Od ataku na łańcuch dostaw SolarWinds w roku 2020 po zabezpieczenia wdrażane przed Igrzyskami w Paryżu w roku 2024, zagrożenie ze strony cyberszpiegostwa wspomaganego sztuczną inteligencją wciąż się rozwija.
Odkąd pojawiły się tzw. zaawansowane stałe zagrożenia (Advanced Persistent Threat, APT), wiemy już, że organy państwowe mogą z łatwością inwigilować najlepiej zabezpieczane sieci, skutecznie zakłócając ich działanie.
Rządy zdały sobie sprawę z realnego ryzyka cyfrowej zimnej wojny. Teraz w krajobrazie cyfrowym karty rozdają cyberszpiedzy, a w tle toczy się niejedna walka. Pojawiają się też obawy w związku z coraz bardziej wyrafinowanymi i precyzyjnymi metodami, które biorą sobie na cel bezpieczeństwo państwowe, handel międzynarodowy, krytyczną infrastrukturę i prywatność.
Aby przybliżyć wam temat, zebraliśmy dla was najlepiej zaplanowane kampanie cyberszpiegowskie od roku 2023. Przy okazji próbujemy przewidzieć, czego jeszcze można się spodziewać w tym obszarze.
Najważniejsze punkty
- Cyberszpiegostwo ewoluowało do tego stopnia, że zaczyna zagrażać krytycznej infrastrukturze i strategicznym sektorom na całym świecie.
- Organy państw jakich jak Chiny, Rosja, Iran czy Korea Północna, udowodniły już, że dysponują zaplecze, które umożliwia skuteczną infiltrację i zakłócanie funkcjonowania sieci.
- Najnowsze incydenty pokazały, że coraz trudniej jest zabezpieczyć infrastrukturę chmurową przed działaniami szpiegowskimi.
- Obawy wzbudzają też zaawansowane stałe zagrożenia (APT), oparte na innowacyjnych taktykach, takich jak bombardowanie MFA czy fałszowanie tokenów uwierzytelniających w celu uzyskania nieuprawnionego dostępu.
- Strategiczne targetowanie sektorów, o którym mowa w strategiach państwowych, takich jak „Made in China 2025”, dowodzi, że kampanie cyberszpiegowskie są uwarunkowane ekonomicznie.
Cyberszpiegostwo: 10 największych kampanii sezonu 2023-2024
1. Zabezpieczenie Igrzysk Olimpijskich w Paryżu: cyberszpiegowskie wyzwanie
Przygotowując się do Igrzysk Olimpijskich w Paryżu w 2024 r. Francja stanęła w obliczu eskalacji cyberzagrożeń. Podkreślano ten fakt w raporcie ANSSI na temat znacznego wzrostu szpiegostwa wymierzonego w strategiczne sektory, takie jak administracja publiczna czy podmioty obronne.
Wzrost cyberszpiegostwa i wyrafinowanych ataków na urządzenia mobilne i sieci przypomina, że po takie taktyki sięgają organy państw takich jak Rosja i Chiny.
Przed Igrzyskami Olimpijskimi ANSSI skupiło się na działaniach związanych ze wstępnym pozycjonowaniem i destabilizacją.
Podkreślano konieczność zaawansowanej obrony cyberbezpieczeństwa w kontekście nasilonej wojny cyfrowej i zachowania najwyższego stopnia gotowości.
2. Operacja indyjskiej grupy Patchwork: VajraSpy przenika do Google Play
Indyjska grupa hakerska Patchwork wykorzystywała Google Play do rozpowszechniania aplikacji szpiegowskich. Głównym celem ataku byli mieszkańcy Pakistanu. Hakerzy ukryli trojana typu RAT pod nazwą VajraSpy w pozornie niewinnych komunikatach i aplikacjach newsowych. Malware ten umożliwiał zdalny dostęp do urządzeń.
Choć VajraSpy usunięto z Google Play, spyware nadal pozostaje zagrożeniem dla zewnętrznych sklepów z aplikacjami. To kolejny dowód na wyrafinowany charakter cyberzagrożeń ze strony organów powiązanych z władzami państwowymi.
