MASARYKOVA UNIVERZITA Fakulta sociálních studií Katedra politologie
Advanced Persistent Threat: koncept, případy a kritéria Bakalářská práce
Autor práce: Alena Leciánová, UČO 385862 Vedoucí práce: Mgr. Martin Bastl, Ph.D. Obor: Mezinárodní vztahy – Bezpečnostní a strategická studia Imatrikulační ročník: 2010 V Brně dne 17. 12. 2013
Prohlášení o autorství práce Prohlašuji, ţe jsem bakalářskou práci na téma „Advanced Persistent Threat: koncept, případy a kritéria“ vypracovala samostatně pod vedením Mgr. Martina Bastla, Ph.D. a pouţila jen zdroje uvedené v seznamu literatury. V Brně dne 17. 12. 2013
Podpis: ………………… 2
Poděkování Ráda bych touto cestou poděkovala svému vedoucímu práce Mgr. Martinu Bastlovi, Ph.D. za jeho cenné rady při vypracování této bakalářské práce. Dále bych ráda poděkovala také své rodině za podporu nejen při psaní této bakalářské práce, ale i během celého studia.
3
Obsah 1
Úvod ................................................................................................................................... 6
2
Cíle práce a metodologie .................................................................................................... 7 2.1
3
4
Limity práce ................................................................................................................. 7
Terminologie a konceptualizace......................................................................................... 8 3.1
Advanced Persistent Threat ......................................................................................... 8
3.2
Cyber attack – kybernetický útok ................................................................................ 8
3.3
Cybercrime – kybernetická kriminalita ....................................................................... 8
3.4
Cyberspace - kyberprostor ........................................................................................... 9
3.5
Cyberterrorism – kyberterorismus ............................................................................... 9
3.6
Defense Industrial Base – obranná průmyslová základna země.................................. 9
3.7
Espionage - špionáţ ..................................................................................................... 9
3.8
Malware ..................................................................................................................... 10
3.9
Phishing ..................................................................................................................... 10
3.10
Spear phishing ........................................................................................................ 10
3.11
Social engineering – sociální inţenýrství .............................................................. 10
3.12
Vulnerability – softwarová zranitelnost ................................................................. 10
Advanced Persistent Threat .............................................................................................. 12 4.1
Historie ...................................................................................................................... 12
4.2
Teorie ......................................................................................................................... 12
4.2.1
Zdroje a schopnosti aktéra.................................................................................. 13
4.2.2
Cíle aktéra .......................................................................................................... 14
4.2.3
Nástroje a chování aktéra ................................................................................... 14
4.3
Případy ....................................................................................................................... 15
4.3.1
Moonlight Maze ................................................................................................. 15
4.3.2
Titan Rain ........................................................................................................... 15
4.3.3
GhostNet............................................................................................................. 16
4.3.4
Night Dragon ...................................................................................................... 17
4.3.5
Stuxnet ................................................................................................................ 17
4.3.6
Flame .................................................................................................................. 18
4.3.7
Operace Aurora .................................................................................................. 19
4.3.8
Duqu ................................................................................................................... 20
4.3.9
Napadení RSA .................................................................................................... 21 4
4.4 5
6
Podoba útoku ............................................................................................................. 21
Operacionalizace .............................................................................................................. 23 5.1
Kybernetický terorismus a kybernetická kriminalita................................................. 23
5.2
APT ............................................................................................................................ 24
5.3
Otázky ........................................................................................................................ 24
5.3.1
Zdroje aktéra ...................................................................................................... 24
5.3.2
Cíle aktéra .......................................................................................................... 25
5.3.3
Motivy aktéra ..................................................................................................... 25
5.3.4
Schopnosti aktéra ............................................................................................... 26
5.3.5
Vytrvalost aktéra ................................................................................................ 27
5.3.6
Chování aktéra.................................................................................................... 27
Analýza............................................................................................................................. 28 6.1
Moonlight Maze ........................................................................................................ 28
6.2
Titan Rain .................................................................................................................. 29
6.3
GhostNet .................................................................................................................... 30
6.4
Night Dragon ............................................................................................................. 31
6.5
Stuxnet ....................................................................................................................... 32
6.6
Flame ......................................................................................................................... 33
6.7
Operace Aurora.......................................................................................................... 34
6.8
Duqu .......................................................................................................................... 35
6.9
Napadení RSA ........................................................................................................... 36
6.10
Výstup .................................................................................................................... 37
7
Závěr................................................................................................................................. 39
8
Seznam zdrojů .................................................................................................................. 41
9
Seznam zkratek ................................................................................................................ 51
Počet znaků práce: 66 134
5
1 Úvod Posledních více jak dvacet let je laická i odborná veřejnost svědky světových změň, ať uţ jde o konec Studené války, pád Ţelezné opony, globalizace či masový nástup informačních a komunikačních technologií (dále ICT). Nové technologie obecně byly vţdy vyuţívány nejprve ve vojenském sektoru, později v tom obchodním a soukromém. U ICT tomu nebylo jinak. Jejich četnost vyuţívání běţnými lidmi rostla exponenciálně a s jejich zapojením do sítě se tak naskytl prostor pro počítačovou kriminalitu, která se vyznačovala kromě jiného také svou nenásilností a skrytostí. Další skupinou, která začala vyuţívat této nově vzniklé domény ke svým cílům, byli teroristé, kteří díky ICT byli schopni získávat know-how a také finanční a jiné prostředky či šířit teror napříč kybernetickým prostorem. V akademických kruzích se také diskutuje o eventuálním vyuţívání tohoto prostoru státními aktéry a jejich armádami, kteří jej mohou chápat jako další prostředek pro oslabení nepřítele, konkrétně pak vyřazením strategicky důleţitých vojenských systému z provozu či napadení infrastruktury apod. Několik let po přehoupnutí se do nového milénia se však setkáváme s novým fenoménem vyuţívání kyberprostoru státními aktéry a jeho specifickými znaky. Jedná se o nový typ útoku s názvem Advanced Persistent Threat (dále APT), který si v této práci máme za cíl přiblíţit. Teoretické zarámování tohoto konceptu proběhlo v publikacích odborníků a bezpečnostních společností anglosaské provenience, a proto je naším cílem převést tuto teorii do našeho akademického prostředí za pouţití zmíněných zdrojů a metody případové studie k určení kritérií pro rozlišování tohoto nového typu útoku od ostatních. V práci však budeme ve velké míře nadále pouţívat anglické výrazy, a to z důvodu jejich obecné rozšířenosti. V první části této práce budou definovány a konceptualizovány jednotlivé termíny potřebné pro naši práci a také provedena syntéza definicí konceptu APT. Po popisu jednotlivých případů bude popsána podoba útoku a jeho jednotlivé nástroje jak pro čtenářův přehled, tak pro potřeby další práce v rámci naší metodologie. V rámci práce budou také stručně popsány koncepty jako kybernetický terorismus a kybernetická kriminalita, které nám budou nápomocny v určování jednotlivých kritérií APT. Na základě jednotlivých výstupů budou učiněny závěry, které mohou pomoci v rámci dalšího výzkumu této hrozby.
6
2 Cíle práce a metodologie Jak jiţ bylo řečeno v úvodu tak naším cílem je kromě deskripce celého konceptu a jeho případů, také určení kritérii, na základě kterých bude moţno označit eventuální budoucí útoky jako APT. K tomuto účelu nám poslouţí případová studie, konkrétně ta kolektivní (Stake 1995). Jako základ pro naši studii poslouţí provedená deskripce jednotlivých případů a jejich následná analýza, kterou v případech budeme hledat operacionalizované charakteristiky. Výběr případů bude proveden účelově na základě o nich volně dostupných informací a budou vybrány ty případy, které jiţ byly odborníky označeny za případy APT, ale i ty, na které panuje ohledně jejich kategorizace rozdílný pohled. Pokud usoudíme, ţe případy budou charakteristikami disponovat, přiřadíme těmto charakteristikám v jednotlivých případech kladnou hodnotu. Tato analýza bude prováděna prostřednictvím pomocných otázek. Výstupem práce pak budou jednotlivá kritéria pro určení, zda jsou kybernetické útoky APT, či ne. Naše výzkumná otázka tedy zní: Jaká jsou kritéria k označení útoku jako APT?
2.1 Limity práce Prvním problémem kompletnosti této studie je jednak účelový výběr na základě postojů ostatních odborníků, které jsou sice většinové, nicméně nemusí zahrnovat celou realitu otázky, coţ můţe mít za následek vynechání některých či neúplné prozkoumání případů. Druhým problémem v rámci výběrů případů je vysoká pravděpodobnost neobjevení mnoha z nich, a to především ze samotné povahy útoku či z důvodu snah různých společností jednotlivé případy zamlčet za účelem zachování jejich (pozitivního) vnímání veřejností, obchodními partnery apod. Tento fakt můţe pak v konečném výsledku zkreslit naše chápání problému. I přesto je skupina dat, se kterými budeme pracovat, veliká, a budeme navíc pracovat s předpokladem, ţe jsou námi zkoumané případy modelovými příklady. Dalším limitem je také úzce vymezená skupina zkoumaných specifik, jejichţ zkoumáním budou opomenuta specifika ostatních aspektů, a nebude tak poskytnut komplexní obraz reality.
7
3 Terminologie a konceptualizace 3.1 Advanced Persistent Threat Tento termín můţeme do češtiny přeloţit jako pokročilou přetrvávající hrozbu, nicméně v rámci naší práce budeme pouţívat dále anglický výraz (dále APT), a to hlavně z důvodu jeho rozšířenosti v akademické oblasti. Existuje více názorů, kdo tento termín začal pouţívat jako první, čemuţ se budeme věnovat níţe v práci. V tuto chvíli však vyuţijeme definice Národního institutu pro standardy a technologie (National Institute of Standards and Technology – NIST), který definuje APT jako: „protivníka, který disponuje vysokou úrovní odborných znalostí a značnými zdroji, které mu umoţňují vytvářet příleţitosti k dosaţení svých cílů za uţití rozdílných vektorů útoků (např. kybernetické, fyzické a psychologické). K naplnění těchto cílů je pak vyuţito vytvoření a rozšíření předmostí v informační infrastruktuře napadené organizace za účelem vytěţení informací, znemoţnění či ohroţení jejího poslání, agendy nebo organizace samotné; nebo zaujetí takové pozice k naplnění výše uvedeného v budoucnu. APT: (i) sleduje tyto cíle opakovaně v průběhu delšího časového období; (ii) přizpůsobuje se snahám ‚oběti‘ vzdorovat útoku; (iii) je předurčena k udrţení míry interakcí potřebných k dosaţení cílů útočníka“, (NIST 2011).
3.2 Cyber attack – kybernetický útok Cyber attack neboli kybernetický útok je definován Libickim (Libicki 2009) jako promyšlené narušení systému náleţícímu jednomu státu státem druhým, pro který je tento systém objektem zájmu. Pro potřeby naší práce je však nutné odlišit od typického kybernetického útoku tzv. computer network exploitation (CNE), který se odlišuje především tím, ţe uţivateli napadeného systému není znemoţněno jeho plné vyuţívání. Systém není nijak poškozen, během útoku jsou však vytěţována citlivá data. Mike Cloppert pak modifikuje zkratku CNE a zaměňuje termín exploitation, tedy zneuţití, za espionage, tedy špionáţ, která logicky souvisí s přístupem k nezveřejněným informacím (Cloppert 2009).
3.3 Cybercrime – kybernetická kriminalita Někteří odborníci jsou proti definici kybernetické kriminality jako samostatného pojmu. Dle nich jde pouze o kriminalitu vykonávanou prostřednictvím kyberprostoru (viz Wilson 2008). Ostatní odborníci (Robinson – Disley – Potoglou et al. 2012, srov. Wilson 2008) jej definují jako spektrum aktivit zneuţívajících data, počítačové a informační systémy a kyberprostor za 8
účelem osobního, finančního a psychologického zisku. Kybernetická kriminalita zahrnuje krádeţe identity, duševního vlastnictví, patentů a dalších za pomocí například malwarů či phishingu.
