Holenderski akcent cyberataku Rosji na USA: kontrwywiad ma zbyt długi język?

Strona główna Aktualności
image

O autorze

Spoza zbioru państw anglojęzycznych Holandia jest prawdopodobnie najwierniejszym sojusznikiem Stanów Zjednoczonych. Albo przynajmniej była, gdyż po tym, jak amerykańskie władze potraktowały działania holenderskiego wywiadu AIVD, już tak chętnie Haga z Waszyngtonem informacjami dzielić się nie da. Od wczoraj media na całym świecie rozpisują się o tym, jak to Holendrzy dostarczyli Amerykanom kluczowych danych na temat zaangażowania Rosji w ich ostatnie wybory prezydenckie – i jak to osobliwie się skończyło. Pasjonująca historia, niczym z filmów szpiegowskich, idealnie wpasowana w aktualne potrzeby przeciwników Donalda Trumpa. Czy bezkrytyczne przyjęcie przedstawionej bez jakichkolwiek dowodów historii z Volksrant.nl nie pokazuje czasem, że gra wywiadów trwa, a światowe publikatory są w niej tylko pionkami?

Przytulny miś z Placu Czerwonego

Hakerska grupa Cozy Bear (znana też jako APT29, CozyCar, CozyDuke, Office Monkeys oraz The Dukes) uważana jest za powiązaną z rosyjską Federalną Służbą Bezpieczeństwa (FSB) lub Służbą Wywiadu Zagranicznego (SWR). Od przynajmniej 2008 roku przeprowadzać ma operacje wymierzone w rządy państw, organizacje międzynarodowe, siły zbrojne, sektor energetyczny i telekomunikacyjny, wykorzystując w tym celu intensywnie rozwijane autorskie malware. Wśród głównych ofiar Cozy Bear znaleźć się miały firmy i urzędy z Niemiec, Korei Południowej i Uzbekistanu, a w ostatnich latach podobno także instytucje amerykańskie: Departament Stanu, Pentagon i Biały Dom, a także Komitet Partii Demokratycznej. W zeszłym roku Cozy Bear mieli też próbować ataków na rządy Norwegii i Holandii.

Właśnie rok temu Rob Bertholee, szef holenderskiej agencji wywiadowczej AIVD ogłosił bowiem, że hakerzy Cozy Bear, wraz z inną pracującą dla Kremla grupą hakerską Fancy Bear, mieli próbować włamać się do holenderskich ministerstw, by uzyskać dostęp do tajnych rządowych dokumentów. Tę próbę ataku potraktowano jako usprawiedliwienie, by wyniki wyborów parlamentarnych ręcznie przeliczać, ale później z jakiegoś powodu zrezygnowano z tego. Złośliwcy mówili, że zrezygnowano dlatego, że potencjalnie promoskiewska skrajnie prawicowa Partia Wolności (PVV) przed samymi wyborami mocno obniżyła notowania w sondażach, nie groziło już, że zdobędzie pierwsze miejsce.

Lepiej atakować niż się bronić

Jak twierdzą dziś jednak holenderskie media, trzy lata wcześniej, latem 2014 roku to właśnie AIVD włamało się do sieci komputerowej pewnego uniwersyteckiego budynku opodal placu Czerwonego w Moskwie – podobno sieci wykorzystywanej przez Cozy Bear. Niewielka ofensywna jednostka hakerska (licząca raptem 80-100 osób) miała nie tylko włamać się do tej sieci, ale też uzyskać w niej stały przyczółek, a nawet, co brzmi już zupełnie jak historia ze scenariusza filmu szpiegowskiego, uzyskać dostęp do kamery systemu bezpieczeństwa monitorującej wejścia do pomieszczenia, w którym rosyjscy hakerzy pracowali. Zdobyte przez Holendrów zdjęcia rosyjskich hakerów szybko zostały przeanalizowane i porównane z posiadanymi informacjami o znanych rosyjskich szpiegach.

Już to samo w sobie było sporo warte, ale oczywiście najważniejszy akt tej historii wiąże się ze Stanami Zjednoczonymi. W listopadzie hakerzy AIVD mogą śledzić przygotowania Rosjan do włamania do infrastruktury informatycznej Departamenu Stanu. Jak wiemy, wykorzystano wtedy trojana Cozyduke, rozpowszechnianego przez uzłośliwione wideo we Flashu, do którego prowadził link w wiadomościach rozsyłanych do pracowników agencji rządowych. W ten sposób miano pozyskać adresy e-mail, loginy, i hasła wielu pracowników, a następnie dostać się do publicznej części sieci. Wtedy to właśnie Holendrzy mieli poinformować o zagrożeniu przedstawiciela NSA w ambasadzie amerykańskiej w Hadze, a ten ostrzegł amerykańskie służby.

„Bitwa” między hakerami miała trwać 24 godziny, jak twierdzą amerykańskie media, przysparzając całej tej historii filmowego blasku. Przez te 24 godziny ekstremalnie agresywni Rosjanie byli powstrzymywani na każdym kroku przez niezwykle szybkie zespoły FBI i NSA – nie wiedzieli bowiem, że są szpiegowani przez Holendrów. Dane dostarczane przez wywiad holenderski miały być tak ważne, że NSA otworzyło w celu ich przekazywania specjalną gorącą linię. Na czym ta ekstremalna agresja polegała? No cóż, według Volksrant.nl chodziło o stawianie serwerów dowodzenia i kontroli, które miałyby się skontaktować z malware zainstalowanym już w Departamencie Stanu. Gdy taki serwer ruszał, Holendrzy informowali o tym Amerykanów, którzy odcinali do niego dostęp.

