Предупрежденията за действията в Германия на група за кибер-шпионаж, известна като Snake, идват още през 2016-а. Но въпреки това хакерите, най-вероятно от руски произход, успяват да проникнат неведнъж в бази данни на немското правителство.
Те са малко по-умни от останалите кибер-вандали, по-внимателни, но изключително опасни - точно като отровни змии.
Един от успешните пробиви на Snake е в базата на Федералната академия за публична администрация в град Брюл, южно от Кьолн. Атаката се случва в края на 2016-а, но е възможно да има и по-стари опити за нападение. Просто до там могат да бъдат проследени дигиталните следи на "змиите".
Не е ясно и как хакерите, които могат да бъдат свързани с руските федерални служби, са направили пробива в системата. Може да са успели чрез линк във входящ имейл, който небрежен потребител е кликнал, или през фалшив уебсайт, задействал злонамерения софтуер.
Това, което е известно все пак, е, че след като за първи път са стигнали до системата в Брюл, хакерите са успели да стигнат и до информацията в германската федерална административна мрежа, която се използва от ключови държавни органи. Накрая атаката достига крайната си цел - така наречения Отдел 2, който отговаря за външната на Германия спрямо Европейския съюз, Северна Америка и Централна Азия, в това число и Русия.
Щетите изглеждат на пръв поглед ограничени - общо 17 компютъра са засегнати и са източени само три документа с размер от около 240 килобайта. Това обаче е само първоначалната оценка.
Немското правителство е обезпокоено и то не само защото хакерите са използвали Академията в Брюл като вход към търсената информация. Те са разтревожени, защото системата иначе се смята за невероятно сигурна.
Snake стигат до жизненоважни канали за комуникация на немските власти, включително тези на канцлерството, министерствата и двете камари на германския парламент, както и германските дипломатически мисии по света. Имейли, телефонни и видео обаждания минават оттам заедно с документи с гриф "Класифицирана информация".
След хакерска атака срещу Бундестага през 2015-а, при която се предполага, че руски хакери от групата APT28 са откраднали 16 гигабайта информация, Федералната служба за сигурност на информацията разкритикува податливостта на системата на парламента, докато в същото време хвалят своята собствена непроницаемост.
След това се оказва обаче, че от разузнавателните агенции трябва да отговарят на неудобни въпроси за това как са неспособни да защитят комуникационните мрежи на немското правителство.
Когато се окаже, че дадена държава е уязвима по този показател, цялата система става нестабилна.
Освен очевидната необходимост от по-сигурна IT-инфраструктура колкото се може по-бързо, човешките ресурси също се нуждаят от инвестиции, а немското правителство трябва да прецени как да отговори на тази атака, очевидно спонсорирана от руската държава.
Федералната прокуратура започна предварително разследване на предполагаемия шпионаж. Това е официалният отговор. Но какво да кажем за политическите реакции? И как се противопоставя Германия на дигиталните армии на Изтока, чиито технологически умения нарастват непрекъснато?
Хакерите от Snake без съмнение доказват, че са врагове. Смята се, че те са прониквали в посолства, правителства и разузнавателни агенции по света. Групата дори е атакувала главното командване на САЩ.
Според експертите по сигурност програмният код е доста по-сложен от този при други руски хакерски кампании.
Естонските служби видяха връзка между Snake и руската федерални служби за сигурност. Също така групата може да бъде свързана с мащабната хакерска атака, наречена "Червеният октомври", която беше насочена срещу дипломати, военни и ядрени физици.
Немската служба за сигурност предупреждава още от май месец 2016-а година, че Snake могат да предприемат нови атаки срещу Германия и допълниха, че това, което хакерите правят, е операция в кибер-шпионажа с голям обхват и качество, изпълнявана през дълъг период от време в международен мащаб.
