Labirynt Księżyca - Moonlight Maze

Moonlight Maze było dochodzeniem rządu USA z 1999 r. w sprawie masowego naruszenia danych niejawnych informacji. Zaczęło się w 1996 roku i dotknęło NASA , Pentagon , wykonawców wojskowych, cywilnych naukowców, DOE i wiele innych amerykańskich agencji rządowych. Pod koniec 1999 roku grupa zadaniowa Moonlight Maze składała się z czterdziestu specjalistów z organów ścigania, wojska i rządu. Śledczy twierdzili, że gdyby wszystkie skradzione informacje zostały wydrukowane i ułożone w stos, byłaby to trzykrotna wysokość pomnika Waszyngtona , który ma 555 stóp (169 m) wysokości. Za ataki oskarżano rosyjski rząd, chociaż początkowo nie było żadnych twardych dowodów na poparcie amerykańskich oskarżeń, poza rosyjskim adresem IP, który został powiązany z włamaniem. Moonlight Maze to jedna z pierwszych szeroko znanych kampanii cyberszpiegowskich w historii świata. Został nawet sklasyfikowany jako Zaawansowane Trwałe Zagrożenie (bardzo poważne oznaczenie dla cyberprzestępców zajmujących się niejawnymi zagrożeniami sieci komputerowych, zazwyczaj państwa narodowego lub grupy sponsorowanej przez państwo) po dwóch latach ciągłych ataków. Chociaż Moonlight Maze przez wiele lat był uważany za odosobniony atak, niepowiązane dochodzenia ujawniły, że cyberprzestępca zaangażowany w atak nadal był aktywny i stosował podobne metody aż do 2016 roku.

Metody ataku

Hakowanie rozpoczęło się od zbudowania przez hakerów „tylnych drzwi”, przez które mogli ponownie wchodzić do zinfiltrowanych systemów i kraść dalsze dane; pozostawili także narzędzia, które przekierowują określony ruch sieciowy przez Rosję. Wszystko, co wykorzystali podczas ataków, pochodziło z publicznie dostępnych zasobów, a nie z własnego wytworu. W większości przypadków exploity zostały wykryte przez administratorów systemów z zamiarem poinformowania innych o lukach w ich własnych systemach, ale zamiast tego zostały zmanipulowane w złośliwych celach. Hakerzy odnieśli sukces, ponieważ producenci oprogramowania i opiekunowie nie byli czujni, aby upewnić się, że w ich systemach nie ma wad. Pozostawiałyby znane luki w stanie niezałatanym przez długi czas, czasami nawet od sześciu miesięcy do roku, zaniedbując wszelkie cykle poprawek zabezpieczeń . Wynikało to z faktu, że przed Moonlight Maze nikt nie był świadomy szkód, jakie można wyrządzić cyberatakom, ponieważ Internet był wciąż stosunkowo nowy. W rezultacie byli wyjątkowo podatni na infiltrację i niezbyt trudni do infiltracji, co doprowadziło do jednego z największych naruszeń bezpieczeństwa informacji niejawnych w historii. Aby ukryć swoją lokalizację i zniechęcić śledczych, hakerzy przekazali swoje połączenie przez różne wrażliwe instytucje, takie jak uniwersytety, biblioteki i inne, ponieważ zhakowane serwery mogły zobaczyć tylko ostatnią lokalizację, przez którą przeszli ( tzw. proxy ).

Wynik i wpływ

Opisując atak w zeznaniach przed Kongresem, James Adams, dyrektor generalny Infrastructure Defense Inc, ostrzegł, że „informacje zostały wysłane przez Internet do Moskwy w celu sprzedaży oferentowi, który zaoferuje najwyższą cenę” oraz że „Wartość tej skradzionej informacji wynosi dziesiątki miliony, może setki milionów dolarów”. Informacje odzyskane w wyniku włamania mogły obejmować tajne kody marynarki wojennej i dane z systemów naprowadzania pocisków, a także inne cenne dane wojskowe. Ukradli także dziesiątki tysięcy plików zawierających badania techniczne, mapy wojskowe, konfiguracje wojsk amerykańskich, projekty sprzętu wojskowego, techniki szyfrowania oraz niesklasyfikowane, ale kluczowe dane dotyczące planowania wojny przez Pentagon, z których wszystkie można było sprzedać wrogom Stanów Zjednoczonych. Państwa. Ataki te miały bardzo poważne implikacje dotyczące zdolności USA do samoobrony. Dzięki informacjom uzyskanym podczas ataku hakerzy mogli sparaliżować amerykańskie systemy obrony przeciwrakietowej i spowodować niewyobrażalne szkody. Juan Andres Guerrero-Saade, starszy badacz ds. bezpieczeństwa w Kaspersky Lab , stwierdził: „Analiza próbek Moonlight Maze to nie tylko fascynujące badania archeologiczne; jest to również przypomnienie, że dobrze wyposażeni przeciwnicy nigdzie się nie wybierają, to zależy od nas do obrony systemów z odpowiednimi umiejętnościami”.

Połączenie z Turla

Turla to rosyjskojęzyczny aktor znany ze swoich taktyk tajnej eksfiltracji, takich jak wykorzystywanie porwanych połączeń satelitarnych, podlewanie rządowych witryn internetowych, tylne drzwi do ukrytych kanałów , rootkity i taktyki oszustwa. Korzenie grupy sięgają niegdyś słynnego Agent.BTZ , wirusa komputerowego, który potrafił się replikować, a także skanować i kraść dane. Wirus został wykorzystany do krótkotrwałego okaleczenia sił zbrojnych Stanów Zjednoczonych i został opisany jako „największe w historii naruszenie amerykańskich komputerów wojskowych” przez wysokiego rangą urzędnika Pentagonu. Daje to ich rozgłos około 2006-2007, kilka lat przed Agent.BTZ i prawie 10 lat po wydarzeniach z Moonlight Maze. Jednak dopiero wiele lat później pojawiły się informacje łączące Turlę z Moonlight Maze. Grupa składająca się z Guerrero-Saade i Costina Raiu z Kaspersky oraz Thomasa Rida i Danny'ego Moore'a z King's College London była w stanie wyśledzić emerytowanego administratora IT, który był właścicielem serwera z 1998 roku, który był używany jako proxy dla Moonlight Maze. Był to ogromny przełom, biorąc pod uwagę długi okres rzekomej bezczynności (prawie 20 lat). Następnie wykorzystali serwer do szpiegowania cyberprzestępcy i byli w stanie pobrać pełny dziennik kodu atakującego, za pomocą którego po prawie rocznej dogłębnej analizie byli w stanie znaleźć połączenie między rzadkimi próbkami Linuksa używanymi przez obie Turla. i Moonlight Maze (udostępniony przez nich kod był powiązany z backdoorem używanym w LOKI 2, programie do tunelowania informacji wydanym w 1996 roku).

Zobacz też

Bibliografia