3. Atak w chmurze: Jak APT29 wykorzystuje słabe punkty
Taktyki cyberszpiegowskie ewoluują w zaskakującym tempie. Udowodniła to elitarna rosyjska grupa APT29, znana też pod nieco bardziej obrazowymi nazwami, takimi jak Cozy Bear, Midnight Blizzard, czy Nobelium. Hakerzy umiejętnie wykorzystali słabe punkty środowiska chmurowego. Jak się okazało, zabezpieczenie infrastruktury chmurowej przez zaawansowanymi atakami stanowi coraz większe wyzwanie.
Agencje wywiadowcze państw zachodnich uznają grupę APT29 za jednostkę rosyjskiego wywiadu zagranicznego. APT29 wciąż udoskonala swoje metody, by skutecznie infiltrować usługi chmurowe rządów i korporacji.
Na swoim koncie ugrupowanie ma kilka niesławnych epizodów, takich jak atak na Demokratyczny Komitet Narodowy w roku 2016 czy atak na łańcuch dostaw SolarWinds w roku 2020. Najnowszym z niechlubnych osiągnięć grupy są włamania na konta mailowe pracowników Microsoftu i wyłudzenie danych wrażliwych od Hewlett Packard Enterprise.
Brytyjskie Narodowe Centrum Cyberbezpieczeństwa (NCSC) we współpracy ze światowymi agencjami cyberbezpieczeństwa, takimi jak NSA czy FBI, wystosowało ostrzeżenie na temat zaawansowanych technik wykorzystywanych przez grupę APT29.
Metody te obejmują ataki brute force i password spraying, dzięki czemu udaje się uzyskać dostęp do kont służbowych, często niewystarczająco zabezpieczanych wieloskładnikowym uwierzytelnieniem. To częsty problem w firmach, gdzie konta są współdzielone.
4. Przeciek I-Soon demaskuje chińską machinę szpiegowską
Wyciek danych I-Soon ujawnił niedawno kompleksowy obraz chińskich operacji cyberszpiegowskich. Ujawnił on szeroko zakrojoną kampanię wymierzoną w szereg globalnych podmiotów, od platform mediów społecznościowych po organizacje rządowe.
Wyciek ten, krążący w serwisie GitHub, wydobywa na światło dzienne szeroką gamę wyrafinowanych narzędzi hakerskich. Wśród nich można wymienić złośliwe oprogramowanie zdolne do włamywania się do urządzeń z systemem Android i iOS, niestandardowe trojany zdalnego dostępu (RAT) i urządzenia do penetracji sieci.
Dalsza analiza wskazuje, że I-Soon, firma zajmująca się cyberbezpieczeństwem, działa pod auspicjami chińskiego rządu. W szczególności obsługuje ona agencje takie jak Ministerstwo Bezpieczeństwa Publicznego, podkreślając w ten sposób sponsorowany przez państwo wymiar takich działań.
5. Irańska kampania cyberszpiegowska targetuje lotnictwo i przemysł kosmiczny na Bliskim Wschodzie
Badacze zajmujący się bezpieczeństwem w firmie Mandiant, będącej częścią struktury Google Cloud w zakresie cyberbezpieczeństwa, ujawnili skomplikowaną kampanię cyberszpiegowską, którą powiązano z Iranem. Celem tej strategii był przemyusł kosmiczny, lotnictwo i sektory obrony na Bliskim Wschodzie.
Mandiant powiązał kampanię z irańską grupą UNC1549, która ma coś wspólnego z operacją hakerską Tortoiseshell.
Operacja ta jest znana z atakowania izraelskich firm transportowych oraz amerykańskich firm lotniczych i obronnych. Łączy się ją z irańskim Korpusem Strażników Rewolucji Islamskiej (IRGC).
Powiązanie to nabiera szczególnego znaczenia w kontekście trwających napięć regionalnych i wsparcia Iranu dla Hamasu.
Kampania obejmowała szerokie wykorzystanie infrastruktury chmury Microsoft Azure i inżynierii społecznej w celu wdrożenia dwóch nowatorskich backdoorów, MINIBIKE i MINIBUS. Te backdoory umożliwiają eksfiltrację plików, wykonywanie poleceń i zaawansowane możliwości zwiadowcze.
Zidentyfikowano również niestandardowy tunel pod nazwą LIGHTRAIL, który dodatkowo kamufluje cyberszpiegostwo pod nieszkodliwym ruchem internetowym. Ewoluujący krajobraz zagrożeń wskazuje na krytyczną potrzebę zwiększonej czujności w zakresie cyberbezpieczeństwa w sektorach związanych z obronnością.