3.4 Cyberspace - kyberprostor Kuehl kyberprostor definuje jako „globální doménu v informačním prostředí, jejímţ charakteristickým rysem je pouţití elektroniky a elektromagnetického spektra k vytvoření, uloţení, modifikaci, výměně a vytěţování informací prostřednictvím vzájemně propojených a závislých sítí za pouţití informačních a komunikačních technologií“, (Kuehl 2009, srov. Joint Pub 1-02 2013).
3.5 Cyberterrorism – kyberterorismus Definic kyberterorismu se, stejně jako u termínu terorismu, objevilo v akademické oblasti více. Většina autorů (např. Denning 2001) se však shoduje na názoru, ţe kyberterorismus jsou politicky motivované činy prováděné prostřednictvím kyberprostoru za účelem způsobení škod na lidských ţivotech či těch ekonomických.
3.6 Defense Industrial Base – obranná průmyslová základna země Dle americké definice (Joint Pub 3-27 2013) je obranná průmyslová základna (dále DIB) země komplexem ministerstva obrany, vlády a společností soukromého sektoru se schopnostmi provádět výzkum a vývoj, navrhovat, vyrábět a udrţovat vojenské zbraňové systémy, subsystémy či jiné součásti uplatnitelné ve vojenském sektoru. Tyto společnosti jsou označovány jako tzv. kontraktoři a například americká DIB spolupracuje s přes 100 000 těchto kontraktorů (DHS 2011).
3.7 Espionage - špionáž Špionáţ je definována DoD (Joint Pub 1-02 2013) jako akt získávání, dodávání, přenášení, komunikování či přijímání informací o národní obraně, které eventuálně poslouţí k poškození Spojených států či k vytvoření převahy jakéhokoliv vnějšího státu. Američtí odborníci definují špionáţ v kontextu Spojených států, nicméně jejich definice o termínu špionáţe informuje dostatečně. Britové (MI5 2013) pak doplňují, ţe jde o získávání informací, které nejsou veřejně dostupné za vyuţití agentů či technologií. Špionáţ můţe také zahrnovat ovlivňování decision makerů a jiných představitelů země. 9
3.8 Malware Malware, zkráceno z anglického malicious software (škodlivý software), je program či pouhý kód, který napadá systémy za účelem narušení tajnosti, celistvosti či přístupnosti dat jejich uţivatelů, aplikací či operačního systému (NIST 2005). Malware proniká do systému nepozorovaně a skrytě. Do kategorie malwaru se řadí počítačoví červi, viry či například adware, který ohroţuje uţivatele přehráváním reklam či otevíráním vyskakovacích oken (srov. McQuade ed. 2009).
3.9 Phishing Phishing, typ sociálního inţenýrství (viz níţe), je metoda vytváření a rozesílání falešných emailů uţivatelům. Tyto emaily jsou navrţeny tak, aby v oběti vyvolali dojem, ţe jde o emaily finančních či jiných institucí. Oklamaný uţivatel pak útočníkovi poskytne citlivé informace jako uţivatelská jména, hesla či čísla bankovních účtů (viz McQuade ed. 2009, The Honeynet Project 2008). Tato metoda je velice často vyuţívána v rámci kybernetické kriminality.
3.10 Spear phishing Spear phishing je podtypem phishingu, kdy jsou emaily speciálně navrţeny a upraveny na úzkou cílovou skupinu (např. profesní). Tento postup dokáţe u uţivatelů získat větší důvěru a dále ji vyuţít (např. RSA 2011).
3.11 Social engineering – sociální inženýrství Sociální inţenýrství (angl. social engineering) v sobě zahrnuje techniky klamu a manipulace za účelem získání důvěry lidí v osobu, která se vydává za někoho, kým není. Tato osoba je pak schopna se získanou důvěrou získat citlivé informace, potřebné pro provedení útoku či přimět oběti k jednání ve prospěch útočníka (Mitnick – Simon 2002, srov. McQuade ed. 2009).
3.12 Vulnerability – softwarová zranitelnost Zranitelnost (angl. vulnerability je dle amerického Národního institutu pro standardy a technologie (National Institute of Standards and Technology – NIST) (NIST 2002) chyba či slabost v bezpečnostních procedurách, struktuře, implementaci či vnitřní kontrole systému, která můţe být náhodně spuštěna či vyuţita s následkem porušení bezpečnosti systému (srov. NIST 2011). Často se setkáváme také s výrazem zranitelnost (či zneuţití) nultého dne, coţ 10
znamená, ţe výrobce softwaru na zranitelnost ještě nestačil vydat příslušný patch (záplata, náprava) či zranitelnost nedetekoval (Symantec 2013).
11
4 Advanced Persistent Threat 4.1 Historie Uţ ze samotné povahy APT (viz níţe), rozuměj jeho trvání a obtíţné detekovatelnosti, není moţno určit přesně, které napadení do systému bylo tím prvním či kdy vytěţování systému začalo. I přesto, ţe se v práci budeme věnovat útokům, které byly zpětně vysledovány aţ do roku 20031, tak snad poprvé, kdy experti zaznamenali, respektive odlišili nový typ útoku, byl rok 20052, kdy byly americkým CERT a britským NISCC (nyní CPNI) vydány reporty, ve kterých byly uvedeny hlavní odlišnosti od ostatních útoků. Škodlivý software zaprvé dokázal obejít všechny známé antivirové programy a brány firewall, aby dosáhl svého určení. Od ostatních phishingových útoků se také lišil svým zacílením pouze na určité osoby. Napadený počítač byl pak dál vyuţíván k rozšiřování sítě napadených systémů. Co se týče organizací, které byly napadány, objevoval se tento typ útoků převáţně ve vládních sítích a sítích větších společností (viz CERT 2005, CPNI 2005). V této chvíli bylo jiţ zřejmé, ţe je nutno postavit se novému, sofistikovanějšímu nepříteli, zatím beze jména. Výraz APT byl poprvé pouţit v úzkém kruhu důstojníků US Air Force, a to aţ v roce 2006. Za názor, ţe americké letectvo přišlo s tímto termínem jako první, se staví např. odborník na kybernetickou bezpečnost Michael J. Cloppert (Cloppert 2009, srov. Bejtlich 2010). Tento termín byl jiţ výše konceptualizován, pro jeho bliţší pochopení a uvedení do kontextu si jej blíţe rozvedeme.
4.2 Teorie Advanced Advanced znamená v překladu pokročilý, coţ si v kontextu hrozby můţeme vysvětlit jako zkušenosti a nástroje protivníka. Například Bejtlich (Bejtlich 2010) s tímto názorem souhlasí a tuto pokročilost vidí jako schopnost vyuţívat jak veřejně dostupné, prakticky triviální nástroje a zranitelnosti, tak i schopnosti, tedy zdroje, vyhledání či koupení 3 nových zranitelností a vytvoření lepších, sofistikovanějších nástrojů. Andress a Command Five pak 1
V naší práci budeme níţe hovořit o případu, který se stal dříve a jeho objevení je některými (Command Five Pty Ltd 2011) povaţováno za objevení fenoménu APT obecně. V podkapitole výše však hovoříme o četnosti těchto útoků, která byla tak vysoká, aby dala za vznik novému fenoménu. 2 Ve stejné době si těchto útoků začaly všímat i soukromé společnosti a mezi nimi i odborníci z Mandiant (viz Mandiant 2010), kteří tyto útoky označují za velice profesionální a s velmi vysokou mírou úspěšnosti. 3 Trh s napadenými sítěmi a dalšími nástroji pro provádění výše popisovaných aktivit je velice rozšířený. Jeanson Ancheta si například tímto obchodem byl schopný vydělat více neţ 100 tisíc USD (viz Wilson 2008).
12
mluví především o protivníkově schopnosti přizpůsobit se chování oběti a jeho nelimitovaných zdrojích (Andress 2011, Command Five Pty Ltd 2011). Persistent Persistentní, tedy vytrvalou, je hrozba především díky obtíţnosti, s jakou jde protivníkovi zabránit v napadení systému, a zpravidla komplikovanému odstranění hrozby ze systému, který můţe být infiltrován aţ několik let. Protivník se nepokouší o vytěţení jakýchkoliv informací, na které při svém setrvávání v systému narazí. Naopak má při počátečním vniknutí do systému jasně daný cíl, kvůli kterému si udrţuje a posiluje v systému svou pozici, i kdyţ si mnohdy léta vystačí s udrţováním té nejniţší úrovně interakce (Bejtlich 2010, Andress 2011). Threat Termínem hrozba je akcentována především nebezpečnost APT, která je způsobena tím, ţe útok není automatizovaný, ale je z části řízen operátorem, který postup napadení dokáţe měnit s ohledem na chování „oběti“. K tomuto se přidává i vysoká míra organizovanosti a motivace. (Bejtlich 2010, Andress 2011) Hrozbou ve svém významu je APT také díky strategickému charakteru informací, které mohou být vyuţity k dalším potenciálním útokům, ať uţ kybernetickým, či konvenčním. Z výše uvedeného tedy můţeme vyvodit, ţe hlavními charakteristikami APT jsou zdroje a cíle aktéra a jeho nástroje, respektive chování, díky kterým si udrţuje přítomnost v napadeném systému. Tyto charakteristiky budou rozvedeny dále v textu pro potřeby naší práce.
4.2.1 Zdroje a schopnosti aktéra Jak jiţ bylo výše řečeno, specifikem aktéra je jeho pokročilost, která můţe pramenit jak z jeho odborných znalostí, tak i z finančních zdrojů, které jsou vyuţívány k získávání a vylepšování sofistikovaných nástrojů. APT se ani zdaleka nepodobá typickým útokům hackerů různých znalostních úrovní, kteří zpravidla mají pouze jeden hlavní cíl, a sice se do systému vůbec dostat a posléze z něj slepě vytěţit vše, co mohou. K vedení útoku, který se má zaměřit pouze na specifická místa a konkrétní typy souborů na pevném disku, je zapotřebí více odborných znalostí neţ těch, kterými disponuje většina hackerů a počítačových zločinců. Víme také, jak bude řečeno níţe, ţe charakter vytěţovaných dat je spíše strategický a dlouhodobý a nejedná se o útok za cílem obohacení se. Nabízí se tedy vysvětlení, ţe u APT se nejedná o znuděné jedince či kriminální skupiny, ale spíše o aktéry významnějšího, často státního charakteru, 13
kteří jsou nejenţe schopní financovat přípravu na útok a jiné, ale také smysluplně vytěţených informací vyuţít strategicky či politicky.
4.2.2 Cíle aktéra Zacílení aktéra můţeme chápat na dvou úrovních, a sice na té niţší, kdy jsou v průběhu příprav útoku vybírány lidské vstupní body, jejichţ charakter umoţní buď přímé naplnění cíle v lepším případě či dobrý přístup k dalším bodům sítě, které naplnění umoţní v horším případě. Na té vyšší úrovni to pak můţeme chápat ve smyslu charakteru organizací, které jsou APT napadány, úzce svázaným s charakterem útočníka. Pokud je útočníkovým cílem získat strategicky hodnotné informace, bude cílit na sítě vlád, ministerstev obrany, firem obranné průmyslové základny a jiné, z nichţ můţe vytěţit jak plány zbraňových systémů, tak například i rozhovory mezi jednotlivými decision makers. Zacíleno však můţe být i na mezinárodní organizace různých typů, exilové vlády či jedince, jednající v rozporu s národní ideologií. Neposledně pak cílem mohou být i zdánlivě nedůleţité společnosti či vládní kontraktoři, z jejichţ systému jsou vytěţována data potřebná pro další etapu útoku jiţ na hodnotnější cíle.
