Του Thomas Brewster

Νωρίτερα φέτος, ερευνητές της ρωσικής εταιρείας κυβερνοασφάλειας Kaspersky εντόπισαν μια εκστρατεία κυβερνοκατασκοπείας που έβαζε στόχο υπολογιστές με λογισμικό Microsoft Windows κυβερνητικών και τηλεπικοινωνιακών οργανισμών της Κίνας και του Πακιστάν. Η εκστρατεία ξεκίνησε τον Ιούνιο του 2020 και συνεχίστηκε μέχρι τον Απρίλιο του 2021.

Αυτό που κέντρισε το ενδιαφέρον των ερευνητών ήταν το λογισμικό υποκλοπής που χρησιμοποιούσαν οι ψηφιακοί κατάσκοποι μιας μη κατονομαζόμενης κρατικής υπηρεσίας, στην οποία η Kaspersky έδωσε το ψευδώνυμο “Bitter APT”. Ορισμένα χαρακτηριστικά του κώδικα προσομοίαζαν με χαρακτηριστικά που είχε εντοπίσει και στο παρελθόν η εταιρεία παροχής αντιικού λογισμικού από τη Μόσχα και τα οποία είχε συνδέσει με μια εταιρεία στην οποία οι Ρώσοι ερευνητές έδωσαν το κρυπτώνυμο “Moses”.

Η “Moses”, σύμφωνα με την Kaspersky, είναι ένας μυστηριώδης πάροχος εργαλείων υποκλοπής που είναι γνωστά ως “εκμεταλλεύσεις ευπαθειών μηδενικής ημέρας” (zero-day exploit broker). Τέτοιου είδους εταιρείες δραστηριοποιούνται σε ένα εξειδικευμένο κομμάτι της ευρύτερης βιομηχανίας κυβερνοασφάλειας των 130 δισ. δολαρίων, δημιουργώντας λογισμικό -μια “εκμετάλλευση”- που μπορεί να “εισβάλλει” σε υπολογιστές μέσω κενών ασφαλείας που δεν έχουν εντοπιστεί και είναι γνωστά ως “ευπάθειες μηδενικής ημέρας” (ο όρος προέκυψε από το γεγονός ότι οι προγραμματιστές έχουν στη διάθεσή τους “μηδέν ημέρες” για να διορθώσουν το πρόβλημα πριν γίνει ευρύτερα γνωστό).

Οι “εκμεταλλεύσεις” λειτουργούν ως “υπερ-εργαλεία διάρρηξης”, καθώς εντοπίζουν “κενά” σε λειτουργικά συστήματα ή εφαρμογές μέσω των οποίων ένας χάκερ ή ένας κατάσκοπος μπορεί να διεισδύσει στην ψηφιακή ζωή των στόχων. Αυτές οι “εκμεταλλεύσεις” είναι τόσο σπάνιες που η πώλησή τους μπορεί να αποφέρει περισσότερα από 2 εκατ. δολάρια έκαστη.

Οι κάτοχοί τους, τις χρησιμοποιούν είτε για να προστατευθούν οι ίδιοι από εκείνους που ενδεχομένως να γνωρίζουν για μια ευπάθεια μηδενικής ημέρας στα συστήματά τους, είτε για να προκαλέσουν τεράστια ζημιά σε άλλους. Για παράδειγμα, τουλάχιστον μία τέτοια “εκμετάλλευση” χρησιμοποίησαν οι κυβερνοεγκληματίες κατά τη περιβόητη επίθεση, το 2020, στον πάροχο λογισμικού SolarWinds (με κεφαλαιοποίηση 2,5 δισ. δολαρίων) και σε πολλούς από τους πελάτες του – στους οποίους περιλαμβάνονται από κυβερνητικές υπηρεσίες των ΗΠΑ έως τεχνολογικοί κολοσσοί όπως η Cisco και η Microsoft.

Η επίθεση κόστισε στη SolarWinds τουλάχιστον 18 εκατ. δολάρια, ωστόσο επισημαίνεται από κάποιους ότι το συνολικό ποσό, υπολογίζοντας και το κόστος των πελατών της εταιρείας που έπεσαν “θύματα”, θα μπορούσε να είναι δεκάδες δισεκατομμύρια δολάρια.