6. Cyberszpiegostwo transgraniczne: atak Korei Północnej na południowokoreańską produkcję półprzewodników
Północnokoreańscy hakerzy przypuścili atak na południowokoreańskich producentów półprzewodników. Wywiad Korei Południowej podał, że w wyniku tej kampanii doszło do kradzieży krytycznych rysunków projektowych i zdjęć zakładów produkcyjnych.
To cyberszpiegostwo dowodzi, że Korea Północna nosi się z zamiarem opracowania półprzewodników do swoich programów zbrojeniowych w obliczu międzynarodowych sankcji, które komplikują wysiłki związane z zakupami.
Naruszenia, które miały miejsce w grudniu i lutym, podkreślają strategiczne posunięcie Korei Północnej mające na celu wzmocnienie jej zdolności w zakresie technologii satelitarnych i rakietowych.
Południowokoreańska agencja wywiadowcza podkreśla taktykę hakerów, polegającą na wykorzystywaniu legalnych narzędzi na serwerach w celu uniknięcia wykrycia. Z tego powodu cyberataki te są szczególnie trudne do odparcia.
Korea Północna ma za sobą dobrze udokumentowaną historię operacji w sferze wirtualnej, w szczególności jeśli chodzi o kradzież kryptowalut w celu sfinansowania obecnego reżimu i ambicji w zakresie wyścigu zbrojeń. Najnowsze incydenty dowodzą, że strategia dynamicznie ewoluuje, by coraz lepiej targetować kluczowe technologie i tajemnice państwowe, aby skutecznie obchodzić międzynarodowe sankcje.
7. Chińska operacja szpiegowska wycelowana w mechanizmy obronne Niderlandów
Kolejny incydent miał miejsce w zeszłym roku, gdy niderlandzkie Ministerstwo Obrony padło ofiarą chińskich hakerów. Ministerstwo Wywiadu Wojskowego i Służb Bezpieczeństwa (MIVD) ujawniło atak malware przy użyciu zaawansowanego złośliwego oprogramowania, znanego jako Coathanger.
Na szczęście skuteczna segmentacja sieci złagodziła skutki naruszenia. Ten środek bezpieczeństwa ograniczył ekspozycję do sieci badawczo-rozwojowej z mniej niż 50 użytkownikami.
Pomimo ograniczonych szkód, incydent ten podkreśla wyrafinowany i trwały charakter globalnych cyberzagrożeń sponsorowanych przez państwo, szczególnie ze strony chińskich szpiegów.
8. Cyberszpiegowskie operacje wymierzone w polityków państw zachodnich
W grudniu 2023 r. Wielka Brytania i Stany Zjednoczone oskarżyły rosyjskie służby bezpieczeństwa o prowadzenie szeroko zakrojonej kampanii cyberszpiegowskiej. Ofiarą ataku miały paść postaci ze świata polityki, dziennikarze i organizacje pozarządowe.
Jednocześnie Stany Zjednoczone przedstawiły zarzuty dwóm Rosjanom powiązanym z inicjatywą hakerską wymierzoną w kraje NATO, i nałożyły na nich sankcje.
Wielka Brytania podkreśliła, że rosyjskie służby próbowały złamać cyfrową obronę brytyjskich parlamentarzystów z różnych partii, co doprowadziło do wycieków dokumentów w latach 2015-2023. W wyniku kampanii przed wyborami powszechnymi w Wielkiej Brytanii w 2019 roku wyszły na jaw poufne dokumenty handlowe między Wielką Brytanią a USA.
To wspólne wezwanie ze strony Wielkiej Brytanii i Stanów Zjednoczonych podkreśliło utrzymujące się i ewoluujące zagrożenie cybernetyczne ze strony Rosji. Przypomina to zarazem o potrzebie czujności i solidnych mechanizmów obronnych przed takimi działaniami szpiegowskimi sponsorowanymi przez państwo.
9. Made in China 2025: droga do dominacji ekonomicznej
W swoim dobrze uargumentowanym zeznaniu przed Podkomisją Sądownictwa Izby Reprezentantów Benjamin Jensen wskazał na rozpowszechnione taktyki cyberszpiegowskie, stosowane przez Komunistyczną Partię Chin w celu osłabienia amerykańskiej gospodarki. Głównym celem kampanii była własność intelektualna w sektorach takich jak technologia, energetyka czy lotnictwo.