4.2.3 Nástroje a chování aktéra Jedním z rysů chování aktéra je jeho organizovanost, která se podobá organizovanosti národních armád, a s tím související míra připravenosti. I přesto, ţe budou fáze útoku popisovány níţe, je dluţno si víceméně nastínit alespoň některé nástroje a specifika chování aktéra. Po určení vstupního bodu napadení jednoduchou rešerší na internetu, je pak vyuţito metod sociálního inţenýrství, například spear phishingu a následně softwarových zranitelností k samotnému vstupu do systému. Útočník se pak v systému pohybuje nepozorovaně a zároveň se snaţí o rozšíření své pozice v systému jak horizontálně, tak vertikálně. Takto postupuje celou dobu, neţ dojde k naplnění jeho cíle, tedy vytěţení potřebných dat. Toto můţe trvat aţ několik let s tím, ţe útočníkova přítomnost v systému probíhá někdy i dlouhé období na nejniţší moţné úrovni interakce a je velmi těţce detekovatelná.
14
4.3 Případy 4.3.1 Moonlight Maze Někteří odborníci v oblasti řadí mezi první APT i operaci Moonlight Maze (viz Command Five Pty Ltd 2011), která proběhla mezi lety 1998 – 2000 a autoři jako Bodmer, Kilger, Carpenter a Jones ji za APT povaţují „bezpochyby“ a dokládají to některými rysy, kterými APT definují (Bodmer – Kilger – Carpenterer – Jones 2012). O Moonlight Maze není dostupných tolik informací, abychom mohli s jistotou určit všechny charakteristiky. Pro úplnost si však základní informace o této moţná první vlaštovce fenoménu uvedeme. Jak jiţ bylo zmíněno, tak útok trval více neţ dva roky. Jako původce tohoto útoku jsou označování útočnici z Ruska. Pentagon (Newsweek 1999) pak tvrdí, ţe útok byl sponzorován státem. Za podezřelé jsou pak označováni vědci z Ruské akademie věd, který má logicky vazby s ruským státním zřízením. Útok byl zacílen na systémy ministerstev obrany a energetiky, armádní kontraktory a univerzity. Tyto systémy obsahují data s námořními kódy či informace ohledně naváděcích raketových systémů
4.3.2 Titan Rain Termín Titan Rain označuje sérii útoků na počítačové sítě korporací a vlády Spojených států v letech 2003 aţ 2006. Jako geografický zdroj útoku byla určena čínská provincie Kuangtung. Cílem pak byly, kromě vlády, americké společnosti, jejichţ charakter je pro Spojené státy citlivý a důleţitý, mezi nimi i Lockheed Martin a Sandia National Laboratories (SNL) (Thornburg 2005, srov. Wilson 2008). Získání utajených či pouze citlivých informací společností obranné průmyslové základny země by pro protivníka znamenalo nabytí strategicky důleţité informační převahy. Klíčovou osobou v odhalení a vypátrání původce útoku byl zaměstnanec právě SNL, Shawn Carpenter 4 . Během útoků byly útočníky ze systémů vytěţeny data jako specifikace softwaru na plánování misí amerických armádních helikoptér, detailní plány pohonných systémů, solárních kolektorů a dalších systémů sondy Mars Reconnaissance Orbiter. Carpenterem bylo během čtrnácti dnů zaznamenáno 23 000 aktivit útočníků na síti. Jejich chování bylo popsáno jako velmi organizované, kód malwaru byl dle Bodmera a kol. vytvářen několik let a byly pouţity nástroje od těch jednoduchých aţ po vysoce sofistikované (Thornburg 2005, srov. Graham 2005, Bodmer – Kilger – Carpenter
4
Carpenter byl pak z firmy propuštěn z důvodu zneuţívání důvěrných informací získaných na své pozici paradoxně vypátrání původu ohroţení těchto informací (Thornburg 2005).
15
2012), coţ je fakt, který pouze potvrzuje sponzoring útoků státem. Vysledování útoku zpět do ČLR navíc nabízí konkrétního státního aktéra jako sponzora tohoto útoku.5
4.3.3 GhostNet V březnu roku 2009 byla po několikaměsíčním vyšetřování, převáţně kanadskými experty, objevena další APT operace s názvem GhostNet. V rámci operace GhostNet bylo napadeno a mezi sebou propojeno skoro 1 300 počítačů v 103 zemích světa (The SecDev Group 2009, srov. Nagaraja – Anderson 2009), z nichţ je třicet procent povaţováno za systémy vysoké důleţitosti. Jednalo se například o systémy ministerstev zahraničí, ambasád, mezinárodních organizací, mediálních společností či nevládních organizací. Podnět pro započetí vyšetřování vzešel z Úřadu Jeho Svatosti Dalajlámy (The Office of His Holines the Dalai Lama, OHHDL). Během něj bylo zjištěno, ţe skoro tři čtvrtiny řídicích (command and control, C2) serverů 6 bylo na území ČLR. Prvně napadený počítač, tedy vstupní bod infekce pak kontaktoval C2 server jiţ v květnu 2007. Jedním z nástrojů vstupu do systému byl phishingový email, jeţ byl rozeslán v rámci International Tibet Support Network (Mezinárodní síť protibetských organizací) z
[email protected]. K emailu byla přiloţena příloha s názvem „Translation of Freedom Movement ID Book for Tibetians in Exile.doc“, po jejímţ otevření byla zneuţita zranitelnost Microsoft Word k nainstalování nástroje pro vzdálenou správu (Remote Access Tool – RAT7), s názvem gh0st RAT (The SecDev Group 2009). Metoda vniknutí a následné komunikace mezi útočníkem a systémem napadené oběti je dle Bodmera a kol. hodnocena jako sofistikovaná (Bodmer – Kilger – Carpenter – Jones 2012). Dle stejných autorů byl kód malwaru připravován několik let. Z pochopitelného důvodu, a sice vztahu Tibet – ČLR, byla operace zamířena na systémy podporovatelů tibetské exilové vlády. Bylo však zjištěno rozšíření infekce i v systémech SHAPE NATO či soukromých společností. Vyšetřování objevilo, ţe se nejvíce napadených systémů nacházelo ve Vietnamu, Tchaj-wanu či USA (The SecDev Group 2009, srov. Nagaraja – Anderson 2009).
5
Někteří s tím však nesouhlasí. Například James A: Lewis (Lewis 2005) z Centra pro strategická a mezinárodní studia (CSIS – Centre for Strategic and International Studies) to zdůvodňuje tím, ţe čínská zařízení jsou vyuţívána jako proxy běţně. 6 C2 servery jsou vyuţívány ke komunikaci mezi útočníkem a napadeným systémem. 7 Zkratka RAT je stejná i pro dálkově ovládaného trojského koně (remote access Trojan), a i přesto, ţe jde o typ nástroje pro vzdálenou správu, termíny nejsou zaměnitelné.
16
4.3.4 Night Dragon Název tohoto útoku je odvozen od jeho původu v Číně. Útok započal v listopadu 2009 a byl zacílen na světové ropné a energetické společnosti a společnosti petrochemického průmyslu. Operace byla vedena přes americké a nizozemské servery a napadala systémy společností, ale i jednotlivců v Kazachstánu, Tchaj-wanu, Řecku a Spojených státech, primárně za pouţití RATs po otevření přílohy v zaslaném emailu a zneuţití zranitelnosti operačního systému Microsoft Windows. Cílem útoku byly nejen informace týkající se záznamů o těţebních lokalitách apod., ale i údaje o samotné infrastruktuře a SCADA8 systémech. (McAfee 2011) I kdyţ je velice pravděpodobné, ţe za útokem stálo více lidí, byla společnost McAfee schopna konkrétněji identifikovat jedince, který byl schopen zajistit útočníkům potřebnou C2 infrastrukturu. Pochází z čínské provincie Šan-tung, konkrétně města Che-ce a údajně vlastní společnost nabízející hosting amerických serverů (McAfee 2011). Těchto dobře přístupných serverů pak útočnici lehce vyuţili.
4.3.5 Stuxnet Stuxnet je některými odborníky, například těmi z Kaspersky (Kaspersky 2012) označován jako první kybernetická zbraň zaměřená na industriální systémy. Jedná se o druh počítačového červa, který byl objeven v červenci roku 2010 a je mezi veřejností jednou z nejpopulárnějších kybernetických hrozeb vůbec. K jeho objevení přispělo především právě jeho masové rozšíření v počítačových systémech po celém světě. Z důvodu jeho geografického zaměření se dlouhou dobu spekulovalo o tom, ţe jeho vytvoření a spuštění bylo sponzorováno státním aktérem. Tyto spekulace byly následně potvrzeny s tím, ţe se jedná o součást operace s názvem Olympic Games (viz Sanger 2012, srov. Beaumont – Hopkins 2012), která byla započata jiţ za Bushovy administrativy a namířena proti íránskému jadernému programu. Po nástupu Obamovy administrativy vedly Spojené státy spolu s Izraelem tuto operaci dál, dokonce ještě ve vystupňovanější podobě neţ předtím. Tento počítačový červ byl navrţen k napadení SCADA systémů íránských jaderných zařízení, jejich následného ovládání a vyřazení z provozu. Toto mělo být provedeno za účelem zasazení úderu, který by zpomalil íránský jaderný program, vnímaný jako potenciálně nebezpečný. Toto se útočníkům nakonec povedlo a z provozu bylo vyřazeno přes 1 000
8
SCADA systémy – supervisory control and data acquisition, tedy supervizní řízení a sběr dat. Jedná se o součást průmyslových řídicích systémů, které umoţňují centrální ovládání průmyslových zařízení (Reliance 2013).
17
centrifug (viz Albright – Brannan – Walrond 2010) pro obohacování uranu v íránském komplexu Natanz. Po objevení Stuxnet a dalších případů, které níţe také diskutujeme, si odborníci začali všímat podobností s dalšími případy, konkrétně Flame a Duqu (viz níţe). Tyto případy si nejsou podobné pouze svým geografickým zaměřením, ale také strukturou. Podobnost s Duqu tkví v platformě, na které jsou vytvořeny, s názvem Tilded (viz Gostev 2011a), na které můţe být postaveno ještě mnoho dalších malwarů. Specifikem tohoto počítačového červa je, ţe vyuţívá hned čtyři softwarové zranitelnost (viz Murchu 2010). Vzhledem k tomu, ţe softwarové zranitelnosti jsou většinou rychle opraveny, čímţ se jejich znalost a schopnost je vyuţít stává poměrně vzácnou, je toto číslo vysoké. Stuxnet také existuje ve více variantách a v roce 2009 byly pár dní po sobě spuštěny respektive vypuštěny tři verze (Raiu 2012). Červ se navíc dokáţe šířit i při absenci internetového a síťového propojení zařízení. Častou formou šíření jsou pak USB disky. Právě díky tomu se v současnosti mluví o napadení ruské jaderné elektrárny. Objevují se i spekulace o napadení Mezinárodní vesmírné stanice (Plafke 2013, srov. Wagensell 2013).
4.3.6 Flame Především v počítačových systémech na Středním východě byl experty objeven velmi komplexní malware s názvem Flame 9 . Flame je trojský kůň s některými charakteristikami počítačového červa a jeho cílem je vytěţování citlivých informací z napadených systémů (Kaspersky 2013). Ohledně data počátečního spuštění se vedou debaty, nicméně se však většina názorů shoduje na roku 2006 aţ 200810. Kladem tohoto útoku je fakt, ţe zůstal velice dlouhou dobu bez povšimnutí. Tomu nahrává i jeho velikost, která činí několik MB, zatímco kód většiny běţných malwarů je více soustředěný a mnohonásobně menší. Odborníci pak soubor mnohonásobně větší neţ ostatní malwary, s kterými se běţně setkávají, nepovaţovali za hrozbu (Gostev 2012a, srov. CrySyS 2012). Flame je velice podobný malwaru Stuxnet či Duqu a je tedy moţné, ţe pochází od stejných autorů či spolu autoři všech tří v určité fázi spolupracovali (CERTCC 2012). Flame však svým typem vytváří novou škodlivou, stejnojmennou platformu, zatímco Stuxnet a Duqu fungují na platformě Tilded (viz výše). Malwary jsou si podobné i ve svém geografickém zaměření, kdy Flame napadl především systémy na Středním východě, z nichţ nejvíce (189) se nacházelo v Íránu. Po něm následuje Palestina, Súdán, Libanon, Saudská Arábie a Egypt. 9
Je moţné setkat se ještě s názvy Flamer, sKyWIper či Skywiper. Odborníci z Kaspersky však jisté datum jeho vzniku posouvají aţ do roku 2010 (viz Gostev 2012a).
