The Snooping Dragon

נכתב ע"י גיא מזרחי בתאריך 9 במאי 2009 | נושאים כללי | 5 תגובות »

לא מזמן קראתי מחקר שהתבצע ע"י שני חוקרים: שישיר נג'רג'ה ורוס אנדרסון באוניברסיטאות קיימברידג' ואילינוי ובהרשאה של U.S. Department of Homeland Security.
הגדרת הפעילות היא ריגול ומעקב אלקטרוני ע"י malware שהתבצע ע"י ארגון הביון הסיני על ארגון פוליטי טיבטי (משרד הדלאי לאמה).
החוקרים מגדירים שאמנם malware היא צרה נפוצה אך זה חידוש שמדינה/ארגון פוליטי מפעילים ע"י משטרה וכוחות הביטחון כלים כאלה למרות הבעיה של חשיפת הכלים.
החוקרים גם מציינים שהכלים האיכותיים יחד עם הפישינג האיכותי מוכיח עצמו יעיל בצורה כמעט מוחלטת.
הם מוסיפים ואומרים שיש מעט מאוד ארגונים שהם לא ארגוני מודיעין או גופים ביטחוניים שיכלו לבצע את המתקפות ברמה המדוברת.

רקע:
הפעילות של הדלאי לאמה מרוכזת ע"י המשרד של הוד קדושתו הדלאי לאמה – OHHDL ורוב פעילותו היא דיפלומטית + פעילות הנוגעת לריכוז כנסים, נסיעות והפצת התורה שלו בכנסים דתיים ברחבי העולם.
OHHDL התחיל לפעול באמצעות האינטרנט בתחילת שנות ה-90 וכיום רוב הפעילות מתבצעת דרך האינטרנט באמצעות emails.

איך העניין התחיל?
OHHDL התחילו לחשוד שהם תחת מעקב אינטרנטי כשניסו לארגן פגישות של הדלאי לאמה עם גורמים שונים.
הם שלחו MAIL לגורמים אך לפני שהספיקו לבצע אליהם שיחת טלפון לתיאום, הגורמים קיבלו טלפונים מהממשלה הסינית שהזהירה שלא תראה בעין יפה פגישה עם הלאי לאמה.
הדבר עורר את חשד ה- OHHDL שהמחשבים שלהם תחת מעקב.

מחקר ראשוני:
לאחר מחקר התברר שחלק מהספאם ממנו סובל ה-OHHDL הוא אמנם spam אך חלק ממנו הוא דואר זבל שמיועד ונכתב כך ש-OHHDL יפתחו אותו (Targeted Spam).
ה-OHHDL משתמש בשירות Hosting+Mail של חברה אמריקאית הממוקמת בקליפורניה.
בדיקה של הלוגים בשרתי ה-Hosting גילו logins מוצלחים מכתובות IP ששיכות לכמה ספקיות מסין והונג קונג שאין להן קשר ל-OHHDL.
כיוון שמדובר בפחות מ-50 כתובות מייל ששיכות ל-OHHDL –וכל ה-Logins שוייכו אליהן ולא לאף לקוח אחר, אין סיכוי סביר שזו היתה פריצה סתם או טעות כלשהיא.
נתון נוסף הוא שיש Logins גם מ-ISP שנמצא במחוז Xinjiang Uyghur ששם ממוקמים גופי משטרה ובטחון סיניים שעיקר עיסוקם הוא בפעילות הטיבטית.

חקירת ה-Forensics בוצעה ע"י החוקרים:
1. OHHDL עובדים מול חברת ה-HOSTING וקוראים מייל בצורה לא מוצפנת.
2. שרת המייל מאפשר קשר אליו ב-POP, IMAP, HTTP. כולם לא מוצפנים ולכן שמות וסיסמאות עובדים כ-Plain Text בתווך.
3. הסיסמאות שנבחרו ע"י הנזירים היו פשוטות, קלות לשבירה ולא עמדו בשום תקן סביר. (סיסמאות נפרצו ע"י John The Ripper בכ-15 דקות).
ההמלצות המיידיות היו שהנזירים יאמצו מדיניות סיסמאות סבירה, יתחילו להשתמש ב-TLS Encryption.
מיותר לציין שהמלצות אלה לא עזרו לטיבטים יותר מדי.
התוקפים עבדו בצורה שונה..

The Attack Vector:
הודעות הספאם האיכותיות הכילו בתוכן Attachments שהכילו Payloads זדוניים.
המיילים עבדו כיוון שהיו מטורגטים ואיכותיים. הם נכתבו בנושאים שמעניינים את התנועה ונראו כאילו הם מגיעים מעמיתים ותומכים.
דרך נוספת שהשתמשו בה היתה לינקים לאתרים המכילים Malwares.

דוגמה:

החוקרים לא ממש יודעים איך "עלו" על הסיסמאות של הנזירים.
חלק מההערכות שלהם:
- מעקב אחר הנזירים שמשתתפים בפעילויות שונות ורישום שמותיהם ותחומי העניין שלהם.
- ניחוש סיסמאות
- John The Ripper
- פריצה לשרת המייל
- …

ההערכה שלהם היא שהתוקפים השתמשו ברשימות תפוצה משוייכות לעניין הטיבטי כדי לבנות את ה-Spam האיכותי וכדי להפיץ את תוכנות הריגול שלהם (ברשותכם, מעכשיו אקרא להם סוסים).
מהרגע שהמטרות הראשונות נדבקו התוקפים השתמשו במידע ובמיילים שיכלו לקרוא כדי לייצר התקפות Social Engineering איכותיות שנראות שמגיעות מעמיתים.
כך הם התפשטו ברשת בצורה מכוונת לאנשי מפתח בארגון ובעיקר כיוונו אל אנשי ה-IT) Sysadmin team).
דרך נוספת היתה "ללכוד" דואר לגיטימי שמשתמש קיבל ולהחליף את ה- Attachment שלו ב-Attachment מדביק.

