Gjueti fantazmës

Gjueti fantazmës

36
0
NDAJ
  1. Sulmi

Armiqtë e botnet-eve janë një grup i ngushtë inxhinierësh dhe specialistësh sigurie që vetëquhen me krenari “gardianët e internetit” dhe punojnë që rrjeti të funksionojë pa probleme. Midis tyre spikat Tillmann Werner, hulumtues shumë i gjatë dhe thatanik gjerman i kalifornianes CrowdStrike, i njohur si për entuziazmin, ashtu edhe për stilin e punës. Në 2013 arrin që të marrë kontrollin e botnet-it Kelihos, i bërë i famshëm sepse përhapet duke përdorur spam-e që reklamojnë Viagra, live në një podium gjatë konferencës më të rëndësishme të kibernosigurisë të botës. Por e di shumë mirë se Game Over Zeus është një gjë krejtësisht tjetër. E ka parë të lindë e të rritet, ka mbetur i impresionuar nga forca dhe kapaciteti i malware për t’u rezistuar sulmeve. Në 2012 ka formuar një ekip me Stone-Gross (që i sapodiplomuar transferohet në Kaliforni) dhe kërkues të tjerë për të planifikuar një aksion. Duke komunikuar me chat midis dy kontinenteve dhe duke punuar në kohën e kirëm duke studiuar me vëmendje tentativat e dështuara, mendojnë se e kanë kuptuar se ku kanë gabuar dhe kalojnë një vit përpara se të përgatisin një sulm të ri. Në janar të 2013 janë gati. Të ulur para kompjuterëve, me rezerva të mjaftueshme picash dhe uji, janë të gatshëm të ndërmarrin një sulm të rreptë në kuptimin e vërtetë të fjalës kundër misteriozit Slavik. «Kur sulmon një botnet, ke vetëm një goditje në dispozicion: o qëllon në shenjë, o gabon», shpjegon Werner. Plani i ri konsiston në devijimin dhe centralizimin e rrjetit peer-to-peer të Game Over, për ta drejtuar trafikun në një server të ri të kontrolluar prej tyre: falë kësaj taktike të quajtur sinkholing shpresojnë që ta ndërpresin komunikimin midis botnet-it dhe Slavik. Në fillim duket sikur funksionon. Slavik nuk reagon; në harkun e pak orëve, Werner dhe Stone-Gross shikojnë një numër në rritje zombie të lidhur me rrjetin e tyre, deri sa të kontrollojnë 99% të rrjetit të Slavik. Por nuk kishin marrë në konsideratë linjën e fundit themelore të mbrojtjes së tij: një grup të vogël kompjuterësh të infektuar që komunikojnë fshehurazi me serverët kryesorë. «Nuk e kishim kuptuar se ekzistonte një nivel i dytë kontrolli», thotë Stone-Gross. Pas një jave, Slavik i bën një përditësim softuerit dhe riafirmon autoritetin e tij në të gjithë rrjetin; grupi vëren me tmerr versionin e ri të Game Over Zeus të përhapet në rrjet, ndërsa rrjeti peer-to-peer riorganizohet. «Kemi kuptuar menjëherë se çfarë kishte ndodhur: e kishim anashkaluar krjetësisht këtë kanal tjetër komunikimi». Pas 9 muajsh, plani dështon përfundimisht. Slavik ka fituar. Në një chat me një ekip polak sigurie krenohet për fitoren, i kënaqur që kaq shumë përpjekje nuk kanë sjellë kurrfarë rezultati. «Isha i sigurtë se ndalimi i botnet-it të tij ishte i pamundur», thotë Werner. Por, pavarësisht se të demoralizuar, të dy hulumtuesit mezi presin momentin që ta riprovoojnë. Ama kësaj radhe kanë nevojë për një ndihmë nga Pittsburgh.

