Prywatne wirtualne sieci komputerowe (virtual private network) oznacza nic innego jak formę połączeń między maszynami. Zostały stworzone z myślą o biznesie. Dzięki nim firmy zyskały możliwość podłączenia pracowników do swoich zasobów, czyli na przykład dokumentacji, baz danych. W sferze informatyki wyróżnia się zakresy korzystania z sieci. Na samym dole znajdują się sieci w domach, na „miejscu”, zwane lokalnymi (LAN), takie jak tworzymy w domu. Włączają się one do szerszych segmentów znanych jako WAN (wide area network). Dzięki stosowaniu szyfrowania VPN pozwal na utworzenie sztucznej sieci w ramach tej ogólnodostępnej. Kodowanie przekazu izoluje jej użytkowników.

W efekcie firmy komunikują się między siedzibami, czy nawet krajami, bo prywatne sieci wirtualne nie ograniczają się do miast leżących w pobliżu. Używane w korporacjach intranet zapewniają połączenia tylko o ograniczonym geograficznie zasięgu, zwykle do kilku budynków. VPN oznacza, że pracownik z laptopem na bieżąco udostępnia i zmienia informacje w firmie. Tym właśnie zajęli się Irakijczycy.

Analizy z ClearSky ukazują, że za atakami na serwery VPN, czyli elementy konieczne, aby cały ten szkielet działał stanęli Irakijczycy z grup haktywistów Elfin, OilRing oraz Chafer. Ekspert od bezpieczeństwa sieciowego Ravie Lakshman doniósł 18 lutego 2020, że razem stworzyli operacje określaną jako Fox Kitten. Stanowiła przykład szpiegostwa skierowane przeciwko branży informatycznej, firmą z branży energetycznej zajmującej się gazem i ropą. Objęła Rownież sferę rządów, przemysłu lotniczego, a także firm zajmujących się bezpieczeństwem. Wedle ustaleń operacja trwa już od trzech lata. Specyfika działań w sieci obejmuje między innymi zacieranie śladów, a także kwestie powiązań. W odróżnieniu od operacji wojskowych bezpośrednie wskazanie sprawców po mundurach bywa utrudnione.

Zwłaszcza, że Chafer, OilRing i Elfin używają też ogólnie dostępnego oprogramowania, co utrudnia odkrycie sprawców. Łączą ją z autorskimi narzędziami i z kolei ten aspekt ułatwia przypisywanie im działań. W ramach kampanii Fox Kitten zastosowali między innymi wirusy ZeroCleare oraz Dustman. Za ich pomocą dokonywali zwiadu w ramach infrastruktury przeciwnika. ZeroCleare pozwalał na czyszczenie dysków twardych. Jest przykładem do czego prowadzi zarażenie trojanem, czyli zdalnie sterowanym, złośliwym kodem. Bahrain przekonał się o tym na własnej skórze po atakach Dustmana tracąc dane. Oba programy znalazły zastosowanie w dużej mierze na Bliskim Wschodzie.

Operacja Fox Kitten skoncentrowała się na Izraelu, ale na nim się nie skończyła. Podczas operacji wykryto, że haktywiści stworzyli oraz zaadaptowali istniejące techniki do uderzenia na VPN. Dzięki nim kradli informacje. Na ich celowniku znalazły się między innymi Citrix, Palo Alto Global Protect, Pulse Secure Connect, Fortinet FortiOS. Analitycy wskazywali, że Iran stosował w ramach operacji tak zwane w świecie anglosaskim jako błędy pierwszego dnia (1-day vulnerabilities). Tak w języku informatyki określa się błędy jakie jeszcze nie zostały usunięte, a nawet nie zostały odkryte przez producentów.

Tym właśnie sposobem haktywiści z Iranu wpuszczali wirusy, aby ustanowiły połączenia z ich systemami zarządzania i kontroli atakiem (C2). Dzięki temu przesyłali kody źródłowe VBS i tworzyli tylne wejścia do systemów. Dla ochrony ataku dane były przesyłane w częściach, aby programy antywirusowe miały problem z analizą zagrożeń. Po przesłaniu wszelkich „puzzli” dodatkowy skrypt combine.bat powodował, że zostały połączone razem. Od tego rozpoczynał się dalszy krok operacji. Przykładowo za pomocą STSRCheck sprawdzali jakie są podpięte do systemu bazy danych, serwery, jakie porty są otwarte na połączenia i za pomocą metody siłowej próbowali uzyskania do nich dostępu. Za pomocą Powsshnet nawiązywali zdalne połączenie.

To zaś dopiero początek, bo związani z Iranem haktywiści Magnallium w lutym 2020 rozpracowywali sieć energetyczną, a także systemy energetyczne Stanów Zjednoczonych. Wedle szacunków zamienienie VPN w broń przeciwko firmom zajmowało atakującym dwadzieścia cztery godziny. Jedna doba dzieli od utraty kontroli nad tym, co się w środku dzieje. Dwadzieścia cztery godziny wystarczą do operacji Iranu w VPN.

Jacek Skrzypacz