Дори тогава германските разузнавателни служби подозират, че става въпрос за "държавно-координирана атака". Като доказателство, че хакерите идват от Русия, се посочва езикова настройка "код 1251", която позволява на дисплея да се визуализира кирилица. Освен това се забелязва голям скок в дейността през пиковите работни часове в Русия.
Немските експерти по IT-сигурност наричат хакерската атака "Уроборос", кръстена на древногръцкия символ на змия, която е захапала опашката си.
На 19 декември миналата година чуждестранна партньорска агенция отново привлича вниманието на немските власти. На 5 януари се открива и пробивът в Академията в Брюл. Оттогава германските агенции за сигурност умишлено допускат атаките, за да идентифицират нападателите и да изучат методите им.
За целта експертите изолират, отразяват и симулират комуникацията на компрометираните компютри, така че хакерите да останат с впечатлението, че всичко върви по план. И без това нападателите не могат да причинят повече щети.
В киберпространството е почти невъзможно да се намерят неоспорими доказателства за това кой стои зад виртуална атака. Програмните кодове могат да носят определен почерк като например правописни и печатни грешки. Други улики включват сървърите, които получават откраднатите данни.
Тези сървъри често принадлежат на институции като университети, които също са били хакнати без тяхно знание. Понякога хакерите използват сървърите многократно, което създава разпознаваема инфраструктура. Киберследователите могат да съставят профил на престъпниците. Но кой може да е зад атаките и възможно ли е в тях да има държавно участие.
Извършителите рядко разкриват своята идентичност, но точно това се случва с ART28. IT-експертите наблюдават как файловете отиват право към сървъри в московска офис сграда, в която се помещава Главното разузнавателно управление на Русия. Но следите на кода също могат да бъдат манипулирани. Грешките в кодовете могат да са допуснати умишлено.
В последните месеци сигналите, че много от хакерските атаки срещу западни компании идват от Русия, се увеличават.
Twitter например наскоро разпрати предупреждения до 1,4 млн. потребители, които са последвали новорегистрирани руски акаунти, изглежда собственост на "тролове", и понякога дори ретуийтват постовете им. По подобен начин платформата предаде на Конгреса на САЩ списък с 3 800 потребители, които според вътрешни разследвания са свързани с информационни руски агенции.
Не по-малко тревожни са дейностите, които не са насочени към манипулиране на общественото мнение, а вместо това се опитват да навредят на компаниите, които предоставят инфраструктурата. Въпреки че това остана сравнително незабелязано от широката общественост, наскоро Русия беше определена като архитект на една от най-разрушителните кибератаки.
През юни миналата година в Украйна се разрази виртуално нападение със зловреден софтуер, което се разпространи с невероятна скорост. То криптираше компютрите и ги правеше практически неизползваеми. За разлика от други атаки, при тази компютрите не можеха да работят нормално дори и след заплащане в биткойни към съответния виртуален портфейл. Извършителите очевидно се стремяха към абсолютно унищожение.
Атаката, наречена NotPetya, засегна големи компании като логистичния гигант TNT, фармацевтичната компания Merck и още много други.
Само от Merck казват, че загубите им възлизат на над 35 млн. долара. Тогава ЦРУ и други служби с голяма увереност казват, че зад атаката стои Русия.
На Германия очевидно са й спестени такива атаки. Документите, откраднати от Бундестага, не се появяват никъде в интернет, а по време на последните избори няма следа от външна намеса в процеса. Въпреки това немските власти не бива да свалят гарда си, както показва и случаят със Snake. Те явно разчитат на конвенционалния шпионаж - информацията е източена, но не е направена публично достояние, както е например с WikiLeaks.
Групата на ART28 също е извършила няколко атаки през последните месеци. Към момента германското правителство се проваля в опитите си да вземе мерки. Няма и санкции към Русия като източник на хакерските атаки.
А сдържаността може да е просто заради факта, че шпионажът е ежедневно явление дори и в демократичните държави. Все пак Германия най-вероятно също има на прицел руски мишени...
