Zadnjih pet-šest godina sigurno, ali prema nekim podacima i puno duže, traje uspon tzv. cyber-špijunskih platformi, naprednih upornih prijetnji (APT -- Advanced Persistant Threats). Godinama i godinama svjedoci smo raznih više ili manje uspješnih pokušaja izrade malwarea. Postali smo svjesni da je ta industrija prerasla u ozbiljan biznis u koji se ubacuju ne samo raznorazni wannabe kreatori, već i cijele organizirane grupe iskusnih softveraša, kao i državne i privatne špijunske, te druge agencije. Tako su nas, vremenom, često nakon godina skrivanja i prikrivene operative ukazanjem počastili Project Sauron (iliti Strider), Reign, Equation, Duqu i Careto.

Ako bismo pogledali zajedničke odlike ovih malicioznih odlikaša redom bismo našli: korištenje ranjivosti nultog dana (zero-day vulnerability); nepoznate i često neotkrivene vektore napada; sposobnost prikrivanja tijekom više godina; korištenje dosad neviđenih tehnika prikrivanja, kao i nedokumentiranih funkcionalnosti operativnih sustava.

Ovaj maliciozni softver u pravilu je ciljao državna tijela u raznim zemljama, znanstvene institucije, telekomunikacijske tvrtke i financijski sektor pri čemu su geografska grupiranja interesantna, budući da su napadi bili koncentrirani na istoku, ali i na zapadu, a zadnja grupa napada je izgleda ograničena na Afriku i dio Bliskog istoka.

Kad smo moj frend Boris Debić i ja 1996. godine na Virus Bulletin konferenciji predstavili rad ICT_T Viruses (Internet Channel Enabled Threats Viruses): New Danger Rising, smatrali smo da smo tada otkrili jednu cijelu, a danas vrlo razvijenu klasu napada na sigurnost zasnovanu na korištenju interneta. U jednom dijelu sigurno smo bili u pravu, budući da je tek dvije godine kasnije Cult of the Dead Cow objavio svoj Black Orifice. No, neki podaci o usponu naprednih upornih prijetnji ukazuju da neke od njih, bitno naprednije od Black Orificea, vjerojatno korijenje vuku još iz te, sudbonosne, 1996. godine -- dakle te godine kada smo ih Boris i ja crno na bijelome i predvidjeli.

Jedno od pitanja koje često dobivamo, na temelju predviđanja trendova, jest -- kako znamo? Pa, uglavnom ne možemo tvrditi s apsolutnom sigurnošću, ali zaključujemo. Ako postoje tehnološke pretpostavke, ako postoji interes -- e onda sigurno postoji i netko tko će to napraviti. Tako smo, puno prije nego što su preko Snowdena i Assangea procurili dokumenti koji to potvrđuju, predvidjeli postojanje masovnog nadzora i indiskriminativnog špijuniranja vlastitih i tuđih građana i organizacija, u kojem -- među ostalim -- (danas dokazano) sudjeluju "najčasnije" i odlikaške firme poput Facebooka, Googlea i drugih, bez obzira što one takve aktivnosti uporno poriču. Danas postoje cijele državne, paradržavne i privatne špijunske informatičke ne samo industrije, već i cijele infrastrukture, koje se naprosto natječu, ali često i surađuju, u pokušaju dohvaćanja svega što još eventualno ne znaju. Pri tome se, naravno, ne biraju metode.

Praćkom u oko

Tako je najnovija, ne birana, ali odabrana metoda još jedan proizvod iz tvornice naprednih upornih prijetnji -- Slingshot. I ovaj špijunski malware otkrili su vrijedni istraživači iz poznate sigurnosne firme Kaspersky. Radi se o vrlo složenoj cyber-špijunskoj platformi koja je otkrivena na stotinjak računala, uglavnom po zemljama Bliskog istoka i Afrike.

