Dobra walka

We wszystkich naszych sieciach toczy się wojna, a specjaliści od bezpieczeństwa na całym świecie są na pierwszej linii frontu.

Text: Eric Adams
Zdjęcia: Kenny Braun

Dla eksperta od cyberbezpieczeństwa Matta Olneya (na zdjęciu powyżej), miało to być zwykłe sobotnie popołudnie w 2015 roku. Okazało się jednak inaczej. Był w domu w Maryland, siedząc na sofie z komputerem na kolanach, robiąc to, co uwielbia najbardziej — zwalczanie cyberprzestępców w niekończącej się wojnie pomiędzy dobrem i złem.

Olney jest jednym z ponad 250 członków Cisco Talos, naszego elitarnego zespołu badaczy bezpieczeństwa, który codziennie pomaga bronić światowe sieci przed nieustannie ewoluującymi zagrożeniami ze strony złośliwych cyberataków.

Tej właśnie soboty Olney skonfigurował tak zwaną pułapkę honeypot, która jest niewinnie wyglądającym serwerem zaprojektowanym do przyciągania uwagi potencjalnych napastników dzięki niepokojąco słabym hasłom i nieaktualnym wersjom zabezpieczeń. Aby jeszcze bardziej zakamuflować swoje intencje, Olney ustawił serwer tak, aby wydawało się, że znajduje się w Singapurze.

Może was zaskoczyć, że Olney, podobnie jak wielu jego kolegów z grupy Talos, zasadniczo lubi pracować w weekendy. "Nie wynika to tylko z poczucia obowiązku” — mówi Olney. „Robię to bo wiem, że cyberprzestępcy nie mają dni wolnych, więc dlaczego my mielibyśmy je mieć?”.

Grupa Talos analizuje dziennie około 1,5 miliona przypadków złośliwego oprogramowania i pomaga powstrzymać 7,2 biliona ataków rocznie. W tym celu Talos utrzymuje największą sieć wykrywania zagrożeń na świecie, korzystając z najnowocześniejszych technik umożliwiających identyfikowanie, ocenianie i reagowanie na najnowsze trendy w działaniach hackerskich, próbach włamań, złośliwym oprogramowaniu i lukach w zabezpieczeniach.

W ramach grupy Talos kilka zwartych zespołów koncentruje się na różnych frontach walki. Zespół zdobywania informacji nieustannie skanuje pojawiające się zagrożenia. Inne zespoły za pomocą inżynierii odwrotnej analizują nowe złośliwe oprogramowanie oraz luki w zabezpieczeniach i tworzą ochronę dla naszych klientów. Jeszcze inni skupiają się na przekazywaniu informacji na zewnątrz, publikując raporty bezpieczeństwa i komunikując się bezpośrednio z klientami, dostawcami usług i rozwiązań IT — a nawet konkurentami.

Czasami, jak Matt Olney, angażują się w starą dobrą zabawę w policjantów i złodziei. Olney aktywował pułapkę honeypot i sięgnął po swojego drinka. Zanim go odstawił, pułapka już działała.

„Jeszcze zanim udało mi się w pełni zainstalować oprogramowanie pułapki honeypot, zauważyłem pierwszą nieudaną próbę logowania” — mówi Olney.

Innymi słowy, cyberprzestępcy już majstrowali przy zabezpieczeniach honeypot, podejmując próby szybkiej infiltracji i zainfekowania. Wybraną przez napastników bronią był bezpardonowy atak polegający na próbach szybkiego sforsowania zapory za pomocą kolejnego wprowadzania znanych lub popularnych haseł w nadziei na uzyskanie dostępu. „Działo się to zaskakująco szybko” — mówi Olney.

Mając rybę na haczyku, szybko skonfigurował więcej pułapek honeypot na kilkunastu oddzielnych sieciach na różnych kontynentach, tak aby zwabić więcej ataków i namierzyć właściwych napastników. Nie byłoby możliwe aby ktokolwiek skojarzył ze sobą jego działania. „Rutynowo konfigurujemy pułapki honeypot, które udają przemysłowe systemy sterowania, serwery sieciowe, serwery elastycznego wyszukiwania, serwery telefonii IP, nawet pompy gazowe” — wyjaśnia Olney.

„Nie ma legalnego ruchu sieciowego skierowanego do tych pułapek honeypot, więc całość ruchu pochodzi od napastników. Szczerze mówiąc, to był najbardziej bezczelny rozbój w biały dzień, z jakim kiedykolwiek mieliśmy do czynienia”.

Craig Williams
Menedżer ds. zdobywania informacji o zagrożeniach

Cyfrowi detektywi

Teraz zaczęła się prawdziwa praca detektywistyczna. Ponieważ pułapki honeypot Olneya niepostrzeżenie zarejestrowały wszystkie nieudane próby logowania, analitycy Talos mogli dopasować te próby do znanych „słowników” haseł, baz danych zawierających ponad 450 000 haseł często wymienianych pomiędzy sobą online przez hackerów.

Zespół analizy zagrożeń przejął zadanie zbadania wzorców ruchu sieciowego. Zespół od metod wykrywania za pomocą inżynierii odwrotnej dokonał analizy kodu trojana DDoS wykorzystywanego w tym zagrożeniu. Zespół analityków danych grupy Talos wykrył więcej wskazówek, które mogły pomóc namierzyć atakujących.

