ΔΙΕΘΝΕΣ
05/02/2015 04:55 EET

Πώς ψηφιακές «μοιραίες γυναίκες» έκλεψαν τα σχέδια μάχης των Σύριων αντικαθεστωτικών

I didn't take this shot which was used in a local Vodafone campaign a few years back. This Arabian beauty from Sinai, Egypt is wearing a traditional bedouin head dress (that is covered with golden coins) to show her exotic eyes that are covered by an ancient dark makeup called "Kohl" originally used by the early Arabs and in ancient Egypt.
mnadi/Flickr
I didn't take this shot which was used in a local Vodafone campaign a few years back. This Arabian beauty from Sinai, Egypt is wearing a traditional bedouin head dress (that is covered with golden coins) to show her exotic eyes that are covered by an ancient dark makeup called "Kohl" originally used by the early Arabs and in ancient Egypt.

Φιγούρες μοιραίων γυναικών κατασκόπων έχουν υπάρξει πολλές στην ιστορία, με διασημότερη αυτήν της Μάτα Χάρι και ίσως πλέον πρόσφατη αυτήν της Άννας Τσάπμαν. Η «παράδοση» φαίνεται να συνεχίζεται και στη σημερινή, δικτυωμένη εποχή, ακόμα και αν οι «μοιραίες γυναίκες» που παγίδευσαν στελέχη της συριακής αντιπολίτευσης, υποκλέπτοντας σχέδια μάχης και άλλα εξαιρετικά σημαντικά στοιχεία για τις επιχειρήσεις τους κατά του καθεστώτος Άσαντ.

Σύμφωνα με εκτεταμένη μελέτη της εταιρείας κυβερνοασφαλείας Fire Eye, κατά το χρονικό διάστημα μεταξύ του Νοεμβρίου του 2013 και του Ιανουαρίου του 2014, άγνωστοι χάκερ έκλεψαν μεγάλες ποσότητες δεδομένων, περιλαμβανομένων εγγράφων και συζητήσεων μέσω Skype που αποκάλυπταν τη γενικότερη στρατηγική της αντιπολίτευσης, τακτικά σχέδια μάχης, ανάγκες προμηθειών και μεγάλους όγκους προσωπικών δεδομένων και αρχεία chats που ανήκαν σε άνδρες των δυνάμεων που μάχονταν κατά των κυβερνητικών δυνάμεων του προέδρου Άσαντ.

syria fighters

«Αν και δεν γνωρίζουμε ποιοι διεξήγαν αυτή την επιχείρηση hacking, εάν αυτά τα δεδομένα είχαν αποκτηθεί από τις δυνάμεις του Άσαντ ή τους συμμάχους τους, θα είχαν αποκτήσει σημαντικό πλεονέκτημα στο πεδίο της μάχης» τονίζεται στην έρευνα.

Στο πλαίσιο αυτής της επιχείρησης, οι δράστες της χρησιμοποίησαν μια πολύ γνωστή τακτική, η οποία μπορεί να έχει αλλάξει ανά τους αιώνες, αλλά στην ουσία της παραμένει αμετάβλητη: την παγίδευση (ή «ψάρεμα» ) των στόχων μέσω συζητήσεων με (υποτιθέμενες) ελκυστικές γυναίκες, οι οποίες εμφανίζονταν θετικά προσκείμενες προς τη συριακή αντιπολίτευση.

«Ένα γυναικείο άβαταρ άρχιζε συζήτηση στο Skype και μοιραζόταν μια “προσωπική” φωτογραφία της με τον στόχο. Πριν την στείλει, κατά κανόνα ρωτούσε τι συσκευή χρησιμοποιούσε ο χρήστης – τηλέφωνο Android ή υπολογιστή- κατά πάσα πιθανότητα επιδιώκοντας την αποστολή ειδικά “στοχευμένου” κακόβουλου λογισμικού (malware). Μόλις ο στόχος κατέβαζε τη φορτωμένη με malware φωτογραφία, οι επιτιθέμενοι αποκτούσαν πρόσβαση στη συσκευή του, έψαχναν μέσα στα αρχεία τους και επέλεγαν και έκλεβαν δεδομένα που ταυτοποιούσαν μέλη της αντιπολίτευσης, τα logs συζητήσεών τους στο Skype και τις επαφές και μεγάλο αριθμό εγγράφων που παρείχαν πολύτιμες πληροφορίες για τις στρατιωτικές επιχειρήσεις που σχεδιάζονταν εναντίον των δυνάμεων του προέδρου Άσαντ» επισημαίνεται στην έρευνα.

