Holenderski akcent cyberataku Rosji na USA: kontrwywiad ma zbyt długi język?
Spoza zbioru państw anglojęzycznych Holandia jest prawdopodobnienajwierniejszym sojusznikiem Stanów Zjednoczonych. Albo przynajmniejbyła, gdyż po tym, jak amerykańskie władze potraktowałydziałania holenderskiego wywiadu AIVD, już tak chętnie Haga zWaszyngtonem informacjami dzielić się nie da. Od wczoraj media nacałym świecie rozpisują się o tym, jak to Holendrzy dostarczyliAmerykanom kluczowych danych na temat zaangażowania Rosji w ichostatnie wybory prezydenckie – i jak to osobliwie się skończyło.Pasjonująca historia, niczym z filmów szpiegowskich, idealniewpasowana w aktualne potrzeby przeciwników Donalda Trumpa. Czybezkrytyczne przyjęcie przedstawionej bez jakichkolwiek dowodówhistorii z Volksrant.nl nie pokazuje czasem, że gra wywiadów trwa,a światowe publikatory są w niej tylko pionkami?
26.01.2018 15:46
Przytulny miś z Placu Czerwonego
Hakerska grupa Cozy Bear (znana też jako APT29, CozyCar,CozyDuke, Office Monkeys oraz The Dukes) uważana jest za powiązanąz rosyjską Federalną Służbą Bezpieczeństwa (FSB) lub SłużbąWywiadu Zagranicznego (SWR). Od przynajmniej 2008 roku przeprowadzaćma operacje wymierzone w rządy państw, organizacje międzynarodowe,siły zbrojne, sektor energetyczny i telekomunikacyjny, wykorzystującw tym celu intensywnie rozwijane autorskie malware. Wśród głównychofiar Cozy Bear znaleźć się miały firmy i urzędy z Niemiec,Korei Południowej i Uzbekistanu, a w ostatnich latach podobno takżeinstytucje amerykańskie: Departament Stanu, Pentagon i Biały Dom, atakże Komitet Partii Demokratycznej. W zeszłym roku Cozy Bear mieliteż próbować ataków na rządy Norwegii i Holandii.
Właśnie rok temu Rob Bertholee, szef holenderskiej agencjiwywiadowczej AIVD ogłosił bowiem, że hakerzy Cozy Bear, wraz z innąpracującą dla Kremla grupą hakerską Fancy Bear, mieli próbowaćwłamać się do holenderskich ministerstw, by uzyskać dostęp dotajnych rządowych dokumentów. Tę próbę ataku potraktowano jakousprawiedliwienie, by wyniki wyborów parlamentarnych ręcznieprzeliczać, ale później z jakiegoś powodu zrezygnowano z tego.Złośliwcy mówili, że zrezygnowano dlatego, że potencjalniepromoskiewska skrajnie prawicowa Partia Wolności (PVV) przed samymiwyborami mocno obniżyła notowania w sondażach, nie groziło już,że zdobędzie pierwsze miejsce.
Lepiej atakować niż się bronić
Jak twierdzą dziś jednak holenderskiemedia, trzy lata wcześniej, latem 2014 roku to właśnie AIVDwłamało się do sieci komputerowej pewnego uniwersyteckiego budynkuopodal placu Czerwonego w Moskwie – podobno sieci wykorzystywanejprzez Cozy Bear. Niewielka ofensywna jednostka hakerska (liczącaraptem 80-100 osób) miała nie tylko włamać się do tej sieci, aleteż uzyskać w niej stały przyczółek, a nawet, co brzmi jużzupełnie jak historia ze scenariusza filmu szpiegowskiego, uzyskaćdostęp do kamery systemu bezpieczeństwa monitorującej wejścia dopomieszczenia, w którym rosyjscy hakerzy pracowali. Zdobyte przezHolendrów zdjęcia rosyjskich hakerów szybko zostałyprzeanalizowane i porównane z posiadanymi informacjami o znanychrosyjskich szpiegach.
Już to samo w sobie było sporo warte, ale oczywiścienajważniejszy akt tej historii wiąże się ze StanamiZjednoczonymi. W listopadzie hakerzy AIVD mogą śledzićprzygotowania Rosjan do włamania do infrastruktury informatycznejDepartamenu Stanu. Jak wiemy, wykorzystano wtedy trojana Cozyduke,rozpowszechnianego przez uzłośliwione wideo we Flashu, do któregoprowadził link w wiadomościach rozsyłanych do pracowników agencjirządowych. W ten sposób miano pozyskać adresy e-mail, loginy, ihasła wielu pracowników, a następnie dostać się do publicznejczęści sieci. Wtedy to właśnie Holendrzy mieli poinformować ozagrożeniu przedstawiciela NSA w ambasadzie amerykańskiej w Hadze,a ten ostrzegł amerykańskie służby.
„Bitwa” między hakerami miała trwać 24 godziny, jaktwierdzą amerykańskie media, przysparzając całej tej historiifilmowego blasku. Przez te 24 godziny ekstremalnie agresywniRosjanie byli powstrzymywani na każdym kroku przez niezwykle szybkiezespoły FBI i NSA – nie wiedzieli bowiem, że są szpiegowaniprzez Holendrów. Dane dostarczane przez wywiad holenderski miałybyć tak ważne, że NSA otworzyło w celu ich przekazywaniaspecjalną gorącą linię. Na czym ta ekstremalna agresja polegała?No cóż, według Volksrant.nl chodziło o stawianie serwerówdowodzenia i kontroli, które miałyby się skontaktować z malwarezainstalowanym już w Departamencie Stanu. Gdy taki serwer ruszał,Holendrzy informowali o tym Amerykanów, którzy odcinali do niegodostęp.
