Μια «κερκόπορτα» στα Windows φέρονται να αξιοποίησαν ρώσοι χάκερ για την παρακολούθηση υπολογιστών του ΝΑΤΟ και κυβερνήσεων της Δύσης, σύμφωνα με αναφορά της εταιρείας cyber-intelligence iSight Partners.

Σύμφωνα με την εν λόγω αναφορά, το ίδιο «bug» χρησιμοποιήθηκε και για την απόκτηση πρόσβασης σε υπολογιστές στην Ουκρανία και την Πολωνία. Δεν είναι γνωστό τι αρχεία βρέθηκαν στο «στόχαστρο», ωστόσο θεωρείται ότι πιθανώς να είχαν να κάνουν με την κρίση στην Ουκρανία.

Από πλευράς της η Microsoft δεσμεύτηκε να διορθώσει το πρόβλημα, με αυτόματο update στις επηρεαζόμενες εκδόσεις των Windows. Παράλληλα, εκπρόσωπος του ΝΑΤΟ δήλωσε ότι η Συμμαχία εξετάζει στοιχεία σχετικά με πιθανό hacking ή άλλες αντίστοιχες δραστηριότητες στα συνδεδεμένα με το Ίντερνετ δίκτυά του. «Η ανάλυση διεξάγεται από τους ειδικούς μας, αξιοποιώντας γνώση που έχει αποκτηθεί από προηγούμενες κυβερνοεκστρατείες εναντίον του ΝΑΤΟ, για να αξιολογηθούν πιθανές επιπτώσεις. Δεν αναμένεται κάποια επίπτωση στα απόρρητα επιχειρησιακά δίκτυα του ΝΑΤΟ, που είναι αποκομμένα από το Ίντερνετ».

Η εν λόγω εκστρατεία βαφτίστηκε «Sandworm», καθώς οι ερευνητές εντόπισαν στον κώδικα αναφορές στη διάσημη σειρά βιβλίων επιστημονικής φαντασίας του Φρανκ Χέρμπερτ, «Dune» (η παραπομπή είναι στα γιγαντιαία πλάσματα που λατρεύονταν ως θεότητες της ερήμου στον –εμβληματικό στα χρονικά της επιστημονικής φαντασίας- πλανήτη όπου τοποθετείται η δράση της σειράς). Στα θύματά της περιλαμβάνονται επίσης εταιρείες του χώρου της ενέργειας, των τηλεπικοινωνιών και της άμυνας, άτομα που συμμετείχαν στη συνδιάσκεψη GlobSec περί εθνικής ασφαλείας και ένας ακαδημαϊκός- ειδικός σε θέματα ρωσο-ουκρανικών σχέσεων. Η εκστρατεία ήταν σε εξέλιξη για χρονικό διάστημα πέντε ετών, αν και η χρήση του αποκαλούμενου zero-day vulnerability στα Windows φαίνεται να άρχισε μόλις τον Αύγουστο, επιτρέποντας στους χάκερ να κλιμακώσουν την έκτασή της, σημαδεύοντας περισσότερους στόχους.

Όπως αναφέρεται σε σχετικό δημοσίευμα του ΒΒC, αν και η iSight δεν ήταν σε θέση να πει με σιγουριά εάν οι χάκερ σχετίζονταν με τη ρωσική κυβέρνηση, αναλυτές εκτιμούν ότι η εκστρατεία έχαιρε υποστήριξης κάποιας κρατικής οντότητας, καθώς οι δράστες ασχολούνταν με τη συλλογή πληροφοριών και όχι με την επιδίωξη χρηματικού οφέλους. Επίσης, όπως σημειώνει ο Guardian, οι στόχοι περιελάμβαναν κάποιους από τους πλέον ένθερμους επικριτές της προσάρτησης της Κριμαίας στη Ρωσία και της υποστήριξής της προς τους φιλορώσους αποσχιστές. Όσον αφορά στην προέλευση των δραστών, η χρήση της ρωσικής γλώσσας σε πολλά από τα αρχεία που χρησιμοποιήθηκαν στις επιθέσεις θεωρείται στοιχείο βαρύνουσας σημασίας.

Σύμφωνα με την αναφορά της εταιρείας, η εν λόγω «κερκόπορτα» αφορά σε όλες της υποστηριζόμενες εκδόσεις των Microsoft Windows (τα ΧΡ δεν επηρεάζονται) και Windows Server 2008 και 2012. Η iSight παράλληλα επισημαίνει αύξηση της κυβερνοκατασκοπευτικής δραστηριότητας που προέρχεται από τη Ρωσία, σημειώνοντας ότι επί της παρούσης παρακολουθούνται πολλαπλές ομάδες με διαφορετικές αποστολές, στόχους και δυνατότητες. Όπως τονίζεται, παρακολουθούνται εκστρατείες σε εξέλιξη από τουλάχιστον πέντε ομάδες.

Η ομάδα που βρίσκεται πίσω από το Sandworm είχε επισημανθεί και από την εταιρεία F-Secure ως «Quedach», η οποία είχε αντιληφθεί ένα τμήμα των δραστηριοτήτων της. Η iSight, σύμφωνα με την αναφορά της, παρακολουθεί τις δραστηριότητες της ομάδας από τα τέλη του 2013 και κατά τη διάρκεια του 2014, ενώ θεωρεί πως η «γένεσή» της εντοπίζεται κάπου κατά το 2009. Η τεχνική που φαίνεται να προτιμάται είναι το αποκαλούμενο spear phishing, με αποστολή κακόβουλα συνημμένων αρχείων στους στόχους. Παράλληλα, επισημαίνεται ότι έχει διαπιστωθεί χρήση πολλαπλών μεθόδων, περιλαμβανομένης της χρήσης του BlackEnergy crimeware.

Πηγη