The Warsaw
Sieć internetowa odgrywa znaczącą rolę na geopolitycznej planszy. Służby skonfliktowanych krajów przeprowadzają cybernetyczne operacje szpiegowskie oraz dokonują precyzyjnie wycelowanych ataków dezinformacyjnych. Hakerzy opłacani przez rządy włamują się do systemów wroga, a czasem nawet sojusznika, by zyskać polityczną przewagę.
Dawniej w przypadku operacji szpiegowskich, dywersyjnych czy nawet dezinformacyjnych znalezienie sprawcy zwykle równało się ze zidentyfikowaniem strony odpowiedzialnej za zaplanowaną akcję. Obecnie w erze cyfrowych, zdalnych cyberataków nie jest to łatwe zadanie. Atrybucja, czyli przypisanie odpowiedzialności, szczególnie w przypadku relacji międzypaństwowych, to bardzo wrażliwy temat. Stuprocentowa pewność poprawnego przypisania odpowiedzialności za zdalny atak w kontekście rozproszonych agresorów, sieci VPN, TOR, botnetów, używanych metod anonimizacji, sojuszy, cybernajemników i operacji wykonywanych pod fałszywą flagą, choć technicznie bardzo trudna do osiągnięcia, jest możliwa.
Proces atrybucji, będący w zdecydowanej mierze procesem technicznym, zawiera w sobie również wymiar polityczno-ekonomiczny. Część techniczna skupia się na bezpośrednich dowodach cyberataku, czyli cyfrowych śladach. Źródłach połączeń, logach, przeglądzie złośliwego kodu wykorzystanego podczas ataku i wielu innych. Badacze skrupulatnie sprawdzają kod i moduły oprogramowania użytego do ataku. Poszukują znanych sygnatur i ewentualnych śladów pozostawionych przez autorów. Sprawdzane są też logi aktywności sieciowej z czasu zdarzenia, artefakty językowe oprogramowania, wiadomości e-mail czy inne komponenty wykorzystywane podczas ataku. Technicy badają również luki w zabezpieczeniach wykorzystywane przez złośliwe oprogramowanie oraz sposób, w jaki dostało się do systemu ofiary. Próbują również odpowiedzieć na pytania: czego szukał i co chciał osiągnąć intruz. To ostatnie zagadnienie często wymaga analizy ekonomicznej, a nawet geopolitycznej. Mniej techniczną część pracy analityków można porównać do działań kryminalnych śledczych, którzy w poszukiwaniu podejrzanych stosują koncept MMO.
Technika MMO opiera się na identyfikacji odpowiedzi na trzy pytania o to, kto miał: możliwości, motyw i okazję do popełnienia przestępstwa. Pozwala to zawęzić listę podejrzanych, a czasami nawet wprost wskazać, kto dokonał przestępstwa. W przypadku ataków cybernetycznych, w szczególności tych o podłożu geopolitycznym, pytanie o atrybucję zamienia się z „kto to zrobił?” na „kogo należy obwinić?”. Poprawna atrybucja pomaga w rozpoczęciu procesu odszkodowawczego bądź karnego, w wyniku którego winni staną przed sądem, o ile efektywność legislatury zaatakowanego kraju sięga wystarczająco daleko. Atrybucja ma też ogromne znaczenie obronne. Przypisanie odpowiedzialności za międzynarodowy cyberatak konkretnym jednostkom, a co ważniejsze, wskazanie zleceniodawców, ma wielki potencjał odstraszający.
W ostatnich latach mieliśmy do czynienia z aktywną działalnością USA i ich międzynarodowych partnerów w zakresie poprawnego wskazywania sprawców serii cyberataków. W Polsce służby odpowiedzialne za analizę niedawnych włamań na skrzynki pocztowe polityków oraz ataku na stronę internetową Akademii Sztuki Wojennej również wskazały winnych. Najbardziej spektakularnym przykładem obrazującym skomplikowaną pracę przy użyciu zaawansowanych technik atrybucji było zidentyfikowanie przez agencje rządowe USA osób odpowiedzialnych za ataki na infrastrukturę krytyczną, m.in. systemy Westinghouse Electric i US Steel. W wyniku śledztwa postawiono zarzuty popełnienia przestępstwa naruszenia systemów informatycznych pięciu żołnierzom jednostki 61398 Chińskiej Armii Ludowo-Wyzwoleńczej.