Αναλυτικότερα τα ευρήματα έχουν ως εξής:

  • Τα δεδομένα που εκλάπησαν: Οι δράστες έκλεψαν εκατοντάδες αρχεία και 31.107 καταχωρημένα chats στο Skype που περιελάμβαναν συζητήσεις για σχέδια και λογιστική υποστήριξη των επιθέσεων κατά των δυνάμεων του Άσαντ
  • Τα θύματα: Οι στόχοι περιελάμβαναν ένοπλους μαχητές της αντιπολίτευσης, ακτιβιστές των media, εργαζομένους σε ανθρωπιστικές οργανώσεις κ.α. Τα θύματα βρίσκονταν στη Συρία, την ευρύτερη περιοχή και πέρα από αυτή
  • Τακτικές και τεχνικές: Οι δράστες χρησιμοποιούσαν γυναικεία άβαταρ στο Skype για να ξεκινούν συζητήσεις με τους στόχους τους και να μολύνουν τις συσκευές τους με malware. «Αυτή» ρωτούσε τον στόχο αν χρησιμοποιούσε Skype σε συσκευή με Android ή υπολογιστή, σε μια προσπάθεια να αποστείλει malware ειδικά διαμορφωμένο για τη συσκευή. Επίσης, οι δράστες διατηρούσαν ένα φαινομενικά φίλα προσκείμενο προς την αντιπολίτευση site, που περιείχε links προς κακόβουλα downloads και προφίλ Facebook, επίσης με κακόβουλα links. Διεξήγαν αυτές τις επιχειρήσεις χρησιμοποιώντας servers που ήταν τοποθετημένοι εκτός Συρίας.
  • Malware: Οι δράστες χρησιμοποιούσαν μία ευρεία γκάμα «εργαλείων» malware, κάτι που υπονοεί την ύπαρξη πρόσβασης σε δυνατότητες development. Χρησιμοποιούσαν τόσο ευρέως διαθέσιμο όσο και custom malware για να «χτυπούν» τους στόχους τους, περιλαμβανομένου του DarkComet RAT, ενός ειδικά διαμορφωμένου keylogger, καθώς και μέσα με διαφορετικά shellcode payloads.
  • Πιθανοί σπόνσορες: Αν και υπάρχουν μόνο περιορισμένες ενδείξεις σχετικά με την προέλευση της δραστηριότητας, η έρευνα της Fire Eye υπέδειξε πολλαπλές αναφορές στον Λίβανο- τόσο στο πλαίσιο της μελέτης του malware όσο και στη δραστηριότητα των άβαταρ στα κοινωνικά δίκτυα.

Είδη πληροφοριών που εκλάπησαν

Οι άγνωστοι δράστες συγκέντρωσαν σημαντική ποσότητα δεδομένων, από βάσεις δεδομένων για λογαριασμούς Skype μέχρι έγγραφα με σχέδια και φωτογραφίες. Τα περισσότερα από αυτά τα δεδομένα συλλέχθηκαν από τον Μάιο του 2013 ως τον Δεκέμβριο του ίδιου έτους. Κάποιες από τις βάσεις δεδομένων που υπεκλάπησαν ανάγονται στο 2012. «Οι δράστες επέλεξαν προσεκτικά τι έκλεψαν, υπήρχαν μόνο λίγες περιπτώσεις κατά τις οποίες κατεβάστηκαν ταινίες, άδεια αρχεία, άδειες, φωτογραφίες μωρών, σχολικά έγγραφα και άλλα φαινομενικά άσχετα υλικά.

Ο όγκος των δεδομένων

syria

Η «ακτινογραφία» των δεδομένων που υπεκλάπησαν είχε ως εξής: 7,7 GΒ κλεμμένων δεδομένων, 12.356 επαφές, 64 βάσεις δεδομένων από λογαριασμούς Skype, 31.107 συζητήσεις, 240.381 μηνύματα.

Πρωταρχικός στόχος ήταν οι πληροφορίες στρατιωτικού χαρακτήρα, ενώ φαίνεται να δινόταν ιδιαίτερη σημασία σε αρχεία με λίστες ονομάτων. Βρέθηκαν δεκάδες λίστες με ονόματα μαχητών που ήταν μέλη ενόπλων ομάδων. Κάποιες λίστες περιελάμβαναν ονόματα και ημερομηνίες γέννησης, ενώ άλλες περιείχαν τα όπλα και τους σειριακούς αριθμούς ανδρών, ομάδες αίματος και αριθμούς τηλεφώνων.

Οι δράστες επίσης έκλεψαν λίστες αξιωματικών στις δυνάμεις του Άσαντ και εικόνες θεωρούμενων μαχητών της Χεζμπολάχ που είχαν αιχμαλωτιστεί ή σκοτωθεί μέσα στη Συρία, καθώς και εικόνες ανδρών μάχιμης ηλικίας με όπλα ή παραστρατιωτικές στολές. Επίσης, εκλάπησαν και chat logs πολιτικού περιεχομένου, καθώς οι συνομιλητές συζητούσαν περί συμμαχιών και ασκούσαν κριτική σε άτομα. Κάποια αρχεία είχαν λεπτομέρειες για τις πολιτικές δομές της αντιπολίτευσης, περιλαμβανομένων των σχηματισμών πολιτικών κομμάτων κ.α. Ακόμη, αποκτήθηκε υλικό σχετικά με ανθρωπιστικές δραστηριότητες στη Συρία και σε γύρω χώρες, στοιχεία προσφύγων, δεδομένα περί λειτουργίας ΜΜΕ και πιστοποιητικά που θα επέτρεπαν την παρακολούθηση των επικοινωνιών της αντιπολίτευσης σε βάθος χρόνου.