10
18
Co se pak týče typu organizací, tak Flame cílí na široké spektrum organizací od státních institucí aţ po ty vzdělávací (Gostev 2012b, srov. Symantec 2012). Z technického hlediska je pak Flame v napadeném systému schopen hledat soubory s konkrétní příponou či obsahem, získat přístupová hesla, zachytit obraz na monitoru či nahrát audiozáznam. Je také šiřitelný přenosnými médii a schopen napadnout operační systémy Windows XP, Vista a 7(CERTCC 2012). Jak jiţ bylo řečeno výše, odborníci objevili vysokou podobnost s malwarem Stuxnet, u kterého bylo potvrzeno, ţe je dílem americko-izraelské spolupráce. Podobnost s ním pak nahrává domněnkám, ţe Flame také výstupem operace Olympic Games, spojitost se státním aktérem, konkrétně Spojenými státy a Izraelem však nebyla oficiálně potvrzena (Sanger 2012). Fakt, ţe útočníci byli schopni vést tento útok tak dlouho s pravděpodobně v průběhu několika let nevyčerpatelnými zdroji, však jen potvrzuje, ţe útok byl s největší pravděpodobností sponzorován státním aktérem.
4.3.7 Operace Aurora 12. ledna 201011 Google oznámil, ţe byl terčem vysoce sofistikovaného a cíleného útoku, který měl původ v Číně12. Později bylo zjištěno, ţe Google nebyl jediným terčem útoku, který byl nakonec zacílen na široké spektrum společností finančního, technologického či mediálního charakteru (Google 2010). Útok měl být zahájen v červenci roku 2009 (Symantec 2010) a k napadení systému bylo vyuţito sociálního inţenýrství (Bodmer – Kilger – Carpenter – Jones 2012). Jako malware byl pouţit trojský kůň Hydraq Trojan, známý také jako Aurora, který po otevření emailové přílohy typu PDF zneuţil zranitelnosti Adobe k získání kontroly nad napadeným systémem (Symantec 2010). Cílem útočníků bylo, kromě dat velkých společností, také získání přístupu k emailovým účtům osob, které bojovaly za dodrţování lidských a jiných práv v ČLR (Google 2010). Malware byl kromě tohoto přístupu také schopen číst, vytvářet, spouštět, kopírovat či mazat soubory v napadeném počítači a také jej restartovat a vypínat. (Symantec 2010). Různorodost napadených společností přiměla některé autory (Bodmer – Kilger – Carpenter – Jones 2012) pozastavit se nad původní definicí APT, která jako napadené organizace označovala ty z vládního a finančního sektoru.
11
Některé zdroje uvádějí uţ konec roku 2009 (např. Bodmer – Kilger – Carpenter – Jones 2012). Společnost Mandiant navíc u jedné čínské APT zjistila ekvivalenci s jednotkou čínské armády (Mandiant 2013). 12
19
4.3.8 Duqu Malware Duqu byl objeven na přelomu září a října 13 roku 2011 budapešťskou laboratoří CrySyS a uţ od začátku se, stejně jako Flame, jevil velice podobný počítačovému červu Stuxnet. Je tedy velmi pravděpodobné, ţe jeho kód pochází z dílny obou zmíněných malwarů (viz výše). Od Stuxnetu se liší svým nezaměřením na SCADA systémy a co se týče jeho typu, jedná se primárně o dálkově ovládaného trojského koně (remote access Trojan). Analýza navíc ukázala, ţe Duqu byl zacílen na počítačové sítě omezeného počtu organizací se specifickými informacemi (Symantec 2011). Útok dle všeho započal v listopadu 2010 a v době objevení byl stále aktivní. C2 servery byly hostovány například v Belgii, Indii a Vietnamu. Útok byl specifický svou výchozí konfigurací předurčující dobu jeho fungování na 30 dnů, po kterých by se malware sám automaticky z napadeného systému odstranil. Duqu je však nicméně schopný po napadení systému stáhnout potřebné komponenty k prodlouţení svého fungování. Tímto způsobem by byli útočníci schopni zamezit detekci v případě ztracení kontroly nad C2 servery (Ibidem). Do té doby je ovšem Duqu schopen trvalé přítomnosti v systému. Kromě toho mezi staţené komponenty ještě můţeme zařadit tzv. infostealery, které byly mimo jiné schopné pořizovat screenshoty, seznamy probíhajících operací, údaje o uţivatelském účtu či stisknutí klávesnice (Symantec 2011, srov. CrySyS 2011). Systém byl napaden opět otevřením přílohy – dokumentu Microsoft Word a zneuţitím zranitelnosti nultého dne. Duqu napadl systémy šesti organizací v osmi zemích světa na třech kontinentech. Jednalo se o Francii, Nizozemí, Švýcarsko, Ukrajinu, Indii, Írán, Súdán a Vietnam. Soubory Duqu byly však nalezeny i v Rakousku, Maďarsku, Indonésii a Spojeném království (Symantec 2011, srov. Gostev 2011c). Odborníci objevili více variant tohoto malwaru, které se mezi sebou mohou lišit. Po snahách odstranění všech stop po tomto malwaru k říjnu roku 2011, byl spuštěn další útok, a sice v únoru roku 2012, tedy po více neţ 4 měsících neaktivity (Gostev 2011a, Gostev 2012b). U Dell SecureWorks (Secure Works 2013) nepovaţují případ Duqu respektive jeho nástroje za APT, a to z důvodu, ţe u Duqu nenacházejí znalost protivníka, zacílení na organizace a jejich data a dostatečný rozsah útoků. V tomto si dovolíme na základě výše zmíněného oponovat. Jak jiţ bylo řečeno, Duqu byl zacílen na konkrétní organizace 13
Některé zdroje uvádějí jiţ začátek září (Gostev 2011b).
20
s konkrétními daty, s čímţ souvisí i znalost protivníka. Více variant a jejich opakované pouţití také hrají v prospěch většího rozsahu útoku a nutnost disponovat zdroji, které je schopen poskytnout především jen státní aktér.
4.3.9 Napadení RSA RSA je americká bezpečnostní firma, která se mimo jiné zabývá výrobou přístupových autentifikátorů SecurID (EMC 2013) a jejíţ napadení APT útočníkem bylo objeveno v březnu roku 2011. Velice sofistikovaný útok byl proveden pomocí zaslání dvou odlišných phishingových emailů dvěma menším skupinám zaměstnanců, přičemţ emaily obsahovaly přílohu s názvem „2011 Recruitment Plan.xls“. Emailová ochrana neselhala a email byl přesunut do spamu, nicméně pro jednoho zaměstnance byl název natolik lákavý, ţe jej otevřel stejně jako přiloţený soubor. Ten pak zneuţil zranitelnost nultého dne programu Adobe a následně nainstaloval RAT s názvem Poison Ivy14 (RSA 2011). SecurID autentifikátory jsou vyuţívány mnoha společnostmi, i těmi, které náleţí do obranné průmyslové základny země. Díky tomuto faktu jsou cíle útočníka zcela logicky odvoditelné, tedy je jimi získání přístupových dat k dalšímu eventuálnímu útoku právě na tyto společnosti. Jednou ze společností, které tyto autentifikátory pouţívají, je Lockheed Martin, která byla napadena o pouhé dva měsíce později, tedy v květnu roku 2011. Útok byl k prospěchu společnosti detekován včas a nebyly napáchány větší škody (Lockheed Martin 2011). Útok na RSA můţeme tedy povaţovat za přípravnou fázi jiného útoku (viz níţe). Za útokem byly dle společnosti dvě spolupracující skupiny se spojitostí se státním aktérem. O jaký stát šlo, však uţ společnost nezmínila (Prodhan 2011).
4.4 Podoba útoku I přes relativní „čerstvost“ termínu existuje v akademické oblasti mnoho pokusů o určení jednotlivých fází APT útoků. Přímo z povahy APT však není moţné určit, které z těchto pokusů jsou úspěšné a které ne. Proto pro účely této fáze nebudeme uvaţovat jeden správný ţivotní cyklus hrozby, ale bude provedena syntéza těch nejčastěji se objevujících pohledů na věc, lišících se většinou podrobnějším či méně podrobným rozlišování jednotlivých fází. Jak jiţ bylo řečeno, tak je APT charakteristická svou skoro aţ armádě podobnou mírou organizovanosti a připravenosti. Prvním logickým krokem je tedy příprava, která zahrnuje nejprve průzkum. Útočníky jsou v této fázi sbírány informace o nejrelevantnějších vstupních 14
Tento nástroj, někdy nazývaný jako PI-RAT je volně dostupný ke staţení na internetu: http://www.poisonivy-rat.com/
21
bodech infekce, především zaměstnancích společností a o jejich pozici, oprávnění apod. (Secure Works 2012, srov. Websense 2011). Získávány mohou být také informace o kancelářích firmy, jejích technologiích a také způsobech komunikace, ať uţ se zaměstnanci, či zákazníky (Command Five Pty Ltd 2011). Po provedeném průzkumu je moţno začít se na útok připravovat v technické oblasti. Jedná se především o zaregistrování si domény, nastavení C2 serverů, skenování a hledání zranitelností, psaní kódu, přípravu emailů a obecně testování nástrojů a technik útočníka (Secure Works 2012, Command Five Pty Ltd 2011). Podle Dell můţe být do přípravné fáze zařazen také útok na sekundární, zdánlivě nedůleţité cíle. Dalším krokem je počáteční průnik, kdy je zpravidla vyuţíváno technik klamu. Zacíleným uţivatelům jsou rozeslány emaily se škodlivým URL odkazem či přílohou, které jsou následovány zneuţitím nultého dne a praktickým infikováním systému. Můţe být však vyuţito sociálního inţenýrství k vylákání přihlašovacích údajů relevantního zaměstnance (Secure Works 2012, srov. Websense 2011). Pokud má útočník štěstí, má uţ přes vstupní bod umoţněn přístup k informacím, které jsou předmětem naplnění jeho cíle. Tento případ se však zpravidla vůbec nevyskytuje a vstupní bod není bodem strategickým, ale bodem, díky němuţ se infekce dál šíří (RSA 2011). Je tedy nutná následná expanze a upevnění pozice, která je prováděna pomocí vzdáleného přístupu a C2 serverů. Útočník se v systému pohybuje skrytě a vytrvale a stále se snaţí získávat další data k hlubšímu průniku do systému. Tuto fázi nazývá firma Mandiant (Mandiant 2013) jako tzv. internal reconnaissance a internal intrusion, tedy vnitřní průzkum a průnik, která následuje po tzv. initial reconnaissance a initial intrusion, tedy po počátečním průzkumu a průniku. Útočníkovo chování je velice flexibilní a závislé na chování oběti a je k němu vyuţíváno širokého spektra taktik, technik a postupů, kdy útočník můţe v průběhu útoku reagovat i na snahy napadeného systému bránit se. Dostáváme se k fázi skenování systému a extrakci dat. To můţou útočníci vykonávat dvojím způsobem, a to tzv. smash and grab, kdy se útočník snaţí vyextrahovat data, ještě předtím neţ je odhalen, nebo tzv. low and slow přístupem, kdy jsou data vytěţována po malých objemech během delšího časového období (Command Five Pty Ltd 2011). Pokud uţ útočník není schopen dále setrvat v systému, provede sérii akcí směřujících k maximálnímu ztíţení jeho vypátrání, coţ zahrnuje nejen vymazání stop, ale i upravení systému oběti a nasazení stop falešných (Secure Works 2012).
22
5 Operacionalizace Z důvodu toho, ţe kybernetický útok můţe mít různé formy a motivace k jeho provedení se mohou lišit, je potřeba stanovit si kritéria pro odlišení APT, tedy hrozby, které by ze všech ostatních typů hrozeb měla být věnována zvýšená pozornost nejvíce. Dalšími hrozbami, se kterými se můţeme setkat a od kterých budeme APT odlišovat, jsou kybernetický terorismus a kybernetická kriminalita. Různé formy vyuţití kybernetického útoku jako prostředku hrozby a hrozba samotná disponují určitými charakteristikami, které si níţe v práci identifikujeme. Pro správné určení kritérií k označení útoku jako APT a přehledné porovnání vyuţijeme také charakteristiky kybernetického terorismu a kybernetické kriminality.