 

  1. Pittsburgh, Pennsylvania

Në 10 vitet e fundit, zyra e FBI-së në Pittsburgh është ajo që ka arritur më shumë rezultate në luftën kundër krimit kibernetik. Sidomos falë punës së kreut të saj, të quajtur J. Keith Mularski. I lindur po në këtë qytet të Pennsylvania, është një yll në botën e sigurisë informatike: i hyrë në FBI në fundin e viteve’90, ka kaluar 7 vite duke u marrë më spiunazh dhe terrorizëm në Uashington. Në 2005 ka kapur rastin për t’u kthyer në shtëpi dhe ka hyrë në një njësi të re informatike, edhe pse nga kompjuterët dinte shumë pak. Ka fituar më pas përvojë duke punuar nën koperturë për 2 vite në Deep Web, me nofkën “Master Splyntr” (i frymëzuar nga një personazh i filmit “Ninja Turtles”), për të çmontuar forumin online DarkMarket, i të cilit kishte arritur t’i bëhej administratori. Me cilësinë e bosit kriminel në ngjitje, kishte shkruar edhe një reçension të një prej versioneve të para të malware Zeus dhe, në një moment të caktuar, ka arritur deri të bisedojë personalisht me Slavik. Falë tij, FBI-ja ka arrestuar 60 persona në 3 kontinente; në këtë pikë krerët e degës së Pittsburgh kanë vendosur që t’i përqëndrojnë përpjekjet e tyre mbi krimin informatik, të sigurtë se rritja do të ishte e vazhdueshme. Në 2014 Mularski dhe agjentët e tij, plus të tjerë nga një OJF gjysmë e panjohur nga Pittsburgh e quajtur National Cyber-Forensic & Training Alliance, punojnë në rastet më të rëndësishme e të gjithë Departamentit amerikan të Drejtësisë. Dy njerëz të ekipit, Elliott Peterson dhe Steven J. Lampo, janë në gjurmët e hakerëve të Game Over Zeus; kolegë të tjerë të tyre punojnë ndërkaq me një gjurmë që çon në inkriminimin e 5 hakerëve të ushtrisë kineze që kishin hyrë në kompjuterët e Westinghouse, US Steel dhe kompanive të tjera për të favorizuar industritë e Pekinit.

Pas një viti investigimesh, Werner dhe Stone-Gross i propozojnë ekipit të Pittsburgh që të grumbullojnë forcat për të sulmuar botnet-in e të shumëfrikshmit Slavik. Sikur t’ua kishin bërë të njëjtin propozim agjencive të tjera qeveritare, përgjigja do të kishte qenë negative, duke parë se bashkëpunimi midis qeverisë dhe kompanive private, në rastet e krimit informatik, ishte një fenomen i rrallë dhe se federalët nuk i ndajnë informacionet. Kurse ekipi i Pennsylvania ka bërë tashmë bashkëpunime të ngjashme dhe e di se dy hulumtuesit janë më të mirët e fushës: «Ishte një mundësi për t’u kapur në ajër», thotë Mularski. Janë detyruar të punojnë njëherazi në tri fronte. In primis, duhet të kuptojnë një herë e përgjithmonë se kush është kreu i Game Over (praktikë që investigatorët e quajnë “atribuim”) dhe të hapin një investigim formal: në fakt, pavarësisht 9 milion dollarëve vjedhje, si FBI-ja, ashtu edhe kompanitë e sigurisë e e njohin Business Club vetëm si emër. E dyta, duhet të çmontojë strukturën dixhitale të Game Over (detyrë e Werner dhe Stone-Gross). E treta, duhet të çaftësojnë të gjithë infrastrukturën fizike e botnet-it, gjë që nënkupton të sigurohen mandate në shkallë ndërkombëtare për të mbyllur serverët e përhapura në të gjithë botën. Me t’u marrë kontrolli i botnet-it, është thelbësore që partnerët e kompanive private të jenë të gatshëm të instalojnë në kompjuterët e infektuar përditësimet dhe patch-et e nevojshme të sigurisë. Të gjitha lëvizjet janë thelbësore dhe të ndërvarura midis tyre: mjaftonte që njëra të dështonte dhe i gjithë operacione shkonte për dreq si të mëparshmit. Keith Mularski, sot agjent special i Cyber Division të FBI-së, nënshkruan marrëveshje ndërkombëtare të paprecedent për qeverinë qmerikane, duke kontaktuar National Crime Agency angleze dhe organizata qeveritare të Zvicrës, Hollandës, Ukrainës, Luksemburgut dhe të paktën nja 10 vendeve të tjera, përveç ekspertëve të Microsoft, CrowdStrike, McAfee, Dell Secure Works dhe kompanive të tjera. Bashkëpunimi i parë është me hollandezen Fox-It, eksperte në investigimet online, që kërkon të riaktivizojë fjalëkalime dhe emaile të vjetra të lidhur me rrethin e bashkëpunëtorëve më të ngushtë të Slavik, për të kuptuar sesi funksionon grupi. Zbulojnë se Business Club përbëhet nga rreth 50 persona; secili, për të pasur akses në sistemin e kontrollit të avancuar të Game Over, ka paguar një kuotë. Rrjeti menaxhohet nga dy uebsajte anglezë të mbrojtur, Visitcoastweekend. com dhe Work.businessclubs.so, që përmbajnë në brendësinë e tyre regjistra shumë të detajuar, një faqe FAQ dhe zgjidhje të problemeve. «Një sistem me profesionalizëm absolut», thotë Michael Sandee i Fox-It. «E njihni sekuencën e saktë dhe skadimin e transaksioneve më konsistentë midis institucioneve financiare më mirë se vetë bankat».