Ποια είναι η “Moses”
Ορισμένες φορές, ωστόσο, οι αμερικανικές εταιρείες δεν είναι τα “θύματα”, αλλά αυτές που τροφοδοτούν την κοστοβόρα ψηφιακή κατασκοπεία. Όπως έμαθε το Forbes, από δύο πηγές που έχουν γνώση της έρευνας της Kaspersky, πίσω από το κρυπτώνυμο “Moses” βρίσκεται μια αμερικανική εταιρεία με έδρα το Ώστιν του Τέξας που ονομάζεται Exodus Intelligence. Όσο για την “Bitter APT”, την κρατική υπηρεσία – πελάτη της “Moses”, όπως πρόσθεσε μία από τις πηγές στο Forbes, είναι η Ινδία.

Ελάχιστα γνωστή εκτός του κόσμου της κυβερνοασφάλειας και των υπηρεσιών πληροφοριών για περισσότερο από 10 χρόνια, η Exodus ήρθε στο προσκήνιο χάρη σε ένα αφιέρωμα του περιοδικού Time, αλλά και στη διαρροή ενός εργαλείου το οποίο στη συνέχεια χρησιμοποίησαν οι αστυνομικές αρχές για να χακάρουν το πρόγραμμα ανώνυμης περιήγησης στο διαδίκτυο “Tor”, προκειμένου να παγιδεύσουν παιδόφιλους πελάτες ενός ιστότοπου παιδικής πορνογραφίας.

Η εταιρεία έχει, επίσης, συνεργασίες με την DARPA, την Υπηρεσία Προηγμένων Ερευνητικών Αμυντικών Προγραμμάτων του υπουργείου Άμυνας των ΗΠΑ, και κορυφαίες τεχνολογικές εταιρείες, όπως η Cisco και η Fortinet, μια εταιρεία κυβερνοασφάλειας με πωλήσεις 2,6 δισ. δολαρίων το 2020.

Πρόκειται για σημαντικές συνεργασίες, δεδομένου ότι το μέγεθος της αγοράς είναι σχετικά μικρό και την ικανότητα που απαιτείται [για τον εντοπισμό zero-days] κατέχουν, ανά πάσα στιγμή, μόλις μερικές χιλιάδες άνθρωποι παγκοσμίως”, εξηγεί η Katie Moussouris, ιδρύτρια της εταιρείας Luta Security και δημιουργός του προγράμματος “bug bounty” της Microsoft που ανταμείβει χάκερς όταν ανακαλύπτουν ευπάθειες στα προϊόντα του τεχνολογικού κολοσσού.

Η Exodus, όταν της ζητηθεί από την “Five Eyes” (μια συμμαχία υπηρεσιών πληροφοριών που έχουν συστήσει οι ΗΠΑ, το Ηνωμένο Βασίλειο, ο Καναδάς, η Αυστραλία και η Νέα Ζηλανδία) ή από τους συμμάχους τους, παρέχει τόσο πληροφορίες για μια ευπάθεια μηδενικής ημέρας όσο και το λογισμικό που απαιτείται για να την εκμεταλλευτούν.

Ωστόσο, το βασικό προϊόν της είναι μια υπηρεσία, παρόμοια με τη ροή ειδήσεων του Facebook, για ευπάθειες λογισμικού, που δεν περιλαμβάνει “εκμεταλλεύσεις” (exploits), την οποία παρέχει έναντι τιμήματος 250.000 δολαρίων ετησίως. Διατίθεται στην αγορά κυρίως ως εργαλείο για αυτούς που θέλουν να προστατευθούν από τυχόν ευπάθειες, αλλά οι πελάτες στην πραγματικότητα μπορούν να κάνουν ό,τι θέλουν με τις πληροφορίες για τις zero-days που παρέχει η Exodus – οι οποίες συνήθως αφορούν τα πλέον δημοφιλή λειτουργικά συστήματα, από τα Windows έως το Android της Google και το iOS της Apple.

Η “κατάχρηση” από την Ινδία
Αυτήν την πληροφόρηση αγόρασε η Ινδία και πιθανότατα μετέτρεψε σε “όπλο”, λέει ο 37χρονος διευθύνων σύμβουλος και συνιδρυτής της Exodus, Logan Brown.

