„Profexer“ įrašai, pasiekiami tik nedidelei grupelei jo bičiulių programišių ir patarimų ieškančių kibernetinių nusikaltėlių, nutrūko sausio pradžioje.
Praėjus vos keletui dienų po to, kai JAV žvalgybos tarnybos viešai paskelbė, kad Maskva, naudodamasi viena jo kurta programa, įsilaužė į DNC serverius.
Šioje sausų techninių detalių jūroje tai – pirmasis atvejis, kai visuomenę pasiekė informacija apie gyvą liudininką. Tiesa, Ukrainos pareigūnai nesutiko atskleisti programišiaus vardo ar kitos asmeninės informacijos – pasakė tik tiek, kad jis gyvena Ukrainoje ir nebuvo sulaikytas.
Tiesa, kol kas nėra įrodymų, kad „Profexer“ dirbo Rusijos žvalgybos tarnyboms. Tačiau akivaizdu, kad Maskvos programišiai pasinaudojo jo kurta programa.
Vašingtonas jau anksčiau teigė, kad kibernetinio įsilaužimo operacijai dirigavusi Maskva programą gavo iš šaltinio Ukrainoje. Ši šalis dabar laikoma vieną didžiausių Rusijos priešių.
Tiesa, kol kas nėra įrodymų, kad „Profexer“ dirbo Rusijos žvalgybos tarnyboms. Tačiau akivaizdu, kad Maskvos programišiai pasinaudojo jo kurta programa.
JAV pareigūnai nemano, kad egzistuoja grupelė vyriausybės darbuotojų, biure Maskvoje ar Sankt Peterburge nuo 8 val. ryto iki 5 val. vakaro kuriančių programas. Greičiausiai kibernetinio įsilaužimo operacijoms vadovauja komanda, siekianti pritraukti talentus ir įrankius iš bet kur, kur tik įmanoma juos rasti.
Pastaruoju metu susidaro vis aiškesnis vaizdas apie galimai su Rusijos vyriausybe susijusią programišių grupuotę „Advanced Persistent Threat 28“, dar vadinamą „Fancy Bear“. JAV žvalgybos tarnybos mano, kad joms vadovauja Rusijos karinė žvalgyba.
Kibernetinių nusikaltėlių grupuotė, kartu su „Cozy Bear“ pasivadinusiais programišiais, kaltinama įsilaužimu į DNC serverius.
Priešingai nei įprasti kariniai daliniai, apmokantys, apginkluojantys ir dislokuojantys karius įgyvendinti tam tikrą misiją, „Fancy Bear“ ir „Cozy Bear“ veikia kaip organizaciniai ir finansiniai centrai.
Didžiąją dalį sunkaus programavimo darbo atlieka iš šalies pasamdyti privatūs, į nusikalstamą veiklą linkę programišiai.
Ukraina – Rusijos laboratorija
Daugiau nei dešimtmetį bandančioms susekti su Rusija susijusius programišius, kibernetinėje erdvėje puolančius taikinius iš Vakarų ir buvusių Sovietų Sąjungos teritorijų, saugumo tarnyboms pavyko identifikuoti tik keletą žmonių, tiesiogiai įsitraukusių į šias atakas arba nusikaltėlius aprūpinančių reikalingais įrankiais.
Patikimų liudininkų trūkumas suteikė galimybę JAV prezidentui Donaldui Trumpui ir kitiems kurstyti abejones, ar Maskva iš tiesų bandė įsilaužti į DNC.
„Nėra ir niekada nebuvo nė vieno techninio įrodymo, kad kenkėjiška programa, naudota DNC atakos metu, yra susijusi su GRU (Vyriausiąja žvalgybos valdyba), FSB (Federaline saugumo tarnyba) ar bet kokia kita Rusijos vyriausybės tarnyba“, – sakė knygos apie kibernetinį saugumą autorius Jeffrey Carras.
Vis dėlto JAV žvalgybos tarnybos vieningai verčia kaltę Rusijai.