 

  1. Spyware

Një ditë, pas muajsh të tërë kërkimesh, Fox-It merr “informacion” nga një burim i rezervuar: një adresë emaili për t’u verifikuar. «Ndiqnim shumë thërrime buke herëpashere», pranon Mularski. Por kjo gjurmë çon në një server anglez të përdorur nga Slavik për të menaxhuar uebsajtet e Business Club. Në fund, pas investigimesh dhe urdhërash të ndryshme nga ana e gjykatave ndërkombëtare, arrijnë në disa rrjete sociale ruse ku kjo adresë emaili është e shoqëruar me një emër: Evgeniy Mikhailoviç Bogaçev. Në fillim u thotë pak ose aspak investigatorëve. Pastaj, pas javësh të tëra investigimesh, kuptojnë se bëhet fjalë për shpikësin e Zeus dhe të Business Club. Slavik është një mashkull 33 vjeçar, që i përket shoqërisë së mesme të lartë. Jeton në Anapa, një lokalitet balnear në Detin e Zi. Nga fotot e botuara në profilin e tij shikohet se pëlqen të bëjë xhiro me varkë me gruan dhe vajzën e vogël. Një foto e paraqet teksa i veshur me pizhama si lëkurë leopardi dhe syze dielli të zeza mban në krah një maçok të madh. Investigatorët hollandezë zbulojnë edhe se ka shkruar draftin e parë të atij që më pas do të bëhej Zeusi i tmerrshëm në moshën 22 vjeçare. Nuk është surpriza e vetme: dora dorës që investigimi vazhdon, kuptojnë se dikush, në majën e Game Over, ka përdorur rregullisht qindra kompjuterë të infektuar nga botnet-i për të hyrë në adresat email e agjentëve të shërbimeve sekrete gjeorgjiane apo të krerëve të policisë turke, në dokumente ukrainas të klasifikuar top sekret dhe deri material lidhur me luftën në Siri dhe me shitblerjen e armëve të kryer nga ushtria ruse. «Spiunazh në kuptimin e vërtetë të fjalës», zbulon Sandee. Kështu, Game Over nuk është vetëm një malware i sofistikuar për të kryer krime online: është edhe një instrument i përparuar inteligjence.