5.1 Kybernetický terorismus a kybernetická kriminalita Tyto dva pojmy jsme si výše v práci jiţ stručně popsali. U obou jde o vyuţívání kyberprostoru ke konání kriminality či terorismu. Jak jsme jiţ výše zmínili, tak někteří autoři povaţují samostatnou definici těchto termínů jako nadbytečnou, a to z důvodu provádění stejných aktivit jako u klasického terorismu či kriminality pouze s přívlastkem kybernetický. Kybernetická kriminalita však zahrnuje i nové útoky a zneuţití, které by bez vyuţití kyberprostoru provedeny být nemohly (viz Wilson 2008), a proto by její definice v akademické oblasti měla i nadále mít své místo. Kybernetický terorismus můţe být stejně tak uvaţován jako „tradiční“ terorismus, prováděný pomocí kyberprostoru. Na druhou stranu však přichází i s novými typy útoků, které mohou být provedeny pouze prostřednictvím ICT15. O jeho samostatné definici platí tedy to samé, co o definici kybernetické kriminality. Kybernetický prostor jako prostředek či doména terorismu, kriminality a jiných fenoménů do určité míry omezuje aktéry nástroji, které mohou být k provádění aktivit vyuţity. Některé tyto nástroje jsou pak vyuţívány všemi aktéry, bez ohledu na jejich původ či motivace. Díky zmíněnému je mnohdy v konkrétním případě obtíţné odlišit jednotlivé formy aktivit v kyberprostoru a často lze vysledovat pouze motivy, za kterými byl útok vykonán16 (viz Wilson 2008). Právě tyto motivy budou, kromě zdrojů, nástrojů aktéra a dalších, tvořit jednu část námi hledaných kritérií.
15
Například na kritickou informační infrastrukturu (viz McQuade ed. 2009). U kybernetického terorismu je navíc moţné, ţe motivy, které vedou spíš kybernetické zločince, mohou být také jeho motivy vedlejšími (Wilson 2008). 16
23
5.2 APT Klíčovými charakteristikami APT (viz níţe) jsou zdroje, jejich cíle, schopnosti, chování, motivy a neposledně trvání útoku. K identifikaci těchto charakteristik budeme vyuţívat sadu níţe vytvořených pomocných otázek. Charakteristiky budou vytvořeny především na základě výše provedené analýzy konceptu APT. Jako doplňující prvek pak budou slouţit znaky kybernetického terorismu a kybernetické kriminality. Jak jiţ bylo řečeno, tak se jednotlivé znaky všech fenoménů mohou překrývat a APT můţe mít s kybernetickým terorismem a kybernetickou kriminalitou společných poměrně dost znaků. V jednotlivých charakteristikách znaků se proto budeme věnovat unikátním znakům APT a těm, které jsou naopak specifické pouze pro kybernetický terorismus či kybernetickou kriminalitu. Výsledky budou tříděny a zakomponovány pro lepší přehlednost do tabulky.
5.3 Otázky Charakteristiky budou v jednotlivých případech identifikovány prostřednictvím pokládání pomocných otázek. Otázky budou stavěny tak, aby na ně bylo moţno odpovědět kladně či záporně. Identifikovanému znak bude pak na základě odpovědi přiřazena hodnota „1“ nebo „0“. V případě, ţe nebude k dispozici dostatek dat potřebných k zodpovězení otázky, nebude znaku přiřazena ţádná hodnota. Odpovědi na otázky budeme čerpat z výše provedené deskripce případů. K vytvoření těchto výzkumných otázek si níţe popíšeme znaky, které budeme hledat.
5.3.1 Zdroje aktéra K vykonávání výše popsaných aktivit a přípravy k nim je potřeba velkého mnoţství finančních prostředků. Tyto finanční prostředky mohou být vyuţity k zajištění neomezených moţností, co se nástrojů týče. Zároveň však útočníkům slouţí také jako plat či jakási motivace k provádění útoků. Veliký objem prostředků, které je většinou nutné na útoky tohoto typu vynaloţit, implikuje spojitost útočníka se státním aktérem. Ten je díky tomuto zadání schopen získat strategicky důleţité informace a zároveň si tak zachovat určitý odstup, který mu umoţňuje se distancovat od jednotlivých napadení systémů a prakticky znemoţňuje obvinění jeho vlády jiným státem z činu, který můţe být eventuální přípravou na válku. Tato charakteristika můţe být společná i pro kybernetický terorismus, jehoţ sponzoring vládou národního státu je také moţný (viz DoS 2013). Tento znak za společný kybernetické kriminalitě povaţovat nebudeme. Podpora nelegální činnosti státem jiţ nenáleţí do kategorie
24
kybernetické kriminality, ale spíše do kategorie APT 17 . Na tento znak se budeme ptát jednoduchou otázkou: Lze důvodně předpokládat, že byl/je tento útok sponzorován státním aktérem?
5.3.2 Cíle aktéra Zacílení aktéra můţeme v rámci této hrozby chápat na dvou úrovních. Na té niţší úrovni jde o pečlivý výběr osob, které se budou chovat jako vstupní body do systému, a to především díky své povaze, která útočníkovi umoţní přímé naplnění jeho cílů či dobrý přístup k dalším uzlům sítě. Pro naši studii však budeme uvaţovat na úrovni vyšší, a sice zacílení aktéra na počítačové sítě organizací či společností, které pouţívají a uchovávají strategicky hodnotné informace. Mezi tyto entity zařadíme vládní systémy, zahrnující kritické rezorty, firmy obranné průmyslové základny či zdánlivě nedůleţité společnosti, jejichţ data mohou slouţit k dalšímu eventuálnímu napadení výše jmenovaných. Do této skupiny budou zařazeny i počítačové systémy disidentů a jiných osob ohroţujících ideovou základnu konkrétního reţimu. Samotným cílem útoku je pak primárně extrakce dat, uloţených v systému. Tímto znakem se APT výrazně odlišuje jak od kybernetického terorismu, tak kybernetické kriminality. Útoky v rámci kybernetického terorismu jsou směřovány na systémy kritických infrastruktur (např. Lewis 2002), jejichţ zneškodnění můţe mít za následek škody na lidských ţivotech či vyvolání atmosféry strachu. I ve stádiu získávání potřebných zdrojů prostřednictvím kybernetické kriminality je zacíleno například především na jednotlivce a krádeţe identity a čísel kreditních karet. Kybernetičtí zločinci zpravidla nedisponují kapacitami, které by jim umoţnili smysluplně vyuţít informací typu plánů zbraňových systémů a jiných, získaných ze systémů národních vlád či jejich kontraktorů. Otázkou pro určení této charakteristiky pak bude tato. Byly/jsou napadenými cíli organizace či společnosti disponující strategicky hodnotnými informacemi?
5.3.3 Motivy aktéra Jak bylo jiţ zmíněno výše, tak motivy aktérů jsou v mnoha případech tím jediným znakem, díky kterému dokáţeme rozlišit, v rámci jakého fenoménu byl konkrétní útok proveden. Tyto motivy mají proto logicky místo v rámci námi stanovených kritérií a úzce souvisí se zacílením 17
Pomineme-li fakt, ţe v rámci kybernetické kriminality mohou být systémy vyřazeny z provozu, coţ se neslučuje se specifiky APT.
25
aktérů. Motivy útočníků v rámci APT je získání strategicky hodnotných informací, které mohou být vyuţity k vytvoření informační, technologické a jiné převahy. Motivem kybernetických teroristů (a teroristů obecně) je pak dosaţení politických cílů prostřednictvím způsobení fyzických škod a vyvolání strachu (Ibidem). Hlavním motivem útočníků v rámci kybernetické kriminality je pak finanční a jiné obohacení. Jelikoţ se tyto hlavní motivy liší pro kaţdý fenomén, vytvoříme pro tento znak sadu tří otázek. Bylo/je motivem útočníků finanční a jiné obohacení? Bylo/je motivem útočníků získání strategicky hodnotných informací? Bylo/je motivem útočníků dosažení politických cílů prostřednictvím způsobení fyzických škod a psychologického efektu strachu?
5.3.4 Schopnosti aktéra Pokročilost APT, zmíněna jiţ v samotném názvu konceptu, je dalším z jeho hlavních specifik. Tato pokročilost můţe spočívat v útočníkových odborných znalostech či jeho zdrojích, které jsou však jiţ zmíněny výše, a i přesto, ţe tyto charakteristiky spolu úzce souvisí, budou schopnosti aktéra vymezeny jako další samostatný faktor. Schopnosti aktéra se projevují především odbornými znalostmi a motivacemi, kterými se APT útočníci liší od běţných hackerů, kteří napadají a zneškodňují systémy kromě jiného také pro své vlastní obohacení, vylepšení svých schopností či pouze „z nudy“ či z potřeby „uspokojení ega“. Tuto charakteristiku pak budeme pozorovat jako sofistikovanost kódu a z ní pramenící obtíţné detekování napadení systému, popřípadě jeho komplikované řešení U kybernetického terorismu a kriminality nebývá taková míra obtíţné detekovatelnosti pozorována. Teroristé obecně provádějí útok rychle a jeho detekce obětí je právě jejich cílem. Schopnosti kybernetických zločinců pak také nejsou rozvíjeny k co největší sofistikovanosti, k útoku zpravidla stačí široce vyuţívané nástroje jako například botnety 18 a další. Z toho důvodu budeme u případů hledat odpověď pouze na jednu otázku. Byl/je kód malwaru považován odborníky jako sofistikovaný či lišící se od běžných malwarů?
18
Botnet je označení pro síť napadených počítačových systémů, které mohou být útočníkem dálkově ovládány (Wilson 2008).
26
5.3.5 Vytrvalost aktéra Doba trvání útoku samotná také velice dobře indikuje výše zmíněné schopnosti a odborné znalosti aktéra. Jedná se totiţ o období, během kterého nebyl útočník detekován či během kterého byl vysledován, ale opět se jednoduše navrátil do systému. Za dolní hranici tohoto období, které je projevem vytrvalosti aktéra, budeme povaţovat dobu 3 měsíce. Tento předpoklad je zaloţen na informacích o trvání ostatních kybernetických útoků, které jsou zpravidla mnohonásobně kratší (např. Prolexic 2012). Útoky kybernetických teroristů jsou náhlé a krátké. K dosaţení jejich cílů není potřeba nedetekovaného, dlouhého trvání útoku. Toto tvrzení platí i pro aktéry kybernetické kriminality. Pro jistější určení jsme však i přes krátké trvání ostatních forem kybernetických útoků (v řádu dní) dobu nutného setrvání v systému prodlouţili na 3 měsíce. Na tuto charakteristiku se budeme ptát následující otázkou. Trvá/trval útok tři měsíce či déle?
5.3.6 Chování aktéra Vypozorovaná organizovanost aktéra je jedním z hlavních rysů útočníků. Velice se podobá organizovanosti státních ozbrojených sloţek a projevuje se útočníkovou připraveností na útok, který je zpravidla rozdělen do několika typických fází. Útočník většinou jedná hned v několika fázích, ve kterých se drţí určitého modu operandi. Ten je zaloţen na jednotlivých taktikách, technikách a postupech (viz výše) a uţívání určitých nástrojů. Specifikem útoku je také jeho neautomatizovaná povaha, kdy je útok veden lidským operátorem, který je schopen své chování přizpůsobovat chování oběti19. Kybernetičtí teroristé a zločinci mohou zaujímat také určitou míru organizovanosti a připravenosti, u jejich útoků se však setkáváme spíše s automatizovanou povahou útoku a neidentifikujeme takové rozdělení na jednotlivé fáze jako u APT. Pokud u jednotlivých případů identifikujeme výše zmíněné nástroje a postupy, budeme schopni jim přiřadit tento znak, na který se budeme ptát následovně. Můžeme u útoku identifikovat některé výše zmíněné nástroje a postupy?
