Kako je britanski GCHQ vdrl v belgijski Belgacom

Matej Huš

14. dec 2014 ob 16:48:44

The Intercept, De Standaard in NRC Handelsblad so objavili prvo rekonstrukcijo poteka napada na Belgacom, ki ga je po doslej znanih podatkih zakrivila britanska obveščevalna agencija GCHQ s zlonamernim programom Regin. Edward Snowden, ki je priskrbel precejšen del dokumentov v podporo tem trditvam, pravi, da gre za prvi dokazani primer internetnega napada ene države članice EU na drugo.

Belgacom je belgijski telekomunikacijski operater, ki je bil za napad posebej zanimiv zato, ker v Belgiji z internetno povezljivostjo oskrbuje organe Evropske unije in ker ima v lasti precej podmorskih kablov, prek katerih teče mednarodni internetni promet. Prve anomalije v delovanju sistemov so odkrili poleti 2012, medtem ko je GCHQ napad izvajala vse od leta 2009. Šele julija 2013 so v Belgacomu odkrili, da so anomalije posledica načrtnih napadov z zlonamerno programsko opremo.

V letih 2009-2011 je GCHQ skupaj z obveščevalnimi agencijami drugih članic zavezništva Petero oči (še ZDA, Kanada, Avstralija, Nova Zelandija) razvijala orodja za preverjanje odpornosti globalnih računalniških omrežij in iskanje ranljivosti v njih. Ukvarjali so se s problemom šifriranja, ki je postajalo čedalje širše uporabljeno in je grozilo, da ne bodo mogli zlahka prestrezati internetnih komunikacij. Sklenili so, da je problem najlaže rešljiv tako, da podatke zajamejo pred šifriranjem, torej neposredno v telekomih in ne na povezavah. Belgacom je bil zaradi strateške pozicije in razvejanosti omrežja in partnerstev po svetu idealna tarča.

GCHQ se je napadal lotila zelo metodično. Pri identifikaciji ljudi, ki delajo na ključnih področjih v Belgacomu in prek katerih lahko pridobijo dostop do sistemov, jim je pomagalo orodje Noctural Surge, ki povezuje podatke o IP-naslovih in identiteti uporabnika. Orodje Hacienda je odkrivalo specifične ranljivosti v Belgacomu, Noctural Surge pa ljudi, ki so jih lahko izrabili. Slednji se povezuje s podatkovno bazo Mutant Broth, ki hrani posebne piškotke z Googla, Yahooja, LinkedIna in podobnih strani, kjer je moč identiteto določiti z visoko stopnjo zanesljivosti. Potem ko so odkrili, koga bodo izrabili, so opazovali njihove brskalnike navade in jim z orodjem Quantum Insert podtaknili lažne strani, ki so okužile njihove računalnike.

Do marca 2011 je bil Belgacom že dodobra prerešetan. Ne držijo lanske navedbe Belgacoma, da so napadalci pridobili dostop le do internetnih sistemov; novi podatki kažejo, da so bili na ogled postavljeni tudi podatki in promet strank. Da je nekaj narobe, je so v Belgacomu posumili šele poleti 2012, ko si imeli nerazložljive težave z e-poštnimi strežniki. Ker ne Belgacom ne Microsoft kot ponudnik programske opreme nista mogla odkriti, kaj je narobe, so najeli nizozemske podjetje Fox-IT. To je odkrilo, da so na strežnikih čudni programi, ki se pretvarjajo, da so Microsoftovi, a v resnici kradejo podatke. Kasneje se je vključila tudi belgijska policija.

Viri blizu Fox-IT-a pravijo, da so imeli v Belgacomu srečo. Če ne bi bilo težav z elektronsko pošto, morebiti vdora ne bi bili odkrili še vrsto leto. Izkazalo se je, da je vdor zelo globok, saj je bilo prizadetih več kot 120 računalniških sistemov v podjetju. Zlonamerno programsko opremo so odkrili tudi v usmerjevalnikih Cisco, a je niso mogli preučiti, ker je Belgacom izdal ukaz, da jih smejo pregledati le Ciscovi strokovnjaki. Fox-IT so kmalu po odkritju odslovili, poročilo o odkritem so zahtevali čim prej, podpisali pa so tudi pogodbo o nerazkrivanju podatkov (NDA).

Jeseni 2013 se je zgodba začela hitro razpletati. Avgusta so očitno Britanci oddaljeno pobrisali dele prisluškovalne kode, septembra pa je Belgacom začel čistiti svoje sisteme. Tedaj so v javnost prek že omenjenih časnikov prvikrat prišle informacije o vdoru, Belgacom pa je izdal prvo izjavo za javnost, v kateri so obseg napada skoraj v celoti prikrili. Belgacom je v čiščenje sistemov vložil več milijonov evrov, viri pa pravijo, da ni rečeno, da so resnično v celoti uspeli. Navsezadnje je bil Regin le eden izmed programov, ki so napadli Belgacom; poleg sta bila še vsaj Legspin in Hopscotch.