Siekdami aiškumo, kibernetinio saugumo specialistai ir Vakarų teisėsaugos pareigūnai atsigręžė į Ukrainą – šią šalį Rusija daugybę metų naudojo kaip laboratoriją politinėms operacijoms, kurios vėliau buvo vykdomos kitose pasaulio vietose. Vienas tokių operacijų pavyzdžių – bandymas paveikti JAV prezidento rinkimus.
Kai kurios kibernetinio įsilaužimo technikos, prieš jas panaudojant Vakarų Europoje ir JAV, buvo pritaikytos Ukrainoje. Todėl nenuostabu, kad kibernetinio karo Ukrainoje analizė JAV tyrėjams suteikė reikalingų užuominų ir net padėjo surasti liudininką.
Kai kurios kibernetinio įsilaužimo technikos, prieš jas panaudojant Vakarų Europoje ir JAV, buvo pritaikytos Ukrainoje. Todėl nenuostabu, kad kibernetinio karo Ukrainoje analizė JAV tyrėjams suteikė reikalingų užuominų ir net padėjo surasti liudininką.
Kai Vidaus saugumo departamentas praeitų metų gruodžio 29 dieną paviešino techninius, Maskvos kibernetinį puolimą įrodančius duomenimis, saugumo ekspertai turėjo rimtai pasukti galvas – įkalčiai vedė ne į Rusiją, o Ukrainą.
Pradinėje ataskaitoje departamentas paviešino tik vieną kenkėjiškos programos, įrodančios, kad Rusijos vyriausybė finansavo kibernetinę ataką, pavyzdį. Tai – „P.A.S web shell“ vadinama programa, reklamuojama rusiškuose „tamsiojo interneto“ forumuose, ją mėgsta naudoti kibernetiniai nusikaltėliai iš buvusių Sovietų Sąjungos šalių.
Programos kūrėjas „Profexer“ – programišių itin gerbiamas techninis ekspertas, apie kurį Kijeve atsiliepiama su pagarbia baime.
Jis leido programą parsiųsti nemokamai, už tai prašė tik 3–250 dolerių (2,5-212 eurų) vertės aukų. Tikrąsias pajamas jis gaudavo parduodamas individualiai pritaikytas versijas ir padėdamas klientams efektyviai ta programa pasinaudoti.
Vis dėlto lieka neaišku, kiek jis bendravo su rusų programišiais.
Kai Vidaus saugumo departamentas nurodė, kad būtent „Profexer“ sukūrė programą, jis greitai panaikino savo tinklalapį ir uždarame programišių forume „Exploit“ rašė: „Manęs nedomina toks didelis, vien man skirtas dėmesys.“
Greitai pasirodė panikos užuomina – „Profexer“ rašė, kad praėjus šešioms dienoms jis vis dar gyvas.
Kitas programišius, pasivadinęs „Zloi Santa“, rašė, kad amerikiečiai neabejotinai jį suras ir įkalins – greičiausiai persėdimo oro uoste metu.
Programišius: „Tai gali įvykti, gali neįvykti, tai priklauso tik nuo politikos. Jei JAV teisėsauga nori mane nukenksminti, jie nelauks manęs kitos šalies oro uoste. Santykiai tarp mūsų šalių yra tokie glaudūs, kad po pirmo prašymo būčiau suimtas savo virtuvėje.“
„Tai gali įvykti, gali neįvykti, tai priklauso tik nuo politikos, – atsakė „Profexer“. – Jei JAV teisėsauga nori mane nukenksminti, jie nelauks manęs kitos šalies oro uoste. Santykiai tarp mūsų šalių yra tokie glaudūs, kad po pirmo prašymo būčiau suimtas savo virtuvėje.“
Tiesa, Ukrainos kibernetinės policijos vadas Sergejus Demediukas teigė, kad „Profexer“ pats prisistatė pareigūnams. Prasidėjus bendradarbiavimui, jis apleido programišių forumus.