Jensen zwrócił uwagę, że Chiny są powiązane z wieloma kampaniami cyberszpiegowskimi, które zostawiają w tyle strategie innych krajów, nawet takich jak Rosja.
Operacje te, skrupulatnie udokumentowane w Dyadic Cyber Incident and Campaign Dataset, mają na celu kradzież cennej własności intelektualnej. Wiemy, że są ściśle powiązane z chińskim planem strategicznym „Made in China 2025”.
10. Storm-0558: Microsoft ujawnia chińską operację szpiegowską
W zeszłym roku Microsoft wydobył na światło dzienne zaawansowaną chińską kampanię pod nazwą Storm-0558. Doprowadziła ona do naruszenia poufności kont mailowych co najmniej 25 organizacji, w tym amerykańskiegom rządu.
Dochodzenie Microsoftu, wszczęte na podstawie alertu klienta z 16 czerwca, ujawniło nieautoryzowany dostęp datowany na 15 maja. Atak był wymierzony głównie w podmioty w Europie Zachodniej. Chodziło o szpiegostwo, kradzież danych i zbieranie danych uwierzytelniających.
Microsoft błyskawicznie zareagował na zagrożenie, blokując fałszywe tokeny, zastępując przechwycony klucz i wzmacniając zabezpieczenie usług chmurowych.
Incydent ten, którego skutki dotknęły nawet amerykańskie Departamenty Stanu i Handlu, pokazuje, że chińskie zabiegi cyberszpiegowskie osiągają coraz wyższy poziom wyrafinowania. Hakerzy wykorzystują zaawansowane sieci proxy, by skutecznie przemykać się pod radarami.
Znane grupy cyberszpiegowskie na świecie
Nazwa grupy | Pochodzenie/ Powiązania | Przeprowadzone ataki | Cele | Inne nazwy |
CozyBear | Rosyjska
(wspierana przez Służbę Bezpieczeństwa Federacji Rosyjskiej) |
SolarWinds, atak na Demokratyczny Komitet Narodowy | Organizacje rządowe w Wielkiej Brytanii, Stanach Zjednoczonych, w krajach Unii Europejskiej, Korei Południowej i Uzbekistanie | APT29, YTTRIUM, The Dukes, Office Monkeys |
Gorgon Group | Pakistańska | Atak MasterMana Botnet, kradzież danych uwierzytelniających | USA, Niemcy, Korea Południowa, Indie, Zjednoczone Emiraty Arabskie i sektor służb publicznych | |
Deep Panda | Chińska | Ataki na Anthem i OPM | Amerykańskie organizacja rządowe, sektor obrony, finansów i telekomunikacji | KungFu Kittens, Shell Crew, WebMasters |
Bouning Golf | Nieznane
(Bliski Wschód) |
Infekcja malware GolfSpy | Dane wojskowe państw Bliskiego Wschodu, organizacje wspierające Turków, Kurdów i ISIS na całym świecie | |
CopyKittens | Irańska | Operacja Wilted Tulip, ataki na niemiecki Bundestag | Niemcy, Izrael, Arabia Saudyjska, Turcja, USA, Jordania, pracownicy ONZ | |
Apt33 | Irańska (wspierana przez państwo) | Ataki w przemyśle lotniczym i energetycznym | USA, Korea Południowa, Arabia Saudyjska. Organizacje z sektora lotnictwa i produkcji petrochemicznej | HOLMIUM, Elfin |
Charming Kitten | Irańska | Ataki phishingowe, kradzież danych uwierzytelniających | Think tanki, ośrodki badań politycznych, dziennikarze i aktywiści środowiskowi. | APT35, Phosphorus, Newscaster, Ajax |
Magic Hound | Irańska | Spear phishing, dystrybucja malware | Sektor rządowy, technologiczny i energetyczny w Arabii Saudyjskiej i USA | Rocket Kitten, Cobalt Gypsy |
Muddy Water | Irańska | Spear phishing, złośliwe oprogramowanie na urządzenia z Androidem | Bliski Wschód, Azja, Europa, USA, organizacje rządowe, telekomunikacja | |
Windshift | Nieznane | Ataki na użytkowników OSX | Konkretne osoby w rządzie i członkowie krytycznej infrastruktury w rejonie Rady Współpracy Państw Zatoki Perskiej | Bahamut |
Podsumowanie
Przytoczone powyżej przypadki kampanii cyberszpiegowskich, od SolarWinds po infiltrację Google Play przez VajraSpy, podkreślają strategiczne zamiary poszczególnych państw. Dostrzegamy tu ataki wymierzone w polityczne czy ekonomiczne interesy innych krajów, a przede wszystkim w ich bezpieczeństwo. W XXI wieku działania te rozgrywają się głównie w domenie cyfrowej.