Nie zawsze początkowa atrybucja jest trafna. W 2019 i 2020 roku hakerzy włamali się do komputerów izraelskiego rządu i firm technologicznych. Pierwsze zgromadzone dowody wskazywały bezpośrednio na Iran, największego politycznego wroga Izraela. Cyberprzestępcy wykorzystali narzędzia, których zwykle używali irańscy hakerzy. Znaleziono artefakty językowe będące dowodem na to, że autorzy ataku posługiwali się językiem nowoperskim.
Hakerzy z powodzeniem zaatakowali izraelski rząd, firmy technologiczne i telekomunikacyjne. Co więcej, skutecznie ukryli swoją tożsamość – pozostawili po sobie ślady wprowadzające w błąd analityków. Najnowszy raport firmy FireEye, która przy współpracy z izraelskimi agencjami wojskowymi ponownie przejrzała dane z włamań do izraelskich podmiotów, wskazała nowego winnego. Analiza wykazała, że związana z chińskim rządem grupa UNC215 w tym czasie używała identycznych technik, w szczególności utrudniających atrybucję. Analitycy FireEye nie posiadają obecnie wystarczających informacji, aby dokładnie sklasyfikować grupę czy bezpośrednio wskazać jej członków. Nie mają jednak wątpliwości co do związku UNC215 z chińskim rządem i jej aktywności w regionie. Z powyższych wynika, że to nie Iran odpowiada za ataki z 2019 i 2020 roku.
W dziedzinie cyberbezpieczeństwa wymaganie dowodów ponad wszelką wątpliwość powinno być obligatoryjne. Oczywiście nie zawsze jest możliwe zgromadzenie wystarczającej ich liczby czy osiągnięcie stuprocentowej pewności co do ich autentyczności. Dodatkowy problem stanowi też państwowy interes polityczny, powodujący, że zwaśnione państwa bardzo chętnie przypisują sobie wzajemnie odpowiedzialność za incydenty w cyberprzestrzeni.
Przypisy1.Sam Halbati, Means, motive, opportunity then crime, The Independent, 2014.2. Jason Healey, The Spectrum of National Responsibility for Cyberattacks, The Brown Journal of World Affairs, Vol. 18, No. 1, 2011.3.https://www.pap.pl/aktualnosci/news%2C631945%2Czaryn-atak-na-strone-akademii-sztuki-wojennej-fake-news-i-dezinformacja, dostęp: 19.10.2021.4.Blaize Misztal, Problem z przypisaniem cyberincydentu jego sprawcom, cyberdefence24, 2016
Wiktor Sędkowski
ukończył teleinformatykę na Politechnice Wrocławskiej, specjalizując się w dziedzinie bezpieczeństwa cybernetycznego. Jest ekspertem do spraw zagrożeń cyfrowych. Posiadacz certyfikatu CISSP, OSCP i MCTS, pracował jako inżynier i solution architect dla wiodących firm informatycznych.
Niniejszy artykuł powstał w ramach działalności społeczno-misyjnej polskiego think tanku Warsaw Institute. Jeśli cenicie Państwo przygotowane przez naszych ekspertów treści, apelujemy o wsparcie finansowe naszej działalności realizowanej na zasadzie non-profit. Do regularnych darczyńców przysyłamy bezpłatnie anglojęzyczny kwartalnik The Warsaw Institute Review.Więcej informacji: www.warsawinstitute.org/support/Darowizny można dokonać bezpośrednio na konta bankowe:USD: PL 82 1020 4900 0000 8502 3060 4017EUR: PL 85 1020 4900 0000 8902 3063 7814GBP: PL 18 1020 4900 0000 8302 3069 6641PLN : PL 41 1020 1097 0000 7202 0268 6152SWIFT: BPKOPLPWDziękujemy!
Warsaw Institute to polski think tank zajmujący się geopolityką. Główne obszary badawcze to stosunki międzynarodowe, bezpieczeństwo energetyczne oraz obronność. Warsaw Institute wspiera Inicjatywę Trójmorza oraz stosunki transatlantyckie.
Warsaw Institute is a Polish think tank focusing on geopolitics. The main research areas are international relations, energy security and defense. The Warsaw Institute supports the Three Seas Initiative and transatlantic relations.