19
Tímto postupem je zajištěna obtíţná detekovatelnost, typická pro APT.
27
6 Analýza 6.1 Moonlight Maze Lze důvodně předpokládat, že byl/je tento útok sponzorován státním aktérem? Ano. Uvaţuje se o vazbách s ruskou vládou. Byly/jsou napadenými cíli organizace či společnosti disponující strategicky hodnotnými informacemi? Ano. Útok byl zacílen na kritická ministerstva. Bylo/je motivem útočníků finanční a jiné obohacení? Ne. Bylo/je motivem útočníků získání strategicky hodnotných informací? Ano. Jednalo se o citlivé informace kritických rezortů. Bylo/je motivem útočníků dosažení politických cílů prostřednictvím způsobení fyzických škod a psychologického efektu strachu? Ne. Byl/je kód malwaru považován odborníky jako sofistikovaný či lišící se od běžných malwarů? K případu nemáme dostatek potřebných dat. Trvá/trval útok tři měsíce či déle? Ano. Útok trval přes dva roky. Můžeme u útoku identifikovat některé výše zmíněné nástroje a postupy? K případu nemáme dostatek potřebných dat.
28
6.2 Titan Rain Lze důvodně předpokládat, že byl/je tento útok sponzorován státním aktérem? Ano. Sponzoring státním aktérem, konkrétně ČLR je velice pravděpodobný. Byly/jsou napadenými cíli organizace či společnosti disponující strategicky hodnotnými informacemi? Ano. Byly napadeny organizace disponující strategickými informacemi, například plány systému sondy Mars Reconnaissance Orbiter. Útočníci cílili právě na tento typ informací a jejich získání jimi bylo úspěšné. Bylo/je motivem útočníků finanční a jiné obohacení? Ne. Získaných informací např. o sondě Mars Reconnaissance Orbiter by kriminální skupina nedokázala vyuţít20. Bylo/je motivem útočníků získání strategicky hodnotných informací? Ano. Bylo/je motivem útočníků dosažení politických cílů prostřednictvím způsobení fyzických škod a psychologického efektu strachu? Ne. Byl/je kód malwaru považován odborníky jako sofistikovaný či lišící se od běžných malwarů? Ano. Příprava kódu trvala několik let. Trvá/trval útok tři měsíce či déle? Ano. Útok trval pravděpodobně aţ tři roky. Můžeme u útoku identifikovat některé výše zmíněné nástroje a postupy? Ano. Útok byl velice organizovaný a některé jeho nástroje vysoce sofistikované.
20
Existuje zde ovšem moţnost prodeje státnímu aktérovi. To by uţ však bylo moţné opět označit jako APT.
29
6.3 GhostNet Lze důvodně předpokládat, že byl/je tento útok sponzorován státním aktérem? Ano. Nasvědčují tomu servery vysledované na čínské území a povaha cílů. Byly/jsou napadenými cíli organizace či společnosti disponující strategicky hodnotnými informacemi? Ano. Jednalo se o systémy ministerstev i disidentů. Bylo/je motivem útočníků finanční a jiné obohacení? Ne. Bylo/je motivem útočníků získání strategicky hodnotných informací? Ano. Bylo/je motivem útočníků dosažení politických cílů prostřednictvím způsobení fyzických škod a psychologického efektu strachu? Ne. Byl/je kód malwaru považován odborníky jako sofistikovaný či lišící se od běžných malwarů? Ano. Útočníci byli po technické stránce velice dobře připraveni. Trvá/trval útok tři měsíce či déle? Ano. Útok trval nejméně dva roky. Můžeme u útoku identifikovat některé výše zmíněné nástroje a postupy? Ano. Bylo vyuţito výše definovaných nástrojů.
30
6.4 Night Dragon Lze důvodně předpokládat, že byl/je tento útok sponzorován státním aktérem? Ano. Pravděpodobným sponzorem útoku je ČLR. Byly/jsou napadenými cíli organizace či společnosti disponující strategicky hodnotnými informacemi? Ano. Jednalo se především o energetické společnosti, o jejichţ know-how útočníci usilovali. Bylo/je motivem útočníků finanční a jiné obohacení? Ne. Byly sice získány informace, které by k takovému účelu mohly slouţit, ovšem ne bez kapacit státního aktéra. Bylo/je motivem útočníků získání strategicky hodnotných informací? Ano. Bylo/je motivem útočníků dosažení politických cílů prostřednictvím způsobení fyzických škod a psychologického efektu strachu? Ne. Byl/je kód malwaru považován odborníky jako sofistikovaný či lišící se od běžných malwarů? Ano. Malware bych schopen získávat data i například ze SCADA systémů. Trvá/trval útok tři měsíce či déle? Ano. Útok trval nejméně dva roky. Můžeme u útoku identifikovat některé výše zmíněné nástroje a postupy? Ano. Bylo pouţito nástrojů sociálního inţenýrství a vzdáleného přístupu.
31
6.5 Stuxnet Lze důvodně předpokládat, že byl/je tento útok sponzorován státním aktérem? Ano. Bylo dokázáno, ţe sponzorem tohoto útoku jsou Spojené státy a Izrael v rámci operace Olympic Games. Byly/jsou napadenými cíli organizace či společnosti disponující strategicky hodnotnými informacemi? Ne. Napadeným cílem byl sice íránský jaderný program a jeho zařízení, nejednalo se však o vytěţování informací, které tato zařízení obsahovala. Bylo/je motivem útočníků finanční a jiné obohacení? Ne. Bylo/je motivem útočníků získání strategicky hodnotných informací? Ne. Bylo/je motivem útočníků dosažení politických cílů prostřednictvím způsobení fyzických škod a psychologického efektu strachu? Ne. Byly způsobeny určité fyzické škody, nebylo tak však učiněno za dosaţením politických cílů teroristické skupiny. Byl/je kód malwaru považován odborníky jako sofistikovaný či lišící se od běžných malwarů? Ano. Malware existuje ve třech verzích a vyuţívá čtyř softwarových zranitelností. Dokáţe se navíc šířit i jinak neţ díky internetovému či síťovému připojení. Trvá/trval útok tři měsíce či déle? Ano. Malware byl objeven po dvou letech svého spuštění a je stále aktivní i v současnosti. Můžeme u útoku identifikovat výše zmíněné nástroje a postupy? Ne. Malware sice vyuţívá šíření se sítí, postrádá nicméně prvek lidského operátora, který se dokáţe přizpůsobovat chování napadeného systému.
32
6.6 Flame Lze důvodně předpokládat, že byl/je tento útok sponzorován státním aktérem? Ano. Podobnost malwaru Stuxnet, u kterého byl sponzoring státním aktérem doloţen, a velké finanční zdroje tomu nasvědčují. Byly/jsou napadenými cíli organizace či společnosti disponující strategicky hodnotnými informacemi? Ano. Byly napadeny jak vzdělávací, tak státní instituce a cílem byla extrakce jejich dat. Bylo/je motivem útočníků finanční a jiné obohacení? Ne. Bylo/je motivem útočníků získání strategicky hodnotných informací? Ano. Bylo/je motivem útočníků dosažení politických cílů prostřednictvím způsobení fyzických škod a psychologického efektu strachu? Ne. Byl/je kód malwaru považován odborníky jako sofistikovaný či lišící se od běžných malwarů? Ano. Kód měl mnohonásobně větší velikost neţ velikost běţných malwaru. Celý malware je navíc velice komplexní a byl postaven na základě platformy, která byla s tímto malwarem speciálně vytvořena. Trvá/trval útok tři měsíce či déle? Ano. I přes dohady ohledně jeho data vzniku se pohybuje v době řádů let. Můžeme u útoku identifikovat některé výše zmíněné nástroje a postupy? Ano. Po rozšíření po síti pouţíval malware prostředky k nahrávání a získávání dat obecně.
33
6.7 Operace Aurora Lze důvodně předpokládat, že byl/je tento útok sponzorován státním aktérem? Ano. Zdroje tomu nasvědčují a předpokládáme také spojitost se státem, jak tomu bylo u jiných čínských útočníků. Byly/jsou napadenými cíli organizace či společnosti disponující strategicky hodnotnými informacemi? Ano. Mezi napadenými organizacemi byly i společnosti obranné průmyslové základny a cílem bylo získání citlivých dat. Bylo/je motivem útočníků finanční a jiné obohacení? Ne. Útok byl zacílen na informace společností obranné průmyslové základny. Bylo/je motivem útočníků získání strategicky hodnotných informací? Ano. Bylo/je motivem útočníků dosažení politických cílů prostřednictvím způsobení fyzických škod a psychologického efektu strachu? Ne. Byl/je kód malwaru považován odborníky jako sofistikovaný či lišící se od běžných malwarů? Ano. Roky připravovaný kód je povaţován za sofistikovaný. Trvá/trval útok tři měsíce či déle? Ano. Útok trval nejméně 6 měsíců. Můžeme u útoku identifikovat některé výše zmíněné nástroje a postupy? Ano. Při útoku bylo vyuţito například sociálního inţenýrství a vyuţití softwarové zranitelnosti.
34
6.8 Duqu Lze důvodně předpokládat, že byl/je tento útok sponzorován státním aktérem? Ano. Podobnost se Stuxnet a pouţité zdroje tomu nasvědčují. Byly/jsou napadenými cíli organizace či společnosti disponující strategicky hodnotnými informacemi? Ano. Útok byl namířen na úzkou skupinu organizací se specifickými informacemi. Bylo/je motivem útočníků finanční a jiné obohacení? Ne. Jednalo se o získávání strategicky hodnotných informací. Bylo/je motivem útočníků získání strategicky hodnotných informací? Ano. Bylo/je motivem útočníků dosažení politických cílů prostřednictvím způsobení fyzických škod a psychologického efektu strachu? Ne. Byl/je kód malwaru považován odborníky jako sofistikovaný či lišící se od běžných malwarů? Ano. Malware disponoval schopností sebedestrukce a zametení stop. Dokázal navíc stahovat další komponenty potřebné k jeho fungování a adaptaci na chování napadeného systému. Trvá/trval útok tři měsíce či déle? Ano. Útok byl detekován po roce od svého spuštění a následně opětovně spuštěn. Můžeme u útoku identifikovat některé výše zmíněné nástroje a postupy? Ano. Útočníci v tomto případě vyuţili typických nástrojů k vniknutí do systému i k následnému pohybu v něm.
35
6.9 Napadení RSA Lze důvodně předpokládat, že byl/je tento útok sponzorován státním aktérem? Ano. Napadená společnost to oznámila, bliţší informace však neuvedla. Byly/jsou napadenými cíli organizace či společnosti disponující strategicky hodnotnými informacemi? Ano. Jednalo se o společnost, jejíţ informace mohou být vyuţity k dalšímu útoku. Bylo/je motivem útočníků finanční a jiné obohacení? Ne. Jednalo se o získání informací vyuţitelných k dalšímu útoku. Bylo/je motivem útočníků získání strategicky hodnotných informací? Ano. Bylo/je motivem útočníků dosažení politických cílů prostřednictvím způsobení fyzických škod a psychologického efektu strachu? Ne. Byl/je kód malwaru považován odborníky jako sofistikovaný či lišící se od běžných malwarů? Ano. Celý útok i kód byl sofistikovaný. Trvá/trval útok tři měsíce či déle? K zodpovězení této otázky nemáme dost informací. Můžeme u útoku identifikovat některé výše zmíněné nástroje a postupy? Ano. Útok vyuţíval mimo jiné phishingu a jeho provedení a následné vytěţení informací bylo pravděpodobně vyuţito k jinému útoku.