Όπως αναφέρει στο Forbes, μετά από έρευνα που διεξήχθη, πιστεύει ότι η Ινδία επέλεξε κάποια από τις ευπάθειες των Windows που περιελαμβανόταν στην ροή πληροφοριών της Exodus -η οποία επέτρεπε εις βάθος πρόσβαση στο λειτουργικό σύστημα της Microsoft- και στη συνέχεια υπάλληλοι της ινδικής κυβέρνησης ή κάποιος τρίτος ανέλαβε να εκμεταλλευτεί την εν λόγω ευπάθεια για δόλιους σκοπούς.

Με αφορμή αυτό το γεγονός, όπως αναφέρει ο Brown, η εταιρεία του από τον Απρίλιο έχει σταματήσει την πώληση νέων πληροφοριών για zero-days στην Ινδία, ενώ συνεργάστηκε με τη Microsoft για την επιδιόρθωση των ευπαθειών.

Παρότι η Exodus δεν θέτει περιορισμούς στους πελάτες της για το πώς θα αξιοποιήσουν τα ευρήματά της, ο τρόπος που χρησιμοποίησε η Ινδία την έρευνα της εταιρείας ξεπέρασε τα όρια, λέει ο Brown και προσθέτει: “Μπορεί κάποιος να την χρησιμοποιήσει επιθετικά αν θέλει, αλλά όχι εάν πρόκειται να την μετατρέψει σε… όπλο κατά του Πακιστάν και της Κίνας. Δεν θέλω καμία συμμετοχή σε αυτό”. (Η πρεσβεία της Ινδίας στο Λονδίνο δεν ανταποκρίθηκε στο αίτημα του Forbes να σχολιάσει το θέμα).

Η εταιρεία διερεύνησε, επίσης, ένα δεύτερο περιστατικό που η Kaspersky έχει συνδέσει με την “Moses”. Πρόκειται για ένα “κενό” που επέτρεψε σε έναν χάκερ να αποκτήσει αυξημένα δικαιώματα σε υπολογιστή Windows. Παρότι το περιστατικό δεν συνδέθηκε μια κάποια συγκεκριμένη εκστρατεία κατασκοπείας, ο Brown επιβεβαιώνει ότι ήταν μια ευπάθεια που εντόπισε η εταιρεία του και πρόσθεσε ότι θα ήταν “λογικό” να υποθέσει κανείς ότι η Ινδία ή κάποιος τρίτος για λογαριασμό της, την μετέτρεψε και αυτήν σε “όπλο”.

Ο Brown, εν τω μεταξύ, διερευνά τώρα εάν ο κώδικάς του έχει διαρρεύσει ή έχει χρησιμοποιηθεί καταχρηστικά από άλλους πελάτες.

Πέρα από την καταχρηστική χρήση των δύο αυτών ευπαθειών που εντόπισε η Exodus, σύμφωνα με την Kaspersky, “τουλάχιστον έξι ευπάθειες” που ανακάλυψε η εταιρεία ακόμη έχουν γίνει αντικείμενο ευρύτερης “εκμετάλλευσης” τα τελευταία δύο χρόνια. Επίσης η Kaspersky αναφέρει ότι μια ακόμη ομάδα χάκερς που είναι γνωστή ως “DarkHotel” -η οποία ορισμένοι ερευνητές κυβερνοασφάλειας πιστεύουν ότι χρηματοδοτείται από τη Νότια Κορέα- έχει χρησιμοποιήσει τις zero-days της “Moses”. Η Νότια Κορέα δεν είναι πελάτης της Exodus. “Είμαστε σχεδόν σίγουροι ότι η Ινδία διέρρευσε μέρος της έρευνάς μας”, λέει ο Brown. “Τους κόψαμε την πρόσβαση και έκτοτε δεν έχει ακουστεί κάτι… οπότε η υπόθεσή μας ήταν σωστή”, προσθέτει.