Anot S.Demediuko, jis su „Profexer“ leido susisiekti JAV Federalinių tyrimų tarnybai (FTB), kurios kibernetinio saugumo ekspertas šiuo metu dirba Kijeve.
FTB susilaikė nuo komentarų.
Ukrainos policijos teigimu, „Profexer“ pasivadinęs programišius buvo sulaikytas ne todėl, kad jo, kaip programos kūrėjo, veiksmai pateko į teisinę pilkąją zoną.
Sulaikytas programišius žinojo vartotojus, bent jau jų internetinius slapyvardžius. „Jis mums sakė nekūręs programos tam, kad ji būtų panaudota taip, kaip buvo“, – sakė S.Demediukas.
A.Geraščenka, norėdamas užtikrinti programišiaus saugumą, neatskleidė daugiau informacijos – tik apibūdino jį kaip jauną vyrą iš miesto Ukrainos provincijoje.
Glaudžiai su saugumo tarnybomis susijęs Ukrainos parlamento narys Antonas Geraščenka tikino, kad programišius su pirkėjais bendravo tik internetu ar telefonu. A.Geraščenkos teigimu, ukrainiečiui buvo sumokėta už individualiai pritaikytos versijos sukūrimą nepasakius, kam ji bus panaudota.
A.Geraščenka, norėdamas užtikrinti programišiaus saugumą, neatskleidė daugiau informacijos – tik apibūdino jį kaip jauną vyrą iš Ukrainos provincijos.
Parlamento narys patvirtino, kad programos autorius pats prisistatė pareigūnams ir tyrime dėl įsilaužimo į DNC serverius bendradarbiauja kaip liudininkas.
Programišių ir Rusijos klaidos
Kol kas nėra aišku, ką apie Rusijos bandymus vykdyti kibernetinius įsilaužimus „Profexer“ atskleidė Ukrainos tyrėjams ir FTB. Vis dėlto ukrainiečiai padeda susidaryti aiškesnį vaizdą apie Rusijos GRU valdomą „Fancy Bear“ ar „Advanced Persistent Threat 28“.
Grupuotė „Fancy Bear“ geriausiai žinoma pagal tai, ką ji daro, o ne pagal operacijas vykdančius asmenis. Vienas pagrindinių grupuotės bruožų – elektroninių laiškų vagystės ir glaudus bendradarbiavimas su valstybine Rusijos žiniasklaida.
Tiesa, daugelis ekspertų mano, kad neįmanoma atsekti grupuotės būstinės, kadangi tokia vieta vargiai egzistuoja.
Tuo tarpu Ukrainos pareigūnai, nepabūgę įpykdyti D.Trumpo administracijos, tyliai bendradarbiavo su amerikiečių tyrėjais bandydami nustatyti, kas stovi už šios grupuotės.
Tuo įsitikino ir technologijų gigantė „Microsoft“. Tam, kad sumažintų klientų operacinėms sistemos padarytą žalą, ji teisme apskundė „Fancy Bear“. Vis dėlto praeitais metais JAV teismas Virdžinijoje suvokė kovojantis su vėjo malūnais.
Tuo tarpu Ukrainos pareigūnai, nepabūgę įpykdyti D.Trumpo administracijos, tyliai bendradarbiavo su amerikiečių tyrėjais bandydami nustatyti, kas stovi už šios grupuotės.
Kijevas pasidalino Ukrainos centrinės rinkimų komisijos serverių kietųjų diskų kopijomis. Ši komisija per 2014-ųjų gegužę vykusius rinkimus patyrė kibernetinę ataką. Nors FTB anksčiau rado įkalčių, kad kibernetiniai nusikaltėliai buvo susiję su Rusija, apie tai nebuvo pranešta.
Tas pats kenkėjiškas kodas, pavadintas „Sofacy“, buvo panaudotas ir vykdant kibernetinę ataką Ukrainoje, ir vėliau įsilaužiant į DNC serverius JAV.
