach internetowych krajów rozwijających się, z których regularnie korzystali terroryści aby odbierać i wysyłać wiadomości.
Cała ta sytuacja dostarczyła wielu informacji na temat tego jak wyglądają antyterrorystyczne działania cyber. Przede wszystkim był to pierwszy ujawniony przypadek cyber operacji wywiadowczej prowadzonej przez SOCOM (Special Operations Command, którego JSOC jest częścią). SOCOM i żołnierze jednostek specjalnych byli oczywiście bardzo często angażowani w operacje kinetyczne – włączając w to najsłynniejszą kiedy zabity został Osama bin Laden – jednak o komponentach cyber nie było wiadomo wiele. Slingshot potwierdził, że bardzo zaawansowane bezpośrednio CNE towarzyszą klasycznym operacjom i wspomagają pozyskiwanie informacji wywiadowczych. Po drugie, przykład ten pokazał podatność operacji cyber na wykrycie związaną z koniecznością dostarczania narzędzi do sprzętu kontrolowanego przez cel operacji. Te same okoliczności, które umożliwiają zachodnim zespołom zajmujących się threat intelligence wykrywać chińskie czy rosyjskie operacje wywiadowcze tutaj pozwoliło spalić działania antyterrorystyczne. Zwrot spalić jest tutaj nieprzypadkowe, gdyż zgodnie z tym ustalili dziennikarze CyberScoop, standardową procedurą w przypadku wykrycia jest porzucenie dotychczasowej infrastruktury i stworzenie nowej od postaw. Czy Kaspersky wiedział co publikuje? Biorąc pod uwagę doświadczenie zespołu GReAT i obecność artefaktów powiązanych z wcześniejszą aktywnością Amerykańskich grup – jak narzędzie „Gollum” czy taktyka atakowania routerów Mikrotik, można przypuszczać, że chociażby w zarysie analitycy wiedzieli z jakim typem aktywności mają do czynienia. W tym kontekście nasuwa się więc pytanie czy publikacja raportu była rozsądna. Sam fakt ujawnienia operacji pokazuję różnicę między działaniami kinetycznymi i cyber – spróbujmy sobie wyobrazić jak absurdalna byłaby sytuacja gdyby prywatny podmiot zajmujący się bezpieczeństwem opisał szczegółowo jak to siły specjalne przygotowują się do ataku na obóz szkoleniowy. Wracając do naszego przykładu, i powołując się po raz kolejny na publikację CyberScoop, zdania pomiędzy przedstawicielami rządowych były podzielone. Część stwierdziła, że to że Kaspersky analizuje i zapobiega aktywności wymierzonej w ich klientów jest normalne. Inni jednak wskazywali na poważne konsekwencje związane z ujawnieniem operacji, włączając zagrożenie dla życia związane z odcięciem dostępu do informacji.
W przypadku Slingshot mieliśmy do czynienia z typowym CNE mającym na celu zbieranie informacji. Teraz przyjrzyjmy się operacji, która miała na celu nie tylko uzyskanie dostępu do komputerów terrorystów, ale również aktywne zakłócanie działań. Mowa tutaj o rozpoczętej w 2016 roku operacji Glowing Symphony przeprowadzonej przez połączone siły NSA i Cybercommand zorganizowane w Joint Task Force-Ares.
Zadaniem Ares było zbadanie zwyczajów bojowników ISIL w zakresie korzystania z komputerów i Internetu i wdrożenie akcji mających zakłócić działanie organizacji. Faktyczne antyterrorystyczne działania ofensywne poprzedził więc długi rekonesans w trakcie którego operatorzy analizowali między innymi jak ISIL rozpowszechnia swoje materiały propagandowe. Analiza ta doprowadziła do wniosku, że terroryści korzystają z zaledwie 10 serwerów i konto stanowiących trzon infrastruktury dystrybucji organizacji – uderzenie w nie byłoby więc poważnym ciosem w Internetowe ramię ISIL. Zgodnie ze słowami Generała Edwarda Cardona, który służył jako pierwszy dowódca Ares, grupa skorzystała z klasycznej metody uzyskania dostępu i wysłała maile phishingowe do bojowników. Dalej zadbano o persystencje w sieci tworząc dodatkowe konta administratora i zrzucając implanty do maszyn bojowników i rozpoczęto działania mające w końcu umożliwić realizację celów operacji. Zaczęto więc pozyskiwać hasła do kolejnych kont, pobierać zaszyfrowane foldery i łamać ich hasła, w szerokim ujęciu prowadzić więc rekonesans już wewnątrz sieci. Tutaj też pojawił się pierwszy problem natury prawno-politycznej – nie wszystkie serwery do których uzyskali dostęp operatorzy były fizycznymi urządzeniami znajdującymi się na terenach Syrii i Iraku. Podobnie jak reszta świata bojownicy również chętnie korzystali z dobrodziejstwa jakim są usługi chmurowe i tam też, na serwerach które de facto współdzielili z mnóstwem całkiem legalnej aktywności, prowadzili część operacji. Ares musiało więc przekonać decydentów, że są w stanie prowadzić ataki w sposób który ograniczy rezultaty wyłącznie do zasobów kontrolowanych przez terrorystów. Jako pokaz zdolności operatorzy przeprowadzali więc niewielkie operacje na serwerach zawierających również wrażliwe jak dokumentację medyczną.
Z takim przygotowaniem Glowing Symphony rozpoczęło już pełnoskalową działalność zbierając pliki z maszyn bojowników i odcinając ich dostęp do kont. Operacja zakładała jednak dwie fazy. Po pierwszym uderzeniu ograniczającym możliwości wykorzystania Internetu do prowadzenia operacji, Ares rozpoczął mnie konwencjonalne działania antyterrorystyczne. Operatorzy zaczęli bowiem symulować powszechne problemy IT i sieciowe mając na celu wywołanie frustracji terrorystów i obniżenie do zera efektywności codziennej pracy. Zaczęto więc obniżać prędkość transferów danych, wywoływać losowe odmowy dostępu do kont i zasobów czy sprawiać, że gotowe materiały propagandowe trafiały na niewłaściwe serwery. Taki sposób działań miał jedną podstawową zaletę – poprzez symulację problemów, których źródłem jest nie Amerykańska armia, a ten beznadziejny Internet i komputery na których nie da się normalnie pracować, złość terrorystów kierowana była do wnętrza organizacji. Przykładowo wspomniana zmiana docelowego miejsca wgrania filmiku propagandowego wywołała konflikt pomiędzy przełożonym, a resztą zespołu gdyż dowódca był przekonany, że podwładni nie realizują jego poleceń.
Amerykańskie prawo daje szeroki dostęp do dokumentów i materiałów, których autorem są wszelkie organizacje działające w ramach administracji rządowej na mocy ustawy Freedom of Information Act. Pomimo, że dokumenty uzyskane w ten sposób często podlegają znacznej cenzurze:
to w przypadku Glowing Symphony możemy dowiedzieć się całkiem sporo o efektach operacji i jej ocenie przez dowództwo. Pomimo, że grafika na powyższym slajdzie została całkiem ocenzurowana, to z towarzyszących materiałów możemy dowiedzieć się, że zielone światło oznaczające sukces otrzymały wszystkie założone cele, poza jednym który otrzymał ocenę „bursztynową”. Cel ten został więc zrealizowany z ograniczeniami.
Niestety jeżeli chodzi o szczegóły tego co konkretnie się udało, a co nie to są one objęte cenzurą. Możemy jednak wyczytać, że operacja skutecznie ograniczyła możliwości ISIL w zakresie rozpowszechniania materiałów propagandowych i wykorzystania Internetu do szerzenia swojej ideologii:
Niezależnie, wnioski co do tego jak operacje antyterrorystyczne uderzyły w zdolność do działania w Internecie możemy pośrednio wysnuć nad podstawie badań Audrey Alexander pracującej w Programie Badań nad Ekstremizmem Uniwersytetu George’a Washingtona. Obserwując aktywność ISIL na Twitterze zauważyć możemy bowiem wyraźny spadek aktywności.
Z informacji uzyskanych przez dziennikarzy NPR wynika z kolei, że Glowing Symphony było wielkim sukcesem jeżeli chodzi o efekty antyterrorystyczne – po pół roku medialne ramię ISIL zostało zduszone i organizacja miała znaczne problemy z odtwarzaniem zdolności, Wynikało to z trudności z pozyskiwaniem serwerów i rejestracją infrastruktury. ISIL miało dużo gotówki, ale nie wiele sposobów efektywnego jej wydawania za pośrednictwem elektronicznych transferów co jest konieczne do zamawiania sprzętu z za granicy czy właśnie rejestracji domen, wykupywania zasobów chmurowych i tak dalej.
Ujawnione dokumenty opisują jednak nie tylko zewnętrzne skutki operacji, ale mówią również o problemach i zaleceniach na przyszłość w kontekście organizacji pracy operatorów i formalnych aspektów działań. Autorzy raport zwrócili uwagę na konieczność ujednolicenia procedur uzyskania zgody na działania zaczepne i wymiany informacji pomiędzy organizacjami. Obecne uregulowania dotyczące współpracy między agencjami nie są bowiem przystosowanie do tempa, skali, i zakresu prowadzenia działań cyber. Nie dowiemy się niestety czego nie udaję się teraz osiągnąć bez zmiany polityk 🙂
Warto również zwrócić uwagę na następujący fragment:
Ponownie najważniejsze fragmenty objęte zostały cenzurą, jednak kluczem do interpretacji jest tutaj wspomnienie of trójstronnym porozumieniu (Trilateral Memorandum of Agreement). Mowa tutaj o „Trilateral Memorandum of Agreement (MOA) among the Department of Defense and the Department of Justice and the Intelligence Community Regarding Computer Network Attack and Computer Network Exploitation Activities”, a więc dokumencie stanowiącym podstawę współdziałania podmiotów wojskowych, wywiadowczych i śledczych w zakresie cyber operacji. Sugestia utworzenia podmiotu zarządzającego (governance) w ramach tego dokumentu oraz zapisania wprost pewnych zwrotów w regulacjach operacji może więc świadczyć o dostosowania wymagań formalnych do połączonych operacji wojskowych i wywiadowczych w takiej skali. Pamiętajmy, że Glowing Symphony pod wieloma względami była przełomowa – przypomnijmy choćby skalę i transgraniczny charakter wymagający prowadzenia wojskowych operacji ofensywnych na zasobach wykorzystywanych do całkiem legalnych celów.
Jeżeli oddalimy trochę perspektywę, to to jak wyglądają cyber działania antyterrorystyczne nie będzie niczym nowym dla kogoś kto zajmuje się operacjami cyber bądź wojskowymi. Mamy tutaj bowiem jedynie do czynienia z typowymi operacjami APT jak zdobywanie dostępu do środowiska i eksfiltracja danych bądź modyfikacja środowiska ubranymi w ramy regulacji podobne do działań kinetycznych. Pamiętajmy w końcu, że ze względu na status terroryzmu jako przestępstwa, ale i zjawiska którego zwalczanie wymaga akcji o charakterze wojskowym, określenie statusu działań nie będzie zawsze jednoznaczne. Glowing Symphony jest tutaj bardzo dobrym przykładem – z jednej strony mieliśmy tutaj operacje prowadzone w warunkach w których alternatywą mogła być akcja „policyjna” – uzyskanie nakazu przeszukania i zabezpieczenia serwera z która korzystali również terroryści, z drugiej jednak operacja wojskowa pozwoliła na wywołanie bardziej długofalowych efektów obejmujących całość organizacji.