Stručnjaci tvrtke Kaspersky zaključuju kako se radi o novoj, prije neviđenoj cyber-špijunskoj platformi koja se po složenosti nadmeće s dosad najsloženijim uradcima - Project Sauron i Reign. Slingshot je aktivan još od 2012. godine i kao vektor napada može koristiti MikroTik rutere. Korištenje rutera kao ulaznog vektora iznimno je interesantno, jer je napad na internetu izloženu specijaliziranu opremu na neki način Sveti Gral hakiranja. Vrijedi podsjetiti da je naš kolega, hrvatski bijeli haker Leon Juranić, 2013. godine otkrio ranjivost nultog dana u univerzalnom Plug and Play protokolu rutera koji je izvorno razvila kompanija Broadcom. U trenutku otkrivanja, ranjivosti su bili izloženi deseci milijuna rutera. Samo jedan pogođeni model Cisco Linksys WRT54GL prodan je u najmanje 20 milijuna primjeraka. No, pored Linksysa pogođene su stotine rutera više desetaka proizvođača kao što su ASUS, D-Link, ZyXEL, US Robotics, TP-Link, Netgear, D-Link itd. U trenutku objavljivanja podataka o ranjivosti, skeniranje koje je proveo Metasploit/Rapid7 pronašlo je više od 15 milijuna ranjivih rutera na internetu, koje je bilo moguće odmah hakirati. Kada bi se danas napravilo isto istraživanje, gotovo bi sigurno pokazalo da se broj ranjivih rutera nije bitno smanjio, budući da se velik broj njih ni ne dograđuje, niti su proizvođači u međuvremenu izdali potrebne dogradnje.

No, prema istraživanju Kasperskog MikroTik ruteri samo su jedan od ulaznih vektora, dok je u većini slučajeva način infekcije ostao neotkriven. Slingshot je nazvan po tekstu unutar malicioznog loadera, koji inicijalno zamjenjuje legitimnu Windows biblioteku "scesrv.dll" malicioznom točno jednake veličine. Kako bi to postigao, dio izvorne biblioteke komprimira se i umeće kao podatak u kod. Slingshot koristi razne napredne tehnike kako bi spriječio otkrivanje, namjerno, ali i nenamjerno uklanjanje (npr. putem dogradnji). Maliciozna platforma sadrži više modula od kojih su posebno interesantni Cahnadr (iliti Ndriver), kernel modul koji ima ugrađene funkcionalnosti protiv analize/debugiranja, kao i protiv otkrivanja rootkit tehnika. Ovaj modul ubacuje i kasnije podržava GollumApp, "korisnički" modul. Cahnadr prati mrežne komponente, prikriva vlastiti promet, prati i pazi da li se napadnuti sustav gasi itd. GollumApp s druge strane prikuplja lozinke, sadržaj clipboarda, prati kameru, korištenje diska, USB uređaja, korištenje tastature, aktivnosti na desktopu. Pored ostalog može pokrenuti novi proces ili injektirati maliciozni modul u neki aktivni proces. Jedna od mnogih naprednih funkcionalnosti uključuje čitanje enkriptiranog Mozilla prometa.

Za izvršavanje vlastitog koda u kernel modu Slingshot za zaobilaženje tzv. Driver Signature Enforcementa koristi "potpisane" ranjive drivere i izvršava svoj kod preko njihovih ranjivosti. Prikrivanje aktivnosti je posebna priča, Slingshot koristi ekriptirani virtualni file system koji postavlja na neiskorišteni dio diska, koristi enkripciju, direktno poziva sistemske servise radi izbjegavanja standardnih hookova koje koriste antivirusni i drugi programi za zaštitu, a može isključiti pojedine vlastite komponente ako uoči korištenje alata za debugiranje ili forenziku.

Koga zanimaju pojedinosti o ovoj složenoj malicioznoj špijunskoj platformi, Kaspersky je objavio analizu od 25 stranica. Iz te analize jasno je da se radi o koordiniranom naporu iznimno dobro obaviještenog i tehnološki kompetentnog tima stručnjaka, koji svoje pipke sigurno proteže od proizvođača operativnih sustava poput Microsofta, pa sve do sigurnosnih tvrtki i hardverskih kompanija. Oni su, također, iznimno verzirani u analizi softvera i istraživanju ranjivosti nultog dana, koje su očito postale conditio sine qua non neprimjetne infiltracije i sigurno jedan od razloga zašto inicijalni vektori napada naprednih upornih prijetnji redovito ostaju neotkriveni.