„Nasi analitycy danych są ekspertami w wydobywaniu niuansów z danych. Mają matematyczne umiejętności potrzebne do zrozumienia teorii mnogości i algorytmów grupowania, aby pewnie określić kto, co i skąd atakuje” — mówi starszy dyrektor Matt Watchinski, weteran badań nad bezpieczeństwem, który kieruje grupą Talos z Columbii w Maryland.

Pracując razem, zespoły Talos ustaliły źródło ataków — zaledwie dwie sieci w Hongkongu. Po szybkim wypróbowaniu kilku barwnych nazw, członkowie Talos nazwali hackerów grupą SSHPsychos.

Zespół szybko odkrył, że grupa SSHPsychos nie będzie łatwym przeciwnikiem. Talos i inni eksperci bezpieczeństwa ocenili, że sama konfiguracja infrastruktury SSHPsychos musiała kosztować ponad 100 000 dolarów, nie wspominając o bieżących kosztach operacyjnych. „Nie uwierzylibyście, jak złożone są niektóre z elementów ich wyposażenia” — mówi Williams.

„Nasi analitycy danych są ekspertami w wydobywaniu niuansów z danych. Mają wszystkie niezbędne umiejętności potrzebne do zrozumienia analizy matematyki dyskretnej i algorytmów klastrowania, aby pewnie określić kto, co i skąd atakuje.”

Matt Watchinski
Starszy dyrektor grupy Cisco Talos

Kot i mysz

Po zlokalizowaniu hackerów SSHPsychos, nadszedł czas na ich neutralizację.

Grupa Talos była gotowa. I nie była w tym osamotniona. Grupa Talos stworzyła zaufane relacje w społeczności zajmującej się cyberbezpieczeństwem, które okazały się kluczowe w dążeniu do neutralizacji SSHPsychos.

Olney i zespół dyskretnie podzielili się swoimi odkryciami z kolegami badającymi zagrożenia w firmie Level 3 Communications znajdującej się w Broomfield w Kolorado, która jest międzynarodowym dostawcą usług telekomunikacyjnych pomagającym stworzyć globalną infrastrukturę „sieci szkieletowej”.

„Współpracujemy z grupą Cisco Talos w celu zminimalizowania zagrożeń w naszej sieci i sieciach naszych klientów. Dzięki współpracy uzyskujemy lepsze zrozumienie napastników, co sprawia, że są mniej skuteczni w swojej działalności” — mówi Mike Benjamin z Laboratoriów Badania Zagrożeń firmy Level 3.

Specjaliści z firmy Level 3 szybko zrozumieli skalę zagrożenia i natychmiast włączyli się do działania. Zgodnie z przestrzeganym protokołem klienckim firma Level 3 nie mogła dołączyć witryny do czarnej listy niezależnie od rodzaju ruchu sieciowego, jaki generowała. Zamiast tego powiadomiła firmę China Telecom o nielegalnej działalności w jej sieci.

Ponieważ dochodzenie szybko nabrało rozpędu, w jakiś sposób napastnicy dowiedzieli się o tym. Prawie natychmiast hackerzy SSHPsychos wyciszyli działalność, po raz pierwszy uniemożliwiając grupie Talos namierzenie ich śladu.

Jednego dnia ci napastnicy generują jedną trzecią światowej aktywności SSH. Następnego dnia już ich nie ma. A przez to, być może, przepadła szansa, aby ich powstrzymać.

„Naszym zadaniem w grupie Talos jest zbliżanie ze sobą ludzi i zapewnianie, że zawsze są dobrze poinformowani o ewolucji zagrożeń. Dotyczy to nas wszystkich”.

Joel Esler
Kierownik Menedżer ds. analizy
w Cisco Talos

Esler wykonuje wiele różnych zadań w grupie Talos. Oprócz współpracy z organami ścigania kieruje również zespołem zarządzającym kilkoma społecznościami zajmującymi się bezpieczeństwem otwartego oprogramowania, między innymi Snort, powszechnie uznawanym systemem wykrywania włamań stworzonym przez Martina Roescha, który swego czasu założył firmę Sourcefire. Kiedy firma Sourcefire połączyła się z firmą Cisco w 2013 roku, Snort również przeszedł do nowego pracodawcy. Zespół Eslera zarządza również witryną TalosIntel.com, na której grupa Talos udostępnia informacje opinii publicznej.

„Naszym zadaniem w grupie Talos jest zbliżanie ze sobą ludzi i zapewnianie, że zawsze są dobrze poinformowani o ewolucji zagrożeń” — mówi Esler. „Dotyczy to nas wszystkich”.

Talos i Level 3 były gotowe do ponownego pościgu za hackerami. Tym razem nie byli zbyt uprzejmi.

7 kwietnia 2015 roku firma Level 3 podjęła bezprecedensowe działanie polegające na blackholingu (blokowaniu) całego ruchu sieciowego grupy SSHPsychos na jej globalnych sieciach. Ponadto firma skontaktowała się z innymi dostawcami Internetu i wezwała ich do pójścia w ich ślady.