ה-Payload:
ה-Attchments המדביקים בהם השתמשו התוקפים היו מסוג DOC או PDF שהתקינו Rootkit על המחשב בהם נפתחו.
ה-Rootkit (סוס לכל דבר במקרה הזה) הזליג באמצעות פרוטוקול ייעודי שרוכב על http מידע לשלושה שרתים שמאוכסנים ב-ISP סיני הממוקם במחוז סיצ'ואן (שם יושבת יחידה של ארגון הביון הסיני המתמחה במעקב אחר OHHDL).
מסמכי ההדבקה נשלחו לחוקר בחברת F-Secure (חוקר בשם MIKKO HYPPONEN) שקבע שהסוס מכיל יכולות חיפוש והבאה של קבצים וכן תכונות נוספות כגון Keylogger.
הדבר מאשש את החשד שהסוס קיבל הרשאות מלאות על הנתונים במחשב הנגוע.
היו מקרים בהם נזירים ב-OHHDL דיווחו שראו את ה-Outlook Express שלהם נפתח ושולח מסמכים ו-attachments בלי התערבותם.

קוריוז:
בהתחלה החוקרים חשבו שהתוקפים מסווים עצמם באמצעות TOR.
לאחר שבדקו את העניין ראו שכתובות ה-IP שמתועדות בלוגים אינן תואמות ל-Exit Nodes של TOR.
מה שכן – רואים שכתובות ה-IP יוצאות מ-DYNAWEB, סט פרוקסים אנונימיים שמשוייכים לתנועה דתית סינית אחרת שגם אותה הממשלה בסין לא מסמפטת במיוחד.. כאילו שניסו "לתפור" את העניין על אותה תנועה (Falun Gong).
ההשערה של החוקרים היא שהתוקפים הבינו שחוקרים את המקרה וניסו להסוות פעילותם ע"י הפללה של מישהו אחר.

המסקנות של החוקרים:

1. הארגון הטיבטי OHHDL לא עמד בשום סטנדרט של אבטחת מידע. זה מתחיל ממדיניות סיסמאות וממשיך באכסון של מסמכים מסווגים על גבי מחשבים אישיים המחוברים לאינטרנט.
2. רובה ככולה של ההתקפה מבוססת על אמון מלא שנתנו הנזירים במשאבי המחשב שלהם. הם פתחו דבוקות, לחצו על לינקים וכל זאת בלי שום חשש או חשד גם כשמדובר בדואר מאנשים שהם לא מכירים.
3. ההתקפה המתועדת בוצעה ע"י גוף ביון של מעצמה אך לדבריהם – אין מניעה שהתקפה כזו תיוצר ע"י גוף קטן. אין שום הוכחה שהמידע הושג ע"י "האזנה" על הקו בין Dharamsala לקליפורניה דבר שהיה מעיד על גוף ביון מעצמתי. לא היה שום צורך כזה לאור הכלים בהם השתמשו התוקפים ולכן קובעים החוקרים שהדבר יכל להיות מבוצע גם ע"י האקר יחיד.
4. החוקרים מעידים שאם פעם הפצת סוסים ע"י SPAM מכוון דרשה האקר מתוחכם, היום כל אחד יכול לעשות זאת ע"י רכישת כלים המשמשים גם את המאפיות הרוסיות והסיניות ואפילו פושעים זוטרים.

אז איך למנוע מקרים כאלה?

החוקרים מחלקים את ההמלצה שלהם להמלצות טכניות וכן המלצות תפעוליות.
ברמה הטכנולוגית החוקרים נותנים סט המלצות שמדברות על Mandatory Access Control ועל Multi Level Security – אני אשתדל לכתוב על הנושאים האלה כדי להסביר אותם טוב יותר אם זה מעניין את קהל הקוראים
הם ממליצים להשתמש במוצרים כגון Firewall, Mail Gateway וכן ליישם SElinux על שרת הדואר.
הבעיה היותר גדולה היא החינוך והמודעות של האנשים לאבטחת מידע וכן תפעול מוכוון אבטחה. החוקרים ממליצים על סט של דברים לבדיקה(לדוגמה- יש ליישם מנגנון סינון של מתנדבים כדי שלא כל אחד יוכל להסתנן לארגון).
בנוסף החוקרים ממליצים להעסיקה מדי זמן מסויים "צוות אדום" (כינוי לקבוצת Penetration Testers – האקרים לבנים) שיבדקו בצורה אקטיבית את ההגנה של הארגון. ההמלצה היא שהצוות האדום יבצע פעולות שונות מרמת ה-Social Engineering ועד רמת Pentest טכנולוגי.

*** הפוסט הזה נכתב לא מזמן כשקראתי PDF המתאר אותו. קצת לאחר מכן קיבלתי PDF נוסף, מקיף יותר.
אני אכתוב עליו מחר או מחרתיים והוא משנה קצת את התמונה.