Ctrl+F: Searching for the Perpetrator
The Internet plays a significant role on the geopolitical board. The intelligence services of conflicting countries carry out cyber espionage operations and precisely targeted disinformation attacks. Hackers paid by governments gain access to the systems of their enemies, and sometimes even their allies, in order to get political advantage.
In the past, in terms of espionage, diversionary, or even disinformation operations, finding the perpetrator usually equated to identifying the party responsible for such actions. Today, in the era of digital and remote cyberattacks, this is not an easy task. Attribution, or the assignment of responsibility, especially in the case of interstate relations, is a highly sensitive topic. In the context of decentralized aggressors, VPNs, Tor networks, botnets, anonymization techniques, alliances, cyber mercenaries, and false flag operations, the attribution of a remote attack with 100% certainty is, technically, incredibly difficult, yet still possible.
The attribution process, which is decidedly technical, also includes political and economic aspects. The technical part focuses on the direct evidences of cyberattacks, known as digital footprints, which include connection sources, logs, a review of the malicious code used during the attack, and much more. Analysts meticulously examine the code and software modules used in the attack. They look for known signatures and potential traces left by the authors. Network activity logs from the time of the incident, language artifacts of the software, emails, or other components used during the attack are also checked. Moreover, experts examine the security vulnerabilities used by the malware and how it entered the victim’s system. Additionally, they attempt to find out what the intruder was looking for and what was the purpose of the attack. The latter often requires economic and even geopolitical analysis. The less technical part of the analysts’ work can be compared to that of criminal investigators who use the MMO method in their search for suspects.
The MMO method is based on identifying who had the means, motive, and opportunity to commit a crime. This makes it possible to narrow down the list of suspects and sometimes even readily identify who committed the crime. In the case of cyberattacks, particularly the geopolitically inspired ones, the question concerning the attribution changes from “who did it?” to “who is to blame?” Correct attribution helps to begin the process of seeking compensation or criminal prosecution that will bring the guilty to justice, should the legislature of the attacked country be powerful enough. Attribution is highly important also in terms of defense. Assigning responsibility for an international cyberattack to specific individuals, and more importantly – identifying its ordering party, has great deterrence potential.
In recent years, we could observe that the US and its international partners were correctly identifying the perpetrators of a series of cyberattacks. In Poland, the intelligence services responsible for analyzing the recent cases of compromised emails of politicians and the attack on the website of the War Studies Academy have also identified those responsible. The most spectacular example illustrating the complex work and the use of advanced attribution techniques was the identification of those responsible for attacks on critical infrastructure, including the systems of the Westinghouse Electric Company and the US Steel Corporation, by US federal government agencies. As a result of the investigation, five soldiers from the China’s People’s Liberation Army, Unit 61398, were charged with hacking.
The first attribution is not always accurate. In 2019 and 2020, hackers broke into the computers of the Israeli government and technology companies. The initially gathered evidence pointed directly to Iran, Israel’s biggest political enemy. The cybercriminals used tools typically used by Iranian hackers. Language artifacts evidencing that the authors of the attack used Farsi were also found.
Hackers have successfully attacked the Israeli government as well as technology and telecommunications companies. What is more, they have successfully concealed their identities, leaving behind traces that mislead analysts. A recent report by FireEye, a company which yet again reviewed the data from the hacks on Israeli entities in cooperation with Israeli military agencies, have identified a new culprit. The analysis found that at the time the UNC215 group, linked to the Chinese government, used identical techniques, particularly ones making attribution difficult. Currently, the analysts of the FireEye do not have sufficient information to accurately classify the group or directly identify its members. Instead, they are certain that the UNC215 group is linked to the Chinese government and is active in the region. In line with the above, Iran was not responsible for the 2019 and 2020 attacks.
In cybersecurity, requiring a proof beyond a reasonable doubt should be mandatory. Of course, it is not always possible to gather sufficient evidence or achieve complete certainty of its authenticity. An additional problem is also the political interest of states, as a result of which the conflicted countries are eager to attribute responsibility for cyber incidents to each other.
Wiktor Sędkowski graduated in Teleinformatics at the Wrocław University of Science and Technology, specialized in cybersecurity field. He is an expert on cyber threats. CISSP, OSCP and MCTS certificates holder. Worked as an engineer and solution architect for leading IT companies.