36
6.10 Výstup V této studii bylo zkoumáno celkem 9 případů, které jsou označovány za příklady APT. U jednotlivých případů jsme se dotazovali prostřednictvím pomocných otázek na jejich zdroje, cíle, motivy, schopnosti, vytrvalost a chování. Tyto znaky a na ně se dotazující pomocné otázky byly vytvořeny i na základě znaků kybernetického terorismu a kybernetické kriminality s tím, ţe některé znaky mohou být stejné i pro další dva fenomény a nejen APT. Konkrétně je tomu tak v případě znaku státního sponzoringu útoků, který můţe být přítomen jak u APT, tak u kybernetického terorismu. V naší práci se však jedná o jediný společný znak a budeme pracovat s předpokladem, ţe se jednoznačnost, do jaké kategorie útok spadá, potvrdí ostatními znaky. Otázky byly koncipovány tak, aby jednotlivým odpovědím mohla být přiřazena buď hodnota „1“ při kladném zodpovězení otázky, nebo hodnota „0“ v případě záporné odpovědi. Pokud jsme nedisponovali dostatkem informací k zodpovězení otázky, indikovali jsme tak v tabulce pomlčkou. Tabulka níţe (viz strana 38) má spíše informativní charakter a slouţí k lepší přehlednosti a porovnání výstupů. Bude také vyuţito barevného rozlišení, kdy zelená barva bude indikovat hodnotu „1“, červená hodnotu „0“, ţlutě bude vyznačena hodnota „1“ znaku, který je společný více fenoménům, a neposledně budou šedou barvou označeny neznámé hodnoty. U všech případů byl identifikován znak zdrojů, respektive státního sponzoringu. Tento znak můţe identifikovat jak APT, tak kybernetický terorismus. Označení případů jako kybernetického terorismu však odporují motivy útočníků, které jsme u 8 z 9 případů identifikovali jako motivy útočníků v rámci APT. U jednoho zbývajícího případu nebyly identifikovány ţádné z námi určených motivů a můţeme tedy usuzovat, ţe případ spadá do jiné kategorie formy kybernetického útoku, a to i z důvodu, ţe tento případ, konkrétně Stuxnet, nedisponuje dalšími dvěma potřebnými znaky, a sice cíli a chováním. Ostatní případy ve zbývajících znacích cílů, schopností, vytrvalosti a chování nabývají kladné hodnoty aţ na výjimku případu Moonlight Maze, u kterého jsme nedisponovali daty k zodpovězení otázek ohledně jeho schopností a chování, a případu Napadení RSA, u kterého nebylo moţno zodpovědět otázku ohledně schopností. Obecně jsme však u vybraných případů naše kritéria identifikovali. Případ Stuxnet, který není všemi odborníky označován jako APT, nekorespondoval s třemi ze šesti kritérií, coţ jejich validitu jen posiluje.
37
Tabulka 1 – hodnoty hledaných znaků v jednotlivých případech (Autor) Zdroje
Cíle
Motivy
Schopnosti
Vytrvalost
Chování
Moonlight Maze
1
1
A P T 1
K
K
T
K
0
0
--------------
1
------------
Titan Rain
1
1
1
0
0
1
1
1
GhostNet
1
1
1
0
0
1
1
1
Night Dragon
1
1
1
0
0
1
1
1
Stuxnet
1
0
0
0
0
1
1
0
Flame
1
1
1
0
0
1
1
1
Operace Aurora
1
1
1
0
0
1
1
1
Duqu
1
1
1
0
0
1
1
1
Napadení RSA
1
1
1
0
0
--------------
1
1
38
7 Závěr Tato práce si kladla za cíl zasadit do českého akademického prostředí koncept APT, který byl jiţ předtím několikrát popsán zahraničními odborníky. Provedeno tomu tak bylo syntézou a modifikací jejich postojů k tomuto tématu. Pro lepší pochopení byly popsány a studovány jednotlivé kauzy tohoto nového fenoménu, které byly vybrány na základě jejich označení jako APT jak odbornými autory, tak společnostmi zabývající se kybernetickou bezpečností. Bylo vybráno celkem 9 případů, které byly zaznamenány mezi lety 2000 aţ 2012, a šlo konkrétně o Moonlight Maze, Titan Rain, GhostNet, Night Dragon, Stuxet, Flame, Operaci Aurora a Duqu a Napadení RSA. V rámci konkrétních případů bylo popsáno jejich objevení, trvání a chování. U mnoha případů však nebyly dostupné některé informace, coţ způsobilo nemoţnost odpovědět na pomocné otázky v pozdější části práce. U jednotlivých případů lze vypozorovat specifický model chování útočníka, konkrétněji jeho postup v zacílení, napadení a pohybování se v systému. Tato podoba útoku byla v textu popsána a také na jejím základě jsme byli schopni zodpovědět výzkumnou otázku, respektive určit, na základě jakých kritérií lze označit kybernetický incident za případ APT. Hledání odpovědi na výzkumnou otázku bylo provedeno v další části této práce, kde byly
s pomocí
konceptů
kybernetického
terorismu
a
kybernetické
kriminality
operacionalizovány jednotlivé znaky a posléze pomocné otázky k jejich identifikaci. Práce pracovala s předpokladem, ţe vybrané případy budou odpovídat námi stanoveným kritériím, čímţ by se jejich validita potvrdila. Zjištěná data, a sice jednotlivé znaky kybernetické kriminality, kybernetického terorismu či APT, byla popsána a porovnána v tabulce (viz 6.10 Výstup), která slouţí pro lepší přehlednost toho, kterými znaky disponují jednotlivé případy. V osmi z devíti případů jsme byli schopni odpovědět na všechny otázky identifikující APT kladně, kromě případu Moonlight Maze a Napadení RSA, u kterých nebyly dostupné všechny informace. Případ Moonlight Maze byl však pravděpodobně „první vlaštovkou“ tohoto fenoménu a je proto pochopitelné, ţe ohledně něj nebylo uvedeno takové mnoţství dat. V případě Napadení RSA se jednalo o neznalost dat ohledně trvání útoku, ostatní kritéria případ splňoval. Tři z šesti kritérií nesplňoval pouze případ Stuxnet, který byl pro studii vybrán s vědomím toho, ţe je částí odborníků nepovaţován jako příklad APT. Splnění, respektive nesplnění těchto kritérií jim v naší práci poskytuje validitu pro jejich pouţití jako odlišovacích znaků APT od jiných kybernetických hrozeb. Na základě tohoto můţeme na výzkumnou otázku, která zní „Jaká jsou kritéria k označení útoku jako APT?“ odpovědět 39
kritérii, jakými jsou zdroje, cíle, motivy, schopnosti, vytrvalost a chování útočníka ve výše uvedených podobách. Jedním z identifikovaných znaků APT je státní sponzoring, který vybízí k větší pozornosti právě díky tomu, ţe můţe být prostředkem soupeření států v informační, ekonomické či technologické převaze, která je potenciálně nebezpečná pro stávající rovnováhu sil a můţe být eventuálně přípravou na konflikt či v něj dokonce vyústit. Pozornost tomuto typu kybernetické hrozby by měla být věnována i kvůli vedlejším škodám, kterými je také kompromitování dat jednotlivých společností, které kromě toho, ţe spolupracují s vládou určitého státu, poskytují sluţby či produkty také civilnímu obyvatelstvu, které je tím pádem také ohroţeno. Právě díky tomuto všeobecnému ohroţení by fenoménu měl být věnován další výzkum. Z tohoto důvodu byla také vytvořena tato práce, která se pokusila stanovit kritéria k rozpoznání APT a následnému dalšímu zkoumání této hrozby, které, jak věříme, pomůţe vládám i civilnímu obyvatelstvu této hrozbě předcházet.
40
8 Seznam zdrojů 1. Albright, D. – Brannan, P. – Walrond, C. [pdf]. (2010). Did Stuxnet Take Out 1,000 Centrifuges at the Natanz Enrichment Plant? Institute for Science and International Security.10 s Dostupné z http://isis-online.org/uploads/isisreports/documents/stuxnet_FEP_22Dec2010.pdf Ověřeno ke dni 15. 12. 2013. 2. Andress, J. [pdf]. 2011. Advanced Persistent Threat: Attacker Sophistication Continues to Grow? In: ISSA Journal. Vol. 9, no. 6. s. 18 – 24 Dostupné z http://polyhack.com/wp-content/uploads/2012/04/Andress-AdvancedPersistent-Threat1.pdf Ověřeno ke dni 15. 12. 2013. 3. Beaumont, P. – Hopkins, N. [online]. (2012). US was ‚key player in cyber-attacks on Iran’s nuclear programme‘ Dostupné z http://www.theguardian.com/world/2012/jun/01/obama-sped-upcyberattack-iran?newsfeed=true Ověřeno ke dni 15. 12. 2013. 4. Bejtlich, R. [online]. (2010). What Is APT and What Does It Want? Dostupné z http://taosecurity.blogspot.cz/2010/01/what-is-apt-and-what-does-itwant.html Ověřeno ke dni 15. 12. 2013. 5. Bodmer, S. – Kilger, M. – Carpenter, G. – Jones, J. (2012). Reverse Deception:Organized Cyber Threat Counter-Exploitation. 464 s. USA: McGraw-Hill. ISBN 9780071772495 6. CERT [online]. (2005). Targeted Trojan Email Attacks. Dostupné z http://www.aub.edu.lb/it/custsupp/alerts/patch/MS/cert/Pages/TA05189A.aspx Ověřeno ke dni 15. 12. 2013. 41
7. CERTCC [online]. (2012). Identification of a New Targeted Cyber-Attack. Dostupné z http://www.certcc.ir/index.php?name=news&file=article&sid=1894&theme=Printer Ověřeno ke dni 15. 12. 2013. 8. Cloppert, M. [online]. (2009). Security Intelligence: Introduction (pt1). Dostupné z http://computer-forensics.sans.org/blog/2009/07/22/security-intelligenceintroduction-pt-1 Ověřeno ke dni 15. 12. 2013. 9. Command Five Pty Ltd [pdf]. (2011). Advanced Persistent Threats: A Decade in Review. 13 s Dostupné z http://www.commandfive.com/papers/C5_APT_ADecadeInReview.pdf Ověřeno ke dni 15. 12. 2013. 10. CPNI [pdf]. (2005). Targeted Trojan Email Attacks. 9 s Dostupné z http://www.cpni.gov.uk/Documents/Publications/2005/2005015BN0805_Targeted_trojan_email.pdf Ověřeno ke dni 15. 12. 2013. 11. CrySyS [pdf]. (2011). Duqu:A Stuxnet-like malware found in the wild. Dostupné z http://www.crysys.hu/publications/files/bencsathPBF11duqu.pdf Ověřeno ke dni 15. 12. 2013. 12. CrySyS [pdf]. (2012). sKyWIper (a.k.a. Flame a.k.a. Flamer) : A complex malware for targeted attacks. Dostupné z http://www.crysys.hu/skywiper/skywiper.pdf Ověřeno ke dni 15. 12. 2013. 13. Denning, D. E. [pdf]. (2001). Activism, Hacktivism, and Cyberterrorism: the Internet As a Tool for Influencing Foreign Policy. In: Arquilla, J. – Ronfeldt, D. (eds. 2001). Networks and Netwars: The Future of Terror, Crime, and Militancy. s. 239 – 288. Dostupné z 42
http://www.rand.org/content/dam/rand/pubs/monograph_reports/MR1382/MR1382.ch 8.pdf Ověřeno ke dni 15. 12. 2013. 14. DHS [pdf]. (2011). National Infrastructure Protection Plan: Defense Industrial Base Sector. 2 s. Dostupné z http://www.dhs.gov/xlibrary/assets/nppd/nppd-ip-defense-industrial-basesnapshot-2011.pdf Ověřeno ke dni 15. 12. 2013. 15. DoS [pdf]. (2013). Country Reports on Terrorism 2012. 294 s. Dostupné z http://www.state.gov/documents/organization/210204.pdf Ověřeno ke dni 15. 12. 2013. 16. EMC [online]. (2013). RSA SecurID. Dostupné z http://www.emc.com/security/rsa-securid.htm Ověřeno ke dni 15. 12. 2013. 17. Graham, B. [online]. (2005). Hackers Attack Via Chinese Web Sites. Dostupné z http://www.washingtonpost.com/wpdyn/content/article/2005/08/24/AR2005082402318.html Ověřeno ke dni 15. 12. 2013. 18. Google [online]. (2010). A new approach to China. Dostupné z http://googleblog.blogspot.cz/2010/01/new-approach-to-china.html Ověřeno ke dni 15. 12. 2013. 19. Gostev, A. [online]. (2011a). Stuxnet/Duqu: The Evolution of Drivers 20. Dostupné z http://www.securelist.com/en/analysis/204792208/Stuxnet_Duqu_The_Evolution_of_ Drivers 21. Ověřeno ke dni 15. 12. 2013.