Ciekawa to opowieść, biorącpod uwagę to, że często do takiej komunikacji wykorzystuje sięTora. Czyżby ekstremalnie agresywni Rosjanie zapomnieli o istnieniudarknetu? A tymczasem w marcu zeszłego roku badacze z FireEyepisali,że Cozy bear korzystali w swoim malware z techniki frontowaniadomen, za pomocą wtyczki do Tora maskując ruch tak, że z zewnątrzwyglądał on jak np. komunikacja z serwerami Google’a. Ale niewnikajmy w szczegóły, wróćmy do szpiegowskiej historii.
Po 24 godzinach bitwy wcyberprzestrzeni, Rosjanie wycofują się pokonani i tracą dostępdo sieci Departamentu Stanu. Amerykanie by zrobić porządki w swoimsystemie zmuszeni są na kilka dni wyłączyć wszystkimpracownikom dostęp do sieci. Okazuje się jednak, że w ostatniejchwili Rosjanom udaje się wykorzystać jeszcze nieblokowany dostęp,by zaatakować serwer poczty Białego Domu. Szczęśliwie nie udajeim się włamać do serwerów kontrolujących ruch wiadomości zosobistego BlackBerry prezydenta Obamy, ale zdobywają dostęp dopoczty wysyłanej do ambasad, dyplomatów, rozmaitych dokumentówdotyczących polityki i legislacji. I znów to Holendrzy uratowaćmają sytuację, alarmując NSA.
Cisza po bitwie – do czasu
Pomoc spotkała się z wdzięcznością zaskoczonych cyberatakiemAmerykanów. Jak twiedzą anonimowe źródła, Holendrzy mieli dostaćod amerykańskiego wywiadu ciasto, kwiaty, a przede wszystkimtechnologie i cenne informacje wywiadowcze. Jakiego rodzaju? No cóż,jak pisze Volksrant.nl, hakerzy NSA zdołali dostać się dourządzeń mobilnych wielu wysokiej rangi oficerów rosyjskiegowywiadu, dowiadując się, że tuż przed atakiem hakerskim Rosjanieprzeszukują internet w poszukiwaniu wszelkich newsów o nadchodzącymataku. Według Amerykanów pośrednio świadczy to o tym, żerosyjski rząd jest zaangażowany w ataki.
Dlaczego jednak na początku pisaliśmy o tym, że stosunki międzyHagą a Waszyngtonem się pogorszyły? Holenderskie media mówią owyciekach informacji z amerykańskich agencji wywiadowczych, mającychdowieść, ze Rosjanie ingerowali w proces wyborczy w USA. W jednym ztych wycieków powiedziano amerykańskim mediom o niezwykłymdostępie zachodniego sojusznika.
Dziś niektórzy Holendrzy mają wręcz czuć się zdradzeni tymujawnieniem, a ich wywiad zamierza być ostrożniejszy w ujawnianiuinformacji, szczególnie teraz, gdy Donald Trump jest prezydentem –prezydentem który często chwalił Rosję i Władimira Putinaosobiście. Dziś w każdym razie AIVD dostępu do rosyjskiej siecijuż nie ma, kto wie, czy właśnie długi język Amerykanów niepozwolił na wykrycie napastników.
Kto skorzystał? Kto stracił?
Tyle przynajmniej ze strony Volksrant.pl. Samo AIVD w żadensposób nie odniosło się do tych rewelacji, nie spotkały się oneteż z komentarzami amerykańskich i rosyjskich służb. Naiwniebyłoby jednak myśleć, że sprawa doszła do końca. Wręczprzeciwnie, wydaje się, że prawdziwa gra rozgrywa się dopieroteraz – i jej stawką jest los obecnej prezydentury Trumpa, zewszystkich stron oskarżanego o powiązania z największym z wrogów,czyli właśnie Rosją.
Doniesienia Holendrów są naprawdę na rękę oskarżycielom –pamiętamy bowiem, że prezydent USA niejednokrotnie podkreślał, żenie można mieć pewności co do tego, kto stoi za cyberatakami naamerykańską infrastrukturę, twierdząc jeszcze we wrześniu 2016roku, że mogli być to równie dobrze Chińczycy lub ktoś inny.Tymczasem z tych informacji wynika, że NSA i FBI miały dysponowaćbezpośrednimi dowodami rosyjskich cyberataków, włącznie zezdjęciami hakerów. Wytłumaczenia są więc dwa: albo dane tezostały zatajone przed Trumpem, albo też świadomie kłamał na ichtemat. Innego wyjaśnienia być nie może.
Oczywiście tak powinniśmy teraz myśleć, że innego wyjaśnieniabyć nie może. Załóżmy jednak na chwilkę czapeczki z foliialuminiowej: czy ktokolwiek widział jakiekolwiek dowody w tejsprawie poza opisami scen rodem z filmu sensacyjnego? Gdy firmyzajmujące się bezpieczeństwem przedstawiają analizy ataków, sąone niezwykle szczegółowe, techniczne i nudne. Tutaj mamy tylko dymi lustra – w których prezydent Trump odbija się albo jakoniekompetentny ignorant, albo wręcz marionetka Kremla. Gra(cyber)wywiadów wciąż trwa, i raczej nie jest tak widowiskowa itak oczywista, jak to można zobaczyć w filmach sensacyjnych.