Da li je proizvođač ovog alata NSA, CIA ili neka druga iznimno važna i vrlo tajna troslovna agencija manje je bitno, važno je da su te prijetnje tu već godinama i da će ostati, predvidivo u još složenijem i opasnijem obliku.

Na logično pitanje koje se odmah nameće -- kako se zaštititi od ovako naprednih i napasnih rizika, teško možemo ponuditi zadovoljavajući odgovor. Sigurnosna industrija godinama kaska za proizvođačima malicioznog koda, a miljama je iza ovakvih složenih malicioznih platformi. Odmah možemo otkloniti i dizanje kuke i motike na proizvođače softvera i operativnih sustava, u ovom slučaju već notornog Microsofta -- praktično nema platforme koju već nisu pohodile napredne uporne prijetnje. Tako su redom već "pali", OS X, unixoidi, pa čak i mobilne platforme poput Androida i iOS-a. Proizvođačima softvera na ruku ne ide ni situacija oko ranjivosti nultog dana, za koje "zainteresirane" strane nude novčane naknade. Što je složenija ranjivost, to je cijena veća. I da, sve je to potpuno legalno, bar u većini pravnih sustava, a obavještajne agencije i razne "posvećene" sigurnosne firme ionako su iznad zakona i pravnih sustava. Osim toga, ranjivosti nultog dana su svugdje oko nas, ne samo u komercijalnim i otvorenim operativnim sustavima i aplikacijama, već i u privatnom, pa čak i u unikatnom softveru.

Već smo jednom jasno rekli (i napisali) da su ranjivosti nultog dana ne samo Clear and Present Danger, već glavni razlog i vrh koplja svih iole značajnih kompromitacija. Kako je vaš autor prije nekoliko godina prisilno i nekorektno izbačen iz antivirusne industrije, prebacio se u naprednu aplikativnu sigurnost u okviru koje istražujemo ranjivosti nultog dana. Obično skromno tvrdimo da smo u sigurnosnim testiranjima oko 80% uspješni, dakle da kompromitiramo 8 od 10 testiranih sustava, pa se svima ostaje nadati da se nalaze u onih relativno sigurnih 20%, te da ih u konačnici neće pohoditi neki hakeri bolji od naših.

Pored toga, iako sigurno puno toga možete učiniti za sigurnost vlastitih aplikacija (što velika većina ne radi ili izbjegava raditi), s druge strane vrlo malo možete učiniti na uklanjanju ugrađenih sigurnosnih propusta na operativnim sustavima i tuđim aplikacijama koje koristite -- jer čak i ako znate za problem, svejedno ste prepušteni na milost i nemilost proizvođača o čijoj volji i agilnosti isključivo ovisi da li će i kada problem biti uklonjen. Također, ne manje bitno, sigurnosna rješenja i aplikacije samo su dijelom od pomoći i to najčešće post festum, dakle tek nakon što je maliciozni kod već godinama haračio po internetu i vašim računalima, pa je njihova pomoć u najmanju ruku upitna.

Lucijan Carić rođen je 1961. godine u Zagrebu. Po zvanju diplomirani pravnik, stručnjak je za sigurnost informatičkih sustava, jedan od pionira informatičke tehnologije i sigurnosti informatičkih sustava, potekao iz legendarnog Multimedijskog centra (MMC), poduzetnik, investitor, kolumnist, komentator, autor stručnih i popularnih tekstova. Osnivač je tvrtke Qubis i dugogodišnji partner jednog od vodećih proizvođača sigurnosnog softvera, a od 2015. godine investitor i CEO u DefenseCode, tvrtki specijaliziranoj za ispitivanje sigurnosti web i mobilnih aplikacija i njihovog izvornog koda, proizvođaču SAST i DAST rješenja ThunderScan i WebScanner.