Sipas investigatorëve, në Business Club, Bogaçev është i vetmi në korrent të kësaj karakteristike të fshehtë të botnet-it. FBI-ja dhe Fox-It nuk kanë gjetur asnjë provë të drejtpërdrejtë që e lidh me qeverinë ruse, por kanë parë që marrë udhëzime se ku ti drejtojë kërkimet e tij në rrjetin e pamatë të kompjuterëve: është një resurs i shërbimeve sekrete të Moskës. Në mars të 2014 investigatorët vërejnë deri reflekset e drejtpërdrejta se një krizë ndërkombëtare do të shfaqet në brendësi të rrjetit kriminal: pak javë më vonë zhvillohet Olimpiada e Sochi, trupat ruse pushtojnë rajonin ukrainas të Krimesë dhe, në atë moment, Bogaçev aktivizon seksionin e botnet-it që kontrollon kompjuterët e infektuar në Ukrainë në kërkim informacionesh sekrete që t’i mundësojnë inteleigjencës ruse parashikimin e lëvizjeve të kundërshtarit. Lidhjet me autoritetet ruse shpjegojnë jo vetëm sesi Bogaçev ka arritur të krijojë në mosndëshkueshmërinë më totale një biznes kriminal të këtij niveli, por tregojnë edhe historinë e Zeus, që ka lindur pakashumë në 2010, kur Slavik ka përfunduar duke u tërhequr për ta kufizuar më tej aksesin në malware ekskluziv të tij. Ndoshta kishte përfunduar në shënjestrën e shërbimeve sekrete ruse dhe, në shkëmbim të lejes për të vazhduar me aktivitetet e tij (natyrisht, jashtë territorit rus), shteti i ka kërkuar që të bashkëpunojë. Kjo do të shpjegonte pse ka aktivizuar një sistem kontrolli më të rreptë mbi rrjetin kriminal. Këto zbulime janë të rëndësishme për hetimin, por i komplikojnë gjërat, pasi i gjithë operacioni kalon nga bashkëpunimi me autoritetet ruse. Tani që Evgeniy Mikhailoviç Bogaçev është rrethuar, një gjykatë mund ta akuzojë se është kreu i Game Over Zeus dhe ta inkriminojë. Avokatët përpiqen të sigurojnë dokumentat dhe autorizimet e nevojshme për të proceduar dhe mbyllur rrjetin: «9 persona nga 55 të tillë kanë punuar me kohë të plotë lidhur me këtë rast», shpjegon Michael Comber, Prokuror Zonal në Pittsburgh. Për 1 muaj të tërë investigatorët u kërkojnë më skrupolozitet të gjithë provider-ëve që të sulmojnë server proxy e Game Over, për t’u siguruar që në momentin e duhur do të jenë në gjendje të heqin kontrollin nga ana e Slavik. Ndërkohë, Homeland Security, Carnegie Mellon dhe kompani të tjera që prodhojnë antivirusë përgatiten që të ndihmojnë klientët e tyre për të riaktivizuar kompjuterët e infektuar.

Në pranverën e 2014, ndërsa trupat ruse janë tashmë në luftë me Ukrainën, forcat ndërkombëtare e drejtuara nga Shtetet e Bashkuara janë gati të lëshojnë sulmin ndaj kibernokriminelit. Janë përgatitur një vit të tërë, kanë studiuar mënyrën e bllokimit të malware, kanë spiunuar chat-et e bandës për t’i kuptuar psikologjinë dhe kanë shoshitur infrastrukturat fizike e serverëve që i mundësojnë rrjetit të zgjerohet kudo. «Tashmë e njihnim malware më mirë se krijuesi i tij», thotë Elliott Peterson, agjent i FBI-së. Mularski kujton se njerëzit e tij kishin kontrolluar të gjitha fazat e operacionit: «Në nivel ilegal, mund ta bëjmë. Në nivel legal, mund ta bëjmë. Në nivel teknik mund ta bëjmë». Sulmi, i koordinuar falë 70 provider-ëve të internetit dhe me bashkëpunimin e agjencive qeveritare të gjysmës së botës, nga Kanadaja në Angli, nga Japonia në Itali, nis të premten 30 maj.

 

  1. Takedown

Javët e fundit janë frenetike. Werner dhe Stone-Gross mbrrijnë në