Výzkumníci ruské společnosti Kaspersky, zabývající se bezpečností kybernetického prostoru, před několika měsíci odhalili případ kyberšpionáže cílící na vládní a telekomunikační subjekty v Číně a Pákistánu. Konkrétně na jejich počítače s operačním systémem Microsoft Windows. Špionážní akce začala v červnu 2020 a pokračovala až do dubna letošního roku.
Experty nejvíce zaujal software, který digitální špioni použili. Části softwarového kódu jim totiž připomněly práci jiné společnosti, kterou si pro sebe pracovně pojmenovali „Moses“.
Podle společnosti Kaspersky je Moses záhadná hackerská firma známá specializací na takzvané „zero-day“ útoky neboli „útoky nultého dne“. Takové útoky využívají mezery na trhu kyberbezpečnostního průmyslu tím, že tvoří software, který se dokáže nabourat do počítačů skrze dosud neodhalené drobné chyby.
Software firem jako Moses funguje jako vysoce výkonný šperhák, který nachází mezery v operačních systémech a aplikacích a umožňuje tak svým majitelům nabourat se do digitálních životů svých cílů. Tyto mezery jsou tak vzácné, že cena softwaru, který dokáže jednu takovou odhalit, přesahuje dva miliony dolarů.
Ti, kdo si takový software zakoupí, ho mohou použít na ochranu svého vlastního systému a mnoho společností tak útokům předchází. A nebo s ním mohou zaútočit na ostatní.
Nejméně jeden z takových zero-day softwarů byl použit například v roce 2020 během slavného útoku na softwarovou společnost SolarWinds a její zákazníky, mezi kterými je třeba vláda Spojených států nebo technologičtí giganti Cisco či Microsoft. Samotnou SolarWinds tehdy přišly útoky na osmnáct milionů dolarů, a když se k tomu přidají i celkové škody způsobené všem jejím zákazníkům, cifra se šplhá k desítkám miliard.
Ne vždy jsou však americké společnosti na straně obětí. Podle zjištění Forbesu se totiž za pseudonymem Moses skrývá americká společnost Exodus Intelligence se sídlem v texaském Austinu, jak potvrdily dva zdroje znalé výzkumu společnosti Kaspersky. A podle jednoho ze zdrojů byla ve špionáži, cílící na Čínu a Pákistán, zákazníkem Mosesu Indie.
Společnost Exodus se za posledních deset let celkem proslavila, zejména poté, co o ní vyšel velký článek v magazínu Time a dost se o ní v oblasti kybernetické bezpečnosti mluvilo i poté, co na veřejnost unikl software z její dílny, který do té doby údajně pomáhal státním vyšetřovatelům odhalovat distributory dětské pornografie.
V současnosti se Exodus hlásí k partnerství s agenturou amerického ministerstva obrany Darpa nebo s velkými společnostmi jako je Cosco nebo Fortinet.
„Jsou dost důležití, protože na tomto relativně malém trhu disponují dovednostmi, které má na světě pouhých pár tisíc dalších lidí,“ říká Katie Moussouris, zakladatelka Luta Security a tvůrkyně programu pro Microsoft odměňujícího hackery, kteří Microsoftu oznámí slabá a zranitelná místa v jeho bezpečnostním systému.
Podle aliance Five Eyes (aliance zpravodajských služeb Austrálie, USA, Kanady, Velké Británie a Nového Zélandu) je Exodus schopen dodat klientům jak informaci o možných zero-day chybách v jejich systému, tak i software, který dokáže takových chyb využít.
Hlavním produktem společnosti je jakýsi zpravodajský výčet zaměřený na zranitelná místa rozličných softwarů, který firma poskytuje za poplatek 250 tisíc dolarů ročně. Propaguje ho zejména jako ochranný nástroj, nicméně nikdo už nekontroluje, jak zákazník naloží se získanými informacemi, například zero-day chybami nejoblíbenějších operačních systémů typu Windows, Android či iOS.
A právě tento informační kanál si od Exodu předplatila a použila Indie, říká Logan Brown sedmatřicetiletý CEO a spoluzakladatel Exodu. Podle něj si Indie vybrala jednu z bezpečnostních mezer Windowsu, která může útočníkovi umožnit přístup hluboko do operačního systému, a využila ji ke špionáži. Podle Browna Exodus okamžitě po tomto odhalení zamezil Indii přístup k novým informacím a začal spolupracovat s Microsoftem na opravě zjištěných chyb.
Podle Brownova názoru bylo indické jednání daleko za hranou, ačkoli Exodus běžně neomezuje, co zákazníci se zakoupenými informacemi dělají. „Můžete je klidně použít ofenzivně, pokud chcete. Ale ne k tomu, abyste začali plnou palbou střílet do Pákistánu s Čínou. Toho určitě součástí být nechci,“ prohlásil Brown. Indická ambasáda v Londýně se na žádost o reakci nevyjádřila.
Podle společnosti Kaspersky se nejednalo o jediný případ, kdy Exodus poskytl zákazníkům informace k nabourání se do počítačů se systémem Windows. Druhý takový případ sice nebyl přímo spojený s žádnou konkrétní špionážní akcí, nicméně Brown potvrdil, že i tato data skutečně pocházela z jeho společnosti, a že by podle něj dávalo smysl, kdyby Indie či některý z jejích dodavatelů využili i této příležitosti.
Brown se v současnosti vrhl do zjišťování, zda nemohly uniknout na veřejnost či nemohly být přímo použity k nekalostem některé další kódy Exodu.
Ostatně mimo dva výše zmíněné případy Kaspersky uvádí, že na veřejnost v uplynulých dvou letech dostaly informace o „minimálně šesti dalších příležitostech“ publikovaných společností Exodus.
A informaci o zero-day chybě od Exodu využila i další hackerská skupina s názvem DarkHotel, která je podle některých odborníků na kybernetickou bezpečnost financovaná Jižní Koreou. Jižní Korea však údajně zákazníkem Exodu není.
„Jsme si celkem jistí, že Indie nechala uniknout některé výsledky našeho výzkumu. Odřízli jsme je a od té doby jsme o nich neslyšeli, takže se dá předpokládat, že máme pravdu,“ říká Brown.
Každý podobný únik informací je obzvlášť znepokojivý u společnosti, která je schopná ročně odhalit až padesát různých zero-day příležitostí u nejpoužívanějších operačních systémů světa. A Brown není jediný, jehož produkt někdo využil jinak, než bylo původně zamýšleno.
Například Luca Todesco, italský zero-day vývojář, psal minulý rok na Twitteru o „nejhorším výsledku, který se zrodil z jeho práce“. A to proto, že jeho informace o možném nabourání se do operačního systému Apple byla použita ke sledování komunity Ujgurů, menšiny pronásledované čínskou vládou.
Poté, co výzkumníci Google zveřejnili detaily hackerských útoků na iPhony členů ujgurské komunity, Todesco rozpoznal jednu z vlastních technik, kterou sám vyvinul a sdílel se svými čínskými kontakty.
Popřel nicméně, že by jakoukoli součást kódu použitého v útoku na Ujgury prodal. Nicméně přiznal, že svůj objev otevřeně sdílel s několika nejmenovanými osobami. Prohlásil, že neví, jak a proč se jeho kód ocitl mezi nástroji použitými k utlačování Ujgurů a dodal, že by ho rozhodně s nikým nesdílel, kdyby věděl, jak bude použit.
Přesto však Todesco dál hledá mezery v operačních systémech pod hlavičkou nové italské společnosti Dataflow Security, kterou sám pomohl založit.
Podobného zneužití se obává i Aaron Portnoy, šestatřicetiletý spoluzakladatel a bývalý člen vedení Exodus Intelligence. Portnoy strávil deset let vývojem hackerského software, který bude umět obejít bezpečnostní prvky největších světových společností, jako jsou Apple, Google nebo Microsoft.
V roce 2015 však z Exodu odešel do korporátu se specializací na obranu Raytheon a později do startupu Boldend, taktéž zaměřeného na ochranu kybernetického prostoru.
Dodnes však Portnoy lituje, že nikdy nekontroloval, kdo všechno měl přístup k jeho kódu a jak byl použit. A lituje také, že se vzdal kontroly nad svými produkty a přenechal ji obchodníkům.
„Přijdu si, jako kdyby mě někdo využil. Byl jsem jen nástroj, který použili k vyšším cílům, o kterých jsem už ale nic nevěděl,“ říká Portnoy, který aktuálně působí v kyberbezpečnostní firmě Randori se sídlem v Massachusetts. „Nevěřím, že vedení s mým kódem nakládalo přesně tak, jak bych s ním nakládal já,“ vysvětluje Portnoy.
Kde leží odpovědnost?
Exodus podle Katie Moussouris udělal správně, že Indii odřízl. Podle ní by však větší břemeno odpovědnosti mělo ležet na zákazníkovi. Brown k tomu dodává, že se za svou kariéru uchýlil k odříznutí zákazníka pouze v jednom dalším případě.
Šlo o francouzskou policejní agenturu poté, co od ní na veřejnost unikl hack z dílny Exodu, který policie používala k pátrání po predátorech na dark webu. „Kdykoli se naše data ocitnou na veřejnosti, jedná se o porušení kontraktu,“ vysvětluje Brown.
Pedram Amini, poradce Exodus Intelligence a zakladatel Zero Day Initiative, kde Brown i Portnoy v minulosti pracovali, říká, že fakt, že Exodus za více než deset let existence musel odříznout pouze dva zákazníky, je obdivuhodný. A vysvětluje, že se mu moc líbí přísný výběr zákazníků ve firmě.
„Ani náhodou bych s nimi nespolupracoval, kdyby mezi jejich zákazníky byli například Saúdové,“ dodává Amini.
Exodus však věděl, že jeho produkt může být použit i k útoku a mohl Indii jako svého zákazníka odmítnout. A měl by k tomu dobrý důvod. Není to totiž tak dávno, co byla právě Indie obviněna ze zneužití spyware z dílny Izraelské společnosti NSO Group.
Navíc na začátku letošního roku skupina neziskových a mediálních organizací Pegasus Project informovala o napadení telefonů lídra indické opoziční strany Rahula Ghandiho a jeho blízkých spolupracovníků, což vedlo až k obvinění členů vlády a indického premiéra Narendry Modiho ze zrady. ´Byť vláda jakékoli použití neautorizovaného spyware popřela.
V roce 2019 pak společnost WhatsApp prohlásila, že se terčem sledování pomocí softwaru od NSO stali i indičtí novináři a aktivisté.
„Pokud prodáváte indické vládě technologii, která se dá využít k podobným útokům, musíte počítat s tím, že možná přispějete k podobným případům zneužití,“ říká John Scott-Railton, výzkumník Citizen Lab na univerzitě v Torontu. Stejně tak i Todesco se mohl rozhodnout, že si nechá své objevy pro sebe, raději než je sdílet se svými čínskými kontakty.
Prezident Microsoftu Brad Smith začátkem letošního roku varoval před nebezpečím, které představuje globální spyware průmysl a jmenovitě zmínil i společnost NSO. Prohlásil, že firmy poskytují „ještě víc možností velkým útočníkům a usnadňují kybernetické útoky vládám, které mají peníze, ale ne lidi na tvorbu vlastních zbraní.“
Případ Exodu Intelligence a Indie naznačuje, že velkou roli ve zhoršující se situaci hrají právě americké společnosti. Před dvěma měsíci Forbes odhalil, že bostonská kapitálová firma Battery pomohla financovat založení Paragonu, přímé konkurence NSO.
Na začátku září pak americké ministerstvo spravedlnosti odhalilo dvě americké společnosti, které prodaly hackerský software určený k napadení iPhonů za 1,3 milionu dolarů do Spojených arabských emirátů.
Podle agentury Reuters byl pak tento software použit na stovky cílových osob, včetně katarského emíra nebo držitele Nobelovy ceny míru a jemenského lidskoprávního aktivistu.
„Musíme pochopit, jak velkou roli americký soukromý sektor hraje v podněcování podobných problematických záležitostí po celém světě,“ dodává Scott-Railton.
Současně však americká vláda prahne po prostředcích, jak hacknout velkou spoustu technologií. V letošním roce byli při zásahu na Floridě zastřeleni dva agenti FBI útočníkem podezřelým z pedofilie. Útočníka na přítomnost policie upozornila kamera ve zvonku na jeho dveřích.
Po těchto vraždách FBI oslovila společnosti jako Exodus s poptávkou po lepších monitorovacích nástrojích, které by jí umožnily kontrolovat přístroje, jako jsou například právě domácí kamery.
A podle Browna poptávka po monitorovacích softwarech, a zejména po těch určených ke sledování smartphonů, v důsledku pandemie prudce vzrostla. „Všichni jsou teď mobilní, mobilní, mobilní,“ říká Brown.