Stopień zaawansowania tych kampanii, a także ich precyzja i zdolność do potajemnego działania pod przykrywką pozornie niewinnych aplikacji wskazuje na konieczność wzmocnienia zabezpieczeń. W miarę jak cyberszpiegostwo staje się integralną częścią strategii agencji wywiadowczych, zrozumienie takich incydentów jest kluczowe dla opracowania skutecznych przeciwdziałań i ochrony granic zarówno w świecie wirtualnym, jak i realnym.
Edward Snowden i Julian Assange swego czasu naświetlili złożoną naturę ochrony prywatności w krajobrazie cyfrowym. Zwrócili też uwagę na przejrzystość działań rządowych, ujawniając, że rządy USA i Wielkiej Brytanii też angażują się w cyberszpiegostwo.
Opublikowane informacje na temat CIA wydobyły na światło dzienne niespotykane dotąd praktyki w zakresie inwigilacji i taktyki prokuratorskich, wymierzone w WikiLeaks i podobne grupy aktywistów. Pozostaje pytanie, gdzie w tej chwili przebiega granica wolności i prywatności.
FAQ – największe afery cyberszpiegowskie
Jaki jest przykład poważnego incydentu cyberszpiegowskiego?
Czy cyberszpiegostwo jest aktem wojny?
Czy cyberszpiegostwo jest nielegalne?
Jakie jest pięć rodzajów szpiegostwa?
Źródła
- Cert.ssi.gouv (Cert.ssi.gouv)
- Jak wykorzystano Google Play do rozpowszechniania aplikacji szpiegowskich (Darkreading)
- Rosyjska grupa cyberszpiegowska APT29 wykorzystuje słabe punkty chmury (Scmagazine)
- Inline XBRL Viewer (Sec)
- Wielka Brytania wraz z sojusznikami wskazuje na ewolucję taktyk rosyjskich cyberszpiegów (Ncsc.gov)
- Przeciek I-Soon ujawnia chińskie techniki cyberszpiegowskie . (Thecyberwire)
- Gdy koty latają: podejrzane zagrożenie ze strony irańskiej grupy UNC1549 – na celowniku izrealski i bliskowschodni przemysł lotniczy i obronny (Mandiant)
- Seul donosi: Korea Północna hakuje producenta chipów w Korei Południowej (Bbc.co)
- Korea Północna: program balistyczny sfinansowany przez skradzione kryptowaluty – raport ONZ(Bbc)
- Hakerzy z Korei Północnej ukradli kryptowaluty o wartości 400 mln USD w roku 2021 – raport (Bbc)
- Chińscy hakerzy zainfekowali holenderską sieć wojskową (Bleepingcomputer)
- TLP:CLEAR MIVD AIVD Advisory Coathanger (Ncsc)
- Wielka Brytania i USA oskarżają Rosję o działania cyberszpiegowskie przeciwko znanym politykom (France24)
- Jak Komunistyczna Partia Chin wykorzystuje cyberszpiegostwo do niszczenia amerykańskiej gospodarki (Csis)
- Made in China 2025 – co to jest i dllaczego świat tak się boi? (China-briefing)
- Microsoft reaguje na atak chińskich hakerów Storm-0558 (Msrc.microsoft)
- Chińscy hakerzy włamują się do Departamentu Stanu i Departamentu Handlu – donoszą Microsoft i USA (Reuters)
- Dokumenty Snowdena ujawniają inwigilację sądową i taktyki wywierania presji wymierzone przeciwko WikiLeaks i zwolenników (Theintercept)
- Porwanie, zabójstwo i strzelanina w Londynie: tajne plany wojny CIA z WikiLeaks (News.yahoo)