Ciekawa to opowieść, biorąc pod uwagę to, że często do takiej komunikacji wykorzystuje się Tora. Czyżby ekstremalnie agresywni Rosjanie zapomnieli o istnieniu darknetu? A tymczasem w marcu zeszłego roku badacze z FireEye pisali, że Cozy bear korzystali w swoim malware z techniki frontowania domen, za pomocą wtyczki do Tora maskując ruch tak, że z zewnątrz wyglądał on jak np. komunikacja z serwerami Google’a. Ale nie wnikajmy w szczegóły, wróćmy do szpiegowskiej historii.

Po 24 godzinach bitwy w cyberprzestrzeni, Rosjanie wycofują się pokonani i tracą dostęp do sieci Departamentu Stanu. Amerykanie by zrobić porządki w swoim systemie zmuszeni są na kilka dni wyłączyć wszystkim pracownikom dostęp do sieci. Okazuje się jednak, że w ostatniej chwili Rosjanom udaje się wykorzystać jeszcze nieblokowany dostęp, by zaatakować serwer poczty Białego Domu. Szczęśliwie nie udaje im się włamać do serwerów kontrolujących ruch wiadomości z osobistego BlackBerry prezydenta Obamy, ale zdobywają dostęp do poczty wysyłanej do ambasad, dyplomatów, rozmaitych dokumentów dotyczących polityki i legislacji. I znów to Holendrzy uratować mają sytuację, alarmując NSA.

Cisza po bitwie – do czasu

Pomoc spotkała się z wdzięcznością zaskoczonych cyberatakiem Amerykanów. Jak twiedzą anonimowe źródła, Holendrzy mieli dostać od amerykańskiego wywiadu ciasto, kwiaty, a przede wszystkim technologie i cenne informacje wywiadowcze. Jakiego rodzaju? No cóż, jak pisze Volksrant.nl, hakerzy NSA zdołali dostać się do urządzeń mobilnych wielu wysokiej rangi oficerów rosyjskiego wywiadu, dowiadując się, że tuż przed atakiem hakerskim Rosjanie przeszukują internet w poszukiwaniu wszelkich newsów o nadchodzącym ataku. Według Amerykanów pośrednio świadczy to o tym, że rosyjski rząd jest zaangażowany w ataki.

Dlaczego jednak na początku pisaliśmy o tym, że stosunki między Hagą a Waszyngtonem się pogorszyły? Holenderskie media mówią o wyciekach informacji z amerykańskich agencji wywiadowczych, mających dowieść, ze Rosjanie ingerowali w proces wyborczy w USA. W jednym z tych wycieków powiedziano amerykańskim mediom o niezwykłym dostępie zachodniego sojusznika.

Dziś niektórzy Holendrzy mają wręcz czuć się zdradzeni tym ujawnieniem, a ich wywiad zamierza być ostrożniejszy w ujawnianiu informacji, szczególnie teraz, gdy Donald Trump jest prezydentem – prezydentem który często chwalił Rosję i Władimira Putina osobiście. Dziś w każdym razie AIVD dostępu do rosyjskiej sieci już nie ma, kto wie, czy właśnie długi język Amerykanów nie pozwolił na wykrycie napastników.

Kto skorzystał? Kto stracił?

Tyle przynajmniej ze strony Volksrant.pl. Samo AIVD w żaden sposób nie odniosło się do tych rewelacji, nie spotkały się one też z komentarzami amerykańskich i rosyjskich służb. Naiwnie byłoby jednak myśleć, że sprawa doszła do końca. Wręcz przeciwnie, wydaje się, że prawdziwa gra rozgrywa się dopiero teraz – i jej stawką jest los obecnej prezydentury Trumpa, ze wszystkich stron oskarżanego o powiązania z największym z wrogów, czyli właśnie Rosją.

Doniesienia Holendrów są naprawdę na rękę oskarżycielom – pamiętamy bowiem, że prezydent USA niejednokrotnie podkreślał, że nie można mieć pewności co do tego, kto stoi za cyberatakami na amerykańską infrastrukturę, twierdząc jeszcze we wrześniu 2016 roku, że mogli być to równie dobrze Chińczycy lub ktoś inny. Tymczasem z tych informacji wynika, że NSA i FBI miały dysponować bezpośrednimi dowodami rosyjskich cyberataków, włącznie ze zdjęciami hakerów. Wytłumaczenia są więc dwa: albo dane te zostały zatajone przed Trumpem, albo też świadomie kłamał na ich temat. Innego wyjaśnienia być nie może.

Oczywiście tak powinniśmy teraz myśleć, że innego wyjaśnienia być nie może. Załóżmy jednak na chwilkę czapeczki z folii aluminiowej: czy ktokolwiek widział jakiekolwiek dowody w tej sprawie poza opisami scen rodem z filmu sensacyjnego? Gdy firmy zajmujące się bezpieczeństwem przedstawiają analizy ataków, są one niezwykle szczegółowe, techniczne i nudne. Tutaj mamy tylko dym i lustra – w których prezydent Trump odbija się albo jako niekompetentny ignorant, albo wręcz marionetka Kremla. Gra (cyber)wywiadów wciąż trwa, i raczej nie jest tak widowiskowa i tak oczywista, jak to można zobaczyć w filmach sensacyjnych.

© dobreprogramy