Ανησυχίες για τα exploits
Οποιαδήποτε τέτοια διαρροή “ευπαθειών μηδενικής ημέρας” είναι ιδιαίτερα ανησυχητική για μια εταιρεία που προσπαθεί να διατηρήσει κρυφές περίπου 50 zero-days κάθε χρόνο, που αφορούν τα πιο δημοφιλή λειτουργικά συστήματα στον πλανήτη, από τα Windows έως το Android και το iOS.

Και ο Brown δεν είναι ο μόνος που βλέπει το δημιούργημά του να χρησιμοποιείται με τρόπους που δεν ήταν στις προθέσεις του. O Luca Todesco ένας προγραμματιστής που ασχολείται με τον εντοπισμό “ευπαθειών μηδενικής ημέρας” και μέλος της λίστας του Forbes “30 κάτω των 30”, έγραψε σε ανάρτησή του στο Twitter πέρυσι: “το χειρότερο αποτέλεσμα που θα μπορούσε να έχει η δουλειά μου” – αφορμή για το σχόλιό του ήταν η χρησιμοποίηση ενός κενού ασφαλείας στα iPhone από την κυβέρνηση της Κίνας για την παρακολούθηση της κοινότητας του Ουιγούρων, μειοψηφία που διώκει όλο και περισσότερο το Πεκίνο.

Όταν ερευνητές της Google αναφέρθηκαν με λεπτομέρειες στην υποκλοπή πληροφοριών από συσκευές iPhone που ανήκαν σε μέλη της κοινότητας των Ουιγούρων, ο Todesco συνειδητοποίησε ότι μία από τις τεχνικές που περιέγραψε ο τεχνολογικός κολοσσός έμοιαζε πολύ με ένα εργαλείο που είχε αναπτύξει ο ίδιος και είχε μοιραστεί με επαφές του στην Κίνα.

Σε μηνύματά του μέσω Twitter, ο Todesco αρνήθηκε ότι πούλησε κάποιον κώδικα πάνω στον οποίο στηρίχθηκαν οι κυβερνοεπιθέσεις, προσθέτοντας ωστόσο ότι μοιράστηκε δημοσίως τα ευρήματά του με πολλά, ανώνυμα άτομα. Ισχυρίστηκε ότι δεν ήξερε πώς ή γιατί ο κώδικας του κατέληξε να χρησιμοποιείται σε επιθέσεις κατά της κοινότητας των Ουιγούρων, αλλά πρόσθεσε: “Θα είχα αποφύγει να τον μοιραστώ αν το ήξερα”. Ο Todesco συνεχίζει να αναπτύσσει “εκμεταλλεύσεις” (exploits) ως μέλος της νεοϊδρυθείσας ιταλικής εταιρείας, Dataflow Security, της οποίας είναι συνιδρυτής.

Αυτό το είδος της κατάχρησης είναι αυτό που ανησυχεί τελευταία και τον 36χρονο Aaron Portnoy, πρώην στέλεχος και συνιδρυτή της Exodus του Brown. Ο Portnoy πέρασε μια δεκαετία αναπτύσσονται λογισμικό υποκλοπής που θα μπορούσε να παρακάμψει την ασφάλεια των μεγαλύτερων εταιρειών στον κόσμο – όπως οι Apple, Google, Microsoft. Όταν ο Portnoy αποχώρησε από την Exodus το 2015, συνέχισε να εργάζεται για τον κολοσσό αμυντικών συστημάτων Raytheon και για τη νεοφυή εταιρεία “ηλεκτρονικού πολέμου” Boldend, με έδρα το Σαν Ντιέγκο.

Ωστόσο, σήμερα, ο 36χρονος αυτοδίδακτος χάκερ, ο οποίος εγκατέλειψε τις προηγούμενες ασχολίες του για να χαράξει τη δική του καριέρα στον χώρο της κυβερνοασφάλειας, ανησυχεί γιατί όπως λέει ποτέ δεν ήξερε ποιος είχε πρόσβαση στον κώδικά του ή πώς τον χρησιμοποιούσε. Μετανιώνει που παρέδωσε τον έλεγχο των “εκμεταλλεύσεων ευπαθειών μηδενικών ημερών” που ανέπτυξε, στους πωλητές. “Είναι σχεδόν σαν να με εκμεταλλεύονταν… Ένιωθα σαν να ήμουν ένα εργαλείο που το χρησιμοποιούσαν για έναν μεγαλύτερο σκοπό για τον οποίο πραγματικά δεν είχα ιδέα”, λέει ο Portnoy, ο οποίος ασχολείται τώρα με την Randori, μια εταιρεία κυβερνοασφάλειας που εδρεύει στη Μασαχουσέτη. “Δεν ξέρω αν θα εμπιστευόμουν οποιαδήποτε κυβέρνηση να κάνει τις επιλογές που θα έκανα εγώ”.