Po kibernetinės atakos rinkimų Ukrainoje metu, valstybinis „Pirmasis kanalas“ padarė didelę klaidą – netyčia įpainiojo vyriausybės pareigūnus iš Maskvos.
Programišiai į Ukrainos rinkimų serverį įkėlė grafiką, mėgdžiojantį rinkimų rezultatus paskelbiantį puslapį. Netikras puslapis nurodė, neva nugalėjo itin griežtai prieš Rusiją nusiteikęs, kraštutinių dešiniųjų kandidatas Dmytro Jarošas, nors iš tikrųjų jis surinko mažiau nei 1 proc. balsų.
Šie suklastoti rezultatai turėjo pasitarnauti Rusijos propagandos naratyvui, neva Ukrainą valdo kraštutiniai dešinieji ar net fašistai.
Šie suklastoti rezultatai turėjo pasitarnauti Rusijos propagandos naratyvui, neva Ukrainą valdo kraštutiniai dešinieji ar net fašistai.
Netikras žinias skelbiantis puslapis buvo užprogramuotas pasirodyti iškart po balsavimo pabaigos – 8 val. vakaro. Tačiau Ukrainos kibernetinio saugumo bendrovė „InfoSafe“ jį pastebėjo keletu minučių anksčiau ir išjungė serverį.
Vis dėlto valstybinė Rusijos televizija paskelbė, kad D.Jarošas nugalėjo ir parodė suklastotą grafiką – neva citavo rinkimų komisijos internetinį puslapį, kuriame grafikas taip ir nepasirodė.
Akivaizdu, kad jį programišius „Pirmajam kanalui“ nusiuntė iš anksto, o žurnalistai nepatikrino, ar ataka iš tikrųjų suveikė.
„Man tai – akivaizdus ryšys tarp programišių ir Rusijos pareigūnų“, – sakė netikrą grafiką atradusios kibernetinio saugumo firmos „Info Safe“ direktorius Viktoras Zora.
Ukrainos vyriausybės tyrėjas Nikolajus Kovalas serveryje aptiko kenkėjišką „Sofacy“ programą. Kietojo disko kopija buvo perduota FTB, kuris jau žinojo, kad ta pati programa buvo naudojama įsilaužiant į DNC serverius.
2016-aisiais, praėjus dvejiems metams po atakos Ukrainoje, programišiai tokiomis pat technikomis puolė Pasaulinę antidopingo agentūrą (WADA), apkaltinusią rusų sportininkas sistematiškai vartojant neleistinas medžiagas.
Panašu, kad ir ši ataka buvo suderinta su valstybine Rusijos televizija, kuri pradėjo transliuoti puikiai parengtus reportažus apie įsilaužimus į WADA elektroninio pašto dėžutes praėjus vos kelioms minutėms nuo fakto paviešinimo.
Panašu, kad ir ši ataka buvo suderinta su valstybine Rusijos televizija, kuri pradėjo transliuoti puikiai parengtus reportažus apie įsilaužimus į WADA elektroninio pašto dėžutes praėjus vos kelioms minutėms nuo fakto paviešinimo.
Nutekinti elektroniniai laiškai pasirodė internetinėje svetainėje, skelbiančioje, kad prieš WADA nukreiptą kibernetinę ataką vykdė „Fancy Bears’ Hack Team” pasivadinusi grupuotė.
„Fancy Bear“ grupuotė išlieka labai slapta, dažnai pėdsakus mėto prisidengdama kitais vardais. Ekspertų manymu, vienas iš tokių alter ego gali būti „Cyber Berkut“ – prorusiškų pažiūrų prezidento Viktoro Janukovyčiaus rėmėjų įsteigta programišių grupuotė.
Keletą mėnesių tylėjusi, „Cyber Berkut“ šią vasarą vėl suaktyvėjo. „Cyber Berkut“ paviešino nutekintus elektroninius laiškus, o Rusijos valstybinė žiniasklaida paskelbė neva tikrą istoriją, kad Hillary Clinton rengė sąmokslą su Ukraina.