43
22. Gostev, A. [online]. (2011b). The Mystery of Duqu: Part One Dostupné z http://www.securelist.com/en/blog/208193182/The_Mystery_of_Duqu_Part_One#pag e_top Ověřeno ke dni 15. 12. 2013. 23. Gostev, A. [online]. (2011c). The Mystery of Duqu: Part Two Dostupné z http://www.securelist.com/en/blog/208193197/The_Mystery_of_Duqu_Part_Two Ověřeno ke dni 15. 12. 2013. 24. Gostev, A. [online]. (2012a). The Flame: Questions and Answers. Dostupné z http://www.securelist.com/en/blog/208193522/The_Flame_Questions_and_Answers Ověřeno ke dni 15. 12. 2013. 25. Gostev, A. [online]. (2012b). The Mystery of Duqu: Part Seven Dostupné z http://www.securelist.com/en/blog/208193425/The_mystery_of_Duqu_Part_Ten Ověřeno ke dni 15. 12. 2013. 26. Joint Pub 1-02 [pdf]. (2013): Department of Defense Dictionary of MIlitary and Associated Terms. 493 s. Dostupné z http://www.dtic.mil/doctrine/new_pubs/jp1_02.pdf Ověřeno ke dni 15. 12. 2013. 27. Joint Pub 3-27 [pdf]. (2013). Homeland Defense. 145 s. Dostupné z http://www.dtic.mil/doctrine/new_pubs/jp3_27.pdf Ověřeno ke dni 15. 12. 2013. 28. Kaspersky [online]. (2013). Flame. Dostupné z http://www.kaspersky.com/flame Ověřeno ke dni 15. 12. 2013.
44
29. Kuehl, D. F. (2009): From Cyberspace to Cyberpower: Defining the Problem. In: Kramer, F. D. – Starr, H. S. – Wentz, L. (eds. 2009) : Cyberpower and National Security. Washington DC: Center for Technology and National Security Policy. s. 24 – 42 30. Lewis, J. A. [pdf]. (2002). Assessing the Risks of Cyber Terrorism, Cyber War and Other Cyber Threats. 12 s. Dostupné z http://csis.org/files/media/csis/pubs/021101_risks_of_cyberterror.pdf Ověřeno ke dni 15. 12. 2013. 31. Lewis, J. A. [pdf]. (2005). Computer Espionage, Titan Rain and China. 2s. Dostupné z http://csis.org/files/media/csis/pubs/051214_china_titan_rain.pdf Ověřeno ke dni 15. 12. 2013. 32. Libicki, M. C. [pdf]. (2009). Cyberdeterrence and Cyberwar. 214 s. Dostupné z http://www.rand.org/content/dam/rand/pubs/monographs/2009/RAND_MG877.pdf Ověřeno ke dni 15. 12. 2013. 33. Lockheed Martin [online]. (2011). Lockheed Martin Customer, Program and Employee Data Secure. Dostupné z http://www.lockheedmartin.com/us/news/pressreleases/2011/may/LockheedMartinCustomerPro.html Ověřeno ke dni 15. 12. 2013. 34. Mandiant [pdf]. (2010). M-Trends 2010: Tha Advanced Persistent Threat. 30 s Dostupné z https://www.mandiant.com/resources/mandiant-reports/ Ověřeno ke dni 15. 12. 2013. 35. Mandiant [pdf]. (2013). Exposing One of China’s Cyber Espionage Units. 74 s. Dostupné z http://intelreport.mandiant.com/Mandiant_APT1_Report.pdf Ověřeno ke dni 15. 12. 2013.
45
36. McAfee [pdf]. (2011). Global Energy Cyberattacks: „Night Dragon“, 19 s. Dostupné z http://www.mcafee.com/us/resources/white-papers/wp-global-energycyberattacks-night-dragon.pdf. Ověřeno ke dni 15. 12. 2013. 37. McQuade, S. C. (ed. 2009). Encyclopedia of Cybercrime. 232 s. Connecticut, USA: Greenwood Press. ISBN 9780313339745 38. MI5 [online]. (2013). What is espionage? Dostupné z https://www.mi5.gov.uk/home/the-threats/espionage/what-isespionage.html Ověřeno ke dni 15. 12. 2013. 39. Mitnick, K. D. – Simon, W. L. (2002). The Art of Deception: Controlling the Human Element of Security. 368 s. Indiana, USA: Wiley. ISBN 9780471237129 40. Murchu, L. O. [online]. (2010). Stuxnet Using Three Additional Zero-Day Vulnerabilities. Dostupné z http://www.symantec.com/connect/blogs/stuxnet-using-three-additionalzero-day-vulnerabilities Ověřeno ke dni 15. 12. 2013. 41. Nagaraja, S. – Anderson, S. [pdf]. (2009). The snooping dragon: social-malware surveillance of the Tibetan movement. 12 s. Dostupné z http://www.cl.cam.ac.uk/techreports/UCAM-CL-TR-746.pdf Ověřeno ke dni 15. 12. 2013. 42. Newsweek [online]. (1999). ‚We’re In The Middle Of A Cyberwar‘. Dostupné z http://www.newsweek.com/were-middle-cyerwar-166196. Ověřeno ke dni 15. 12. 2013. 43. NIST [pdf]. (2002). Risk Management Guide for Information Technology Systems. 56 s.
46
Dostupné z http://csrc.nist.gov/publications/nistpubs/800-30/sp800-30.pdf Ověřeno ke dni 15. 12. 2013. 44. NIST [pdf]. (2005). Guide to Malware Incident Prevention and Handling. 101 s. Dostupné z http://csrc.nist.gov/publications/nistpubs/800-83/SP800-83.pdf Ověřeno ke dni 15. 12. 2013. 45. NIST [pdf]. (2011). Managing Information Security Risk. 48s. Dostupné z http://csrc.nist.gov/publications/nistpubs/800-39/SP800-39-final.pdf Ověřeno ke dni 15. 12. 2013. 46. Plafke, J. [online]. (2013). The American-made Stuxnet virus has infected the International Space Station. Dostupné z http://www.extremetech.com/extreme/170785-the-american-madestuxnet-virus-has-infected-the-international-space-station Ověřeno ke dni 15. 12. 2013. 47. Prodhan, G. [online]. (2011). SecurId maker says single nation behind data breach. Dostupné z http://www.reuters.com/article/2011/10/11/us-emc-rsa-breachidUSTRE79A4TR20111011 Ověřeno ke dni 15. 12. 2013. 48. Prolexic [pdf]. (2012). Prolexic Quarterly Global DDos Attack Report. 20s. Dostupné z http://www.preventia.co.uk/resources/data_sheets/prolexic/Prolexic_Quarterly_Global _DDoS_Attack_Report_Q412_A4_011413-1.pdf Ověřeno ke dni 15. 12. 2013. 49. Raiu, C. [online]. (2012). The Day The Stuxnet Died. Dostupné z http://www.securelist.com/en/blog/208193609/The_Day_The_Stuxnet_Died Ověřeno ke dni 15. 12. 2013.
47
50. Reliance [online]. (2013). What does SCADA/HMI mean? Dostupné z http://www.reliance-scada.com/en/products/what-does-scada-hmi-mean Ověřeno ke dni 15. 12. 2013. 51. Robinson, N. – Disley, E. – Potoglou, D. et al. [pdf]. (2012). Feasibility Study for a European Cybercrime Centre. 253 s. Dostupné z http://www.rand.org/content/dam/rand/pubs/technical_reports/2012/RAND_TR1218.p df Ověřeno ke dni 15. 12. 2013. 52. RSA [online]. (2011). Anatomy of an Attack. Dostupné z https://blogs.rsa.com/anatomy-of-an-attack/ Ověřeno ke dni 15. 12. 2013. 53. Sanger, D. E. (2012). Confront and Conceal: Obama’s Secret Wars and Surprising Use of American Power. 512 s. New York: Crown Publishers. ISBN 9780307718037 54. Secure Works [pdf]. (2012). Lifecycle of an Advanced Persistent Threat. 15 s Dostupné z http://www.datainfoserver.com/dell_lifecycleofanadvancedpersistentthreat Ověřeno ke dni 15. 12. 2013. 55. Secure Works [online]. (2013). Duqu Trojan Questions and Answers . Dostupné z http://www.secureworks.com/cyber-threat-intelligence/threats/duqu/ Ověřeno ke dni 15. 12. 2013. 56. Stake, R. E. (1995). The Art of Case Study Research. 175 s. Londýn: SAGE. ISBN 9780803957671 57. Symantec [online]. (2010). The Trojan.Hydraq Incident. Dostupné z http://www.symantec.com/connect/blogs/trojanhydraq-incident Ověřeno ke dni 15. 12. 2013.
48
58. Symantec [pdf]. (2011). W32.Duqu: The precursor to next Stuxnet. 46 s Dostupné z http://www.symantec.com/content/en/us/enterprise/media/security_response/whitepap ers/w32_duqu_the_precursor_to_the_next_stuxnet.pdf Ověřeno ke dni 15. 12. 2013. 59. Symantec [online]. (2012). Flamer: Highly Sophisticated and Discreet Threat Targets Middle East. Dostupné z http://www.symantec.com/connect/blogs/flamer-highly-sophisticated-anddiscreet-threat-targets-middle-east Ověřeno ke dni 15. 12. 2013. 60. Symantec [online]. (2013). Vulnerability Trends. Dostupné z http://www.symantec.com/threatreport/topic.jsp?id=vulnerability_trends&aid=zero_da y_vulnerabilities. Ověřeno ke dni 15. 12. 2013. 61. The Honeynet Project [online]. (2008). Know Your Enemy: Phishing. Dostupné z http://www.honeynet.org/papers/phishing/ Ověřeno ke dni 15. 12. 2013. 62. Thornburg, N. [pdf]. (2005). The Invasion of the Chinese Cyberspies. Dostupné z http://content.time.com/time/magazine/article/0,9171,1098961,00.html Ověřeno ke dni 15. 12. 2013. 63. Wagensell, P. [online]. (2013). No, Stuxnet did not infect the International Space Station. Dostupné z http://www.nbcnews.com/science/no-stuxnet-did-not-infect-internationalspace-station-2D11577724 Ověřeno ke dni 15. 12. 2013. 64. Websense [pdf]. (2011). Advanced Persistent Threats and Other Advanced Attacks. 12 s. 49
Dostupné z http://www.websense.com/assets/white-papers/whitepaper-websenseadvanced-persistent-threats-and-other-advanced-attacks-en.pdf Ověřeno ke dni 15. 12. 2013. 65. Wilson, C. [pdf]. (2007). Botnets, Cybercrime, and Cyberterrorism: Vulnerabilities and Policy Issued for Congress. 39 s. Dostupné z http://www.fas.org/sgp/crs/terror/RL32114.pdf Ověřeno ke dni 15. 12. 2013.
50
9 Seznam zkratek APT – Advanced Persistent Threat C2 – command and control CERT – Computer Emergency Response Team CPNI – Centre for the Protection of National Infrastructure CSIS – Centre for Strategic and International Studies ČLR – Čínská lidová republika DIB – defense industrial base – obranná průmyslová základna země DHS – Department of Homeland Security DoD – Department of Defense DoS – Department of State ICT – informační a komunikační technologie KK – kybernetická kriminalita KT – kybernetický terorismus NATO – North Atlantic Treaty Organization NISCC – National Infrastructure Security Co-ordination Centre NIST – National Institute of Standards and Technology OHHDL – The Office of His Holines the Dalai Lama, RAT – remote access tool SCADA – supervisory control and data acquisition SHAPE – Supreme Headquarters Allied Powers Europe SNL – Sandia National Laboratories
51