Η Exodus είχε δίκιο που διέκοψε τη συνεργασία της με την Ινδία, προσθέτει η Katie Moussouris της Luta Security, επισημαίνοντας ότι τη μεγαλύτερη ευθύνη για την πρόληψη της κατάχρησης τέτοιων εργαλείων φέρουν οι αγοραστές.

Ο Brown σημειώνει ότι στα τόσα χρονιά του στον χώρο χρειάστηκε να διακόψει τη συνεργασία του μόνο με έναν ακόμη πελάτη, μια υπηρεσία της γαλλικής αστυνομίας, η οποία χρησιμοποίησε την τεχνολογία του για την αποκάλυψη παιδόφιλων που κρύβονταν στο “σκοτεινό διαδίκτυο”. “Όταν τα δεδομένα μας γίνονται προσβάσιμα στο κοινό, ειδικά σε κακόβουλους χρήστες, πρόκειται για παράβαση της σύμβασης”, εξηγεί.

Ο Pedram Amini, σύμβουλος της Exodus και ιδρυτής της Πρωτοβουλίας Zero Day, όπου κάποτε εργάζονταν ο Brown, ο Portnoy και ο ένας ακόμη από τους συνιδρυτές της Exodus, λέει ότι το ρεκόρ της εταιρείας να έχει διακόψει με μόνο δύο πελάτες τις σχέσεις της σε μια δεκαετία, είναι εντυπωσιακό. Ο Amini προσθέτει ότι είναι ικανοποιημένος με τον τρόπο “που περπατά η Exodus σε τεντωμένο σχοινί” όταν επιλέγει τους πελάτες της. “Δεν θα εμπλεκόμουν ποτέ με αυτήν την εταιρεία έαν, για παράδειγμα, συνεργαζόμασταν με τους Σαουδάραβες”, προσθέτει.

Η απειλή της ψηφιακής κατασκοπείας
Γνωρίζοντας ότι οι πληροφορίες της για τις zero-days μπορούν να χρησιμοποιηθούν για επιθετικούς σκοπούς, η εταιρεία του Brown θα μπορούσε, ωστόσο, να επιλέξει να μην πουλήσει στην Ινδία, μια χώρα που έχει κατηγορηθεί για κατάχρηση λογισμικού κατασκοπείας και προσφάτως αποκαλύφθηκε ότι χρησιμοποίησε παγκοσμίως τα σχετικά εργαλεία της ισραηλινής εταιρείας NSO (αποτιμάται στο 1 δισ. δολάρια).

Υπενθυμίζεται ότι νωρίτερα φέτος, ο συνασπισμός εφημερίδων και μη κερδοσκοπικών οργανώσεων “Pegasus Project” ισχυρίστηκε ότι τα τηλέφωνα του επικεφαλής του αντιπολιτευτικού κόμματος στο Ινδικό Εθνικό Κογκρέσο, Rahul Gandhi, και ορισμένων εκ των στενών συνεργατών του είχαν στοχοποιηθεί, γεγονός που πυροδότησε κατηγορίες περί προδοσίας από την κυβέρνηση του πρωθυπουργού Narendra Modi. (Η κυβέρνηση αρνήθηκε οποιαδήποτε μη εξουσιοδοτημένη χρήση λογισμικού υποκλοπής).

Εν τω μεταξύ, το 2019, το WhatsApp του Facebook ανέφερε ότι Ινδοί δημοσιογράφοι και ακτιβιστές είχαν στοχοποιηθεί μέσω του λογισμικού παρακολούθησης iPhone της NSO. “Πουλώντας τεχνολογία που μπορεί να χρησιμοποιηθεί για επιθετικούς σκοπούς στην ινδική κυβέρνηση, θα βρεθείς ενδεχομένως να τροφοδοτείς αυτό το είδος της κατάχρησης”, σημειώνει ο John Scott-Railton, ανώτερος ερευνητής στο Citizen Lab του Munk School του Πανεπιστημίου του Τορόντο. Ομοίως, ο Todesco θα μπορούσε να επιλέξει να κρατήσει μυστικά τα ευρήματά του και όχι να τα μοιραστεί με κινεζικές επαφές.

Ο ρόλος των ΗΠΑ
Νωρίτερα φέτος, ο πρόεδρος της Microsoft, Brad Smith, προειδοποίησε για τους κινδύνους ενέχει η παγκόσμια βιομηχανία ψηφιακής κατασκοπείας, επικαλούμενος την υπόθεση της NSO. Τόνισε ότι οι εταιρείες του χώρου παρέχουν “ακόμη περισσότερα μέσα σε επιθετικά κράτη” και επιδεινώνουν “τον πολλαπλασιασμό των κυβερνοεπιθέσεων σε άλλες κυβερνήσεις που έχουν τα χρήματα αλλά όχι τους ανθρώπους για να δημιουργήσουν τα δικά τους όπλα”.

Με την υπόθεση της Exodus στην Ινδία, εγείρονται ανησυχίες ότι οι Αμερικανοί επιδεινώνουν ακόμη περισσότερο την κατάσταση. Το Forbes αποκάλυψε νωρίτερα φέτος ότι η Battery, μια εταιρεία επιχειρηματικών κεφαλαίων με έδρα τη Βοστώνη, βοήθησε κρυφά στη δημιουργία της Paragon, μιας επίσης ισραηλινής εταιρείας ομοειδούς της NSO.

Επίσης, προ ημερών, το υπουργός Δικαιοσύνης αποκάλυψε ότι δύο αμερικανικές εταιρείες πούλησαν λογισμικό υποκλοπής iPhone -κάθε εργαλείο πουλήθηκε έναντι 1,3 εκατ. δολαρίων- σε εταιρεία στα Ηνωμένα Αραβικά Εμιράτα η οποία εμπλέκεται σε υποθέσεις κατασκοπείας για λογαριασμό των Εμιράτων. Σύμφωνα με το Reuters, αυτά τα iOS exploits χρησιμοποιήθηκαν για τη στοχοποίηση εκατοντάδων ανθρώπων, μεταξύ των οποίων ο Εμίρης του Κατάρ και ένας βραβευμένος με Νόμπελ ακτιβιστής υπέρ των ανθρωπίνων δικαιωμάτων στην Υεμένη.

“Πρέπει να καταλάβουμε τι ρόλο παίζει η ιδιωτική ‘επιθετική’ αγορά των ΗΠΑ στην τροφοδοσία… τέτοιων προβλημάτων ανά τον κόσμο”, σημειώνει ο Scott-Railton.

Οι δυνατότητες που προσφέρει η συγκεκριμένη βιομηχανία, πάντως, φαίνεται ότι ανοίγει όλο και περισσότερο την “όρεξη” των ΗΠΑ για λογισμικό υποκλοπής κάθε είδους τεχνολογίας. Νωρίτερα φέτος, δύο πράκτορες του FBI σκοτώθηκαν από ύποπτο παιδόφιλο στη Φλόριντα, καθώς η κάμερα που είχε ο τελευταίος στο κουδούνι του τον ειδοποίησε για την παρουσία των εκπροσώπων του νόμου.

Ο Brown αναφέρει ότι μετά τους δύο αυτούς φόνους, το FBI επικοινώνησε με την Exodus λέγοντας ότι χρειάζεται καλύτερες “δυνατότητες παρακολούθησης” για συσκευές όπως οι οικιακές κάμερες. Δεδομένου δε ότι πολλές υπηρεσίες έχουν επιστρέψει πλέον στα γραφεία τους, μετά την άρση των μέτρων προστασίας από την πανδημία του κορονοϊού, όπως προσθέτει ο Brown, η ζήτηση, ειδικά για εργαλεία παρακολούθησης έξυπνων κινητών, έχει αυξηθεί. “Όλοι ενδιαφέρονται για τα κινητά”, λέει.

ΠΗΓΗ: capital.gr