Da li su kineski hakeri toliko vešti, moćni i opasni? Veliki broj računarskih napada, koji su se odigrali u proteklih par godina su pripisani njima. Neki od njih su izvedeni vrlo pažljivo i vešto, sa primenom vrhunskog znanja i umeća, neki su dugo ostali neotkriveni, neki možda nisu ni objavljeni, a neki možda nikada i neće biti objavljeni ili čak niti otkriveni. Ovih danas se priča ponovo zahuktava. Ponovo se otvaraju brojna pitanja: Da li su Kinezi neopravdano optuživani ili stvarno stoje iza napada? Da li je u pitanju hakerisanje koje je organizovano i sponzorisano od strane velikih firmi ili čak od strane države? Da li je, pak, u pitanju samo rekreativno hakerisanje? Da li se nešto veliko "valja iza brda"?
Kompanija Symantec, poznata u oblasti računarske bezbednosti, je upravo objavila izveštaj svojih istraživača prema kome je Trojanac poznat pod imenom Poison Ivy korišten za napad na oko 50 kompanija koje rade u hemijskoj industriji, kao i onih koje rade za vojnu tj. odbrambenu industriju. Ova napadačka kampanja je dobila ime "Nitro" i veruje se da je počela u julu, a možda i mnogo ranije i da joj je bio izložen veliki broj firmi. Za najmanje 48 postoje sigurni znaci da su bili predmet napada ovog trojanca sa daljinskim pristupom (engl. remote-access Trojan, RAT).
Poison Ivy, koji je navodno kreiran od strane kineskog hakera, je raspoloživ na Internetu i može se preuzeti i sa javne veb lokacije koja je upravo njemu namenjena. Ne bih da ovde delim taj link. Oni koji se zanimaju, lako će ga pronaći. :-)
Symantec je ovaj napad povezao sa Kinom prema dva detalja. Prvi je, već pomenuti, da je Poison Ivy napisan od strane kineskog hakera. Drugi detalj je da je kontaktirao pojedinca koji je vlasnik jednog od upravljačkih servera (command-and-control (C&C) servers). Ta osoba koju je Symantec imenovao kao "Covert Grove," je smeštena u provinciji Hebei u severnom delu Kine i okružuje glavni grad Peking.
Poison Ivy zlonamerni kod je korišćen prilikom velikog broja napada, uključujući i hakerski napad na RSA Security u martu ove godine. Taj napad, koji je kompromitovao jedan od njenih važnih proizvoda poznat pod imenom RSA SecurID, još nije do kraja rasvetljen. Tom prilikom su napadači verovatno došli do veoma značajnih informacija o kompleksnom sistemu za proveru identiteta bazirane na dva faktora (engl. two-factor authentication).
Pre nekoliko dana se pojavila analiza tj. tekst Who Else Was Hit by the RSA Attackers? u kome se navodi ogromna lista napadnutih firmi. Među njima su velike i značajne firme, kao što su: Abbott Labs, Alabama Supercomputer Network, Charles Schwabb & Co., Cisco Systems, eBay, European Space Agency, Facebook, Freddie Mac, Google, General Services Administration, Inter-American Development Bank, IBM, Intel Corp., Internal Revenue Service (IRS), Massachusetts Institute of Technology (MIT), Motorola Inc., Northrop Grumman, Novell, Perot Systems, PriceWaterhouseCoopers LLP, Research in Motion (RIM) Ltd., Seagate Technology, Thomson Financial, Unisys Corp., USAA, Verisign, VMWare, Wachovia Corp., Wells Fargo & Co. i mnoge druge.
U tom tekstu se tvrdi da su upravljački serveri, vezani za ovaj napd, locirani u okolini Pekinga.
Nedavno je Mitsubishi Heavy (veliki kontraktor japanske odbrambene industrije) objavio da su im možda ukradene informacije sa njihove mreže, tokom napada za koji nije identifikovan izvor. Bile su se pojavile glasine da je Kina umešana u taj napada, a Kina je to odlučno demantovala.
Ne tako davno, tokom operacije "Aurora" protiv Googlea i tuceta drugih zapadnih firmi, korištene su slične tehnike kao u najnovijem Nitro napadu. Hakeri su posvetili značajno vreme da analiziraju svoje ciljeve, pažljivo pripreme poruke i pošalju ih na vrlo precizno odabarane primaoce.
Ranije se desilo "kinesko skretanje saobraćaja na Internetu" - Kinezi su uspeli da skrenu i "progutaju" 18 minuta Internet saobraćaja preko svojih servera i komunikacionih uređaja.
Bilo je još dosta napada za koje su USA i druge zapadne zemlje upirale prstom u Kinu i tvrdile da Kinezi sistematično napadaju privredne tj. kompanijske, državne, odbrambene sisteme i mreže, u svrhu špijunaže, bilo vojne ili industrijske.
Ovakvi napadi se, obično, izvode vrlo ciljano, sa prethodno urađenim detaljnim socijalnim inženjeringom. Obično se pošalje poruka na mail broj veoma pažljivo odabranih ljudi iz firme, koji izgledaju kao prouke od značajnih poslovnih partnera, zahtevi za sastanke, a ponekad i kao ažuriranja za antivirusne programe, Adobe Flash Player ili neke druge od široko korištenih programa. Kad korisnici nasednu na trik, time i ne znajući instaliraju Poison Ivy na svoje računare. Napadači su, nakon toga, u stanju da šalju instrukcije kompromitovanim računarima, podignu nivo privilegija i na kraju da prenesu važan sadržaj sa napadnutih sistema na svoje računare. Tako dolaze do tajnih podataka koji se nalaze na napadnutim sistemima.
Nedavno se desio zanimljiv detalj u američko-kineskim odnosima u pogledu visoke tehnologije. Američko ministarstvo trgovine je reklo kineskoj kompaniji Huawei da su oni "security concern". Kineska kompanija je odbijena da učestvuje u izgradnji nacionalne bežične mreže u USA, koju bi koristili vatrogasci, policija i hitne službe. Huawei se žalio da to nije pošten tretman i ponudio da se izvrši provera kompanije.
Biće zanimljivo pratiti dalji razvoj situacije u pogledu ovog "tihog visokotehnološkog rata" koji se odvija delimično javno, a sigurno u dobroj meri i iza scene. Kao i obično, verovatno je stvrana situacija značajno drugačija nego što se javno predstavlja. Kao i svuda, i u ovom slučaju se prepliću brojni javni i tajni interesi. Takvo tlo, u kome nedostaje verodostojnih informacija o dagađanjima, je pogodno za razne glasine i manipulacije.
I pitanje: šta Vi, dragi blogeri, mislite o svemu ovome?