Американското разузнаване хвана грешната кибер мечка

Американската разузнавателна общност играе театър под политическия натиск на отиващата си администрация и някои ястреби в Конгреса, пише Леонид Бершидски

мнение Леонид Бершидски
Леонид Бершидски / Фейсбук
Споделяне

Икономист

Икономист

iconomist.bg

newsroom@iconomist.bg

ЛЕОНИД БЕРШИДСКИ,

БЛУМБЪРГ

Историята за "Руското хакване" отидe твърде далеч в САЩ. Тя не е базирана на сериозно обществено известно доказателство и това, че съобщенията за нея са толкова украсени, е проблем само за тези, които се безпокоят за дезинформационните кампании, пропагандата и журналистическите стандарти - малък дял от общата публика. Но последният доклад на правителството на САЩ, който има претенции да се аргументира на технически подробности за скорошните атаки от руското разузнаване е извън всякакви стандарти и може да стори истински вреди на повече хора и организации.

Съвместният доклад на Департамента за вътрешна сигурност и ФБР дава атрактивно име за "руската зловредна киберактивност" - Grizzly Steppe (в общ превод "степната гризли", бел.ред.), като дава безкрайни възможности на разузнаването да припише всякакви операции на Русия.

Целта на доклада не е да предостави факти за примерно, руската намеса в президентските избори в САЩ, а по-скоро да даде на американските организации съвети как да засичат руските разузнавателни усилия и да съобщават за тях на руското правителство. Той казва на мрежовите администратори за какво да гледат. Той съдържа конкретно правило YARA - код, използван за идентификацията на зловреден софтуер. Това правило идентифицира софтуер, наречен PAS Tool PHP Web Kit. Някои подозрителни експерти по сигурност потърсиха в гугъл програмата и откриха, че могат да я свалят от сайта profexer.name. В понеделник тя не беше налична, но изследователи от Feejit, разработчика на плъгина за сигурност Wordfence за WordPress направиха скрийншотове на сайта, който гордо декларира, че продуктът е направен в Украйна.

Разбира се, не е нужно да вярвате в това - всеки може да бъде откъде ли не в интернет. Смятаният за разработчик на зловредния софтуер е активен на рускоезичен хакерски форум под ника Profexer. Той рекламира безплатната програма PAS и благодари на дарителите, изпратили му от няколко до няколко стотици долари. Програмата е т.нар. web shell - нещо, което хакер ще инсталира на заразен сървър, за да прикрива кражбата на данни и по-нататъшното проникване. Има много такива програми и PAS е доста известна - "използвана от стотици, ако не хиляди хакери, в по-голямата си част свързани с Русия, но и с останалия свят (ако се съди по постовете в хакерския форум)", написа миналата седмица в блога си Робърт Греъм от Errata Security.

Версията на PAS, идентифицирана в руския правителствен доклад, е няколко версии по-назад от актуалната.

"Човек може да предположи, че руските разузнавателни агенти ще създадат собствени зловредни инструменти или поне ще използват известни такива от външни източници", пише Марк Маундър от Wordfence.

Отново, това не е задължително разумно обяснение. Всеки хакер, независимо дали е свързан с руското разузнаване или не, може да използва всякакви удобни за него инструменти, сред които стари версии на безплатната украинска програма. Дори Xagent, "бекдоор", свързван с атаки, извършвани от хакерска група, свързана с руското разузнаване, известна като Advanced Persistent Threat 28 или Fancy Bear, може да бъде използван от всеки с необходимото техническо познание. През октомври м.г. фирмата за кибер сигурност ESET публикува доклад, в който твърди, че е успяла да извлече целия сорс код на този зловреден софтуер. Ако ESET може да го направи, и други могат да сторят това.

Сега, когато правителството на САЩ конкретно е свързало PAS със спонсорирани от руското правителство хакери, това е покана към всеки временен дребен играч да го използва (същото се отнася и за Xagent, споменат в доклада), като това се припише на сметката на руската разузнавателна дейност. Американското правителство не улесни нещата, публикувайки списък с IP адреси, свързани с руските атаки. Повечето от тях нямат връзка с Русия, а мнозина са изходящи кодове от анонимната мрежа Tor, част от "тъмния интернет". Всеки и навсякъде би могъл да ги използва.

Microsoft Word е американски софтуер. И всеки го използва, дори руски разузнавач. По същата логика американски хакер може да използва всеки наличен зловреден софтуер, без значение дали е руски или украински.

Обърквацията вече започна. В. "Вашингтон пост" съобщи, че "код, свързан с руската хакерска операция Grizzly Steppe", е бил открит на компютър в енергийна фирма в щата Вермонт, като доведе до поредица от ожесточени коментари на политици за това как руснаците се опитват да хакнат американската енергоразпределителна мрежа. Скоро стана ясно, че съмнителният лаптоп не е бил свързан в мрежата на доставчика, но при всички случаи, ако става дума за PAS, който е бил докладван на правителството, вероятно това е фалшива аларма. Хиляди хакери и групи рутинно изпращат фишинг имейли, които подканват неподозиращите потребители да кликнат върху някой атрактивен линк и така да им предоставят достъп до компютрите си. Сега те имат сериозен стимул да използват руския софтуер за американските си цели.

За руските шпиони това е възможност - освен ако те не са мързеливи, както предполага докладът. Те трябва да се прехвърлят на инструменти, разработени от не-рускоговорящи експерти. След като дейността им се свързва с руското правителство на базата на коментари на руски език в кода и други косвени доказателства и на обществеността за кибер сигурност и американското правителство е изгодно това, на тях просто им трябват коментари на китайски или германски език.

Американската разузнавателна общност играе театър под политическия натиск на отиващата си администрация и някои ястреби в Конгреса. Тя трябва да спре това. Невъзможно е да се обвързват хакерски атаки само на базата на обществено достъпен софтуер и IP адреси. Нещо повече, не е необходимо: Организациите и лицата трябва да се опитват да се предпазват от атаки, а не да се измислят обвиняеми, след като те са се случили. Най-полезната част на доклада, по ирония е и най-очевидната и тривиална - тази, която е свързана със стратегиите за предпазване и ограничаване на последствията. Тя съветва мениджърите да поддържат софтуера винаги актуален, да обучават екипите си в кибер сигурност, да ограничават администраторските привилегии, да използват силни антивирусни защити и конфигурации на файъруолите.

В повечето случаи това може да затвори вратите пред руските, китайските и местните хакери. Американските Демократи можеха да имат полза от тези съвети преди да бяха хакнати. Тъжно е, че или те са ги получили, или не са им обърнали внимание.


Леонид Бершидски (45 г.) е колумнист в рубриката Bloomberg View. Той е създател на руския бизнес ежедневник "Ведомости" и коментарния сайт Slon.ru.

Споделяне

Оставете коментар

smedia footer

S-MEDIA.BG

Immediate Media Co/BBC Worldwide magazines partner | Haymarket partner | Hola! Hello! partner | Condé Nast partner

.................................