Η ψηφιακή «αποπλάνηση»

chat

Η χρήση γυναικείων άβαταρ αποτέλεσε βασικό χαρακτηριστικό της εκστρατείας, με σκοπό την έναρξη συζητήσεων με άνδρες της συριακής αντιπολίτευσης στο Skype και να ακολουθεί διασύνδεση στο Facebook. Τα άβαταρ είχαν αληθοφανή για την περιοχή ονόματα και προσέγγιζαν τα θύματα με μια σειρά προσωπικών ερωτήσεων. Οι δύο πρώτες ήταν συνήθως «πώς μπαίνεις στο Skype;

Με υπολογιστή ή με το τηλέφωνό σου;» και «πόσων χρονών είσαι;». Η πρώτη θεωρείται πως αποσκοπούσε στο να διαπιστωθεί τι είδους malware θα έπρεπε να αποσταλεί για την παραβίαση της συσκευής του στόχου. Στη συνέχεια ζητούσαν μια φωτογραφία του θύματος και έστελναν μια «προσωπική φωτογραφία» της γυναίκας σε αντάλλαγμα. Η «φωτογραφία» στην πραγματικότητα ήταν εκτελέσιμο αρχείο, το οποίο και όταν ο χρήστης εκτελούσε προβαλλόταν μια φωτογραφία γυναίκας ενώ παράλληλα περνούσε από πίσω το DarkComet RAT. Από εκεί και πέρα, ο υπολογιστής του θύματος ήταν υπό τον έλεγχο των δραστών.

Οι υπόλοιπες προσωπικές ερωτήσεις θεωρείται πως βοηθούσαν τους δράστες να συλλέγουν πληροφορίες για τον στόχο. Κάποιες φορές ξεκινούσαν ξανά συζητήσεις με θύματα μετά από απουσία για μακρά περίοδο για τη συλλογή επιπλέον λεπτομερειών.

Προέλευση

Τα μέσα και οι τακτικές των δραστών έρχονται σε αντίθεση με τρόπους που χρησιμοποιήθηκαν από άλλες συριακές ομάδες. Επιπλέον, υπάρχουν ενδείξεις ότι η οργάνωση ενδεχομένως να έχει την έδρα της εκτός της Συρίας.

Το malware που χρησιμοποιήθηκε δεν μοιράζεται servers διοικήσεως και ελέγχου (command&control servers) με αντίστοιχη δραστηριότητα που έχει καταγραφεί από εταιρείες όπως η Kaspersky, η Trend Micro, η CitizenLab και το Electronic Frontier Foundation. Επιπλέον, η δραστηριότητα δεν συνάδει με τακτικές ή μέσα που σχετίζονται με δραστηριότητα η οποία σχετίζεται με το ISIS. Ενδείξεις που βρέθηκαν δείχνουν προς την κατεύθυνση του Λιβάνου, καθώς υπάρχουν αρκετές αναφορές, με κάποιες εξ αυτών σε σελίδες social media που να αφήνουν να εννοηθεί ότι τα άβαταρ ανήκουν σε πρόσφυγες στη χώρα, ή σε πολίτες του Λιβάνου.

Συμπεράσματα

Όπως τονίζεται στο τέλος της έρευνας, εν αντιθέσει με άλλες δραστηριότητες που έχουν καταγραφεί, «δεν πρόκειται απλά για κυβερνοκατασκοπεία με στόχο την απόκτηση πληροφοριακού πλεονεκτήματος ή την επίτευξη ενός στρατηγικού σκοπού. Αντ'αυτού, η εν λόγω δραστηριότητα, η οποία λαμβάνει χώρα εν μέσω μιας εν εξελίξει σύγκρουσης, παρέχει χρήσιμες στρατιωτικές πληροφορίες που μπορούν να αξιοποιηθούν για άμεσα πλεονεκτήματα στο πεδίο της μάχης. Παρέχει το είδος πληροφοριών που μπορεί να αποκόψει μία ζωτικής σημασίας οδό ανεφοδιασμού, να αποκαλύψει μια σχεδιασθείσα ενέδρα, και να ταυτοποιήσει και να επιτρέψει την παρακολούθηση σημαντικών προσώπων. Αυτές οι πληροφορίες παίζουν πιθανότατα έναν σημαντικό ρόλο στα επιχειρησιακά σχέδια του αντιπάλου και τις τακτικές αποφάσεις του. Ωστόσο, αυτό το τακτικό πλεονέκτημα έρχεται με πιθανότατα καταστροφικό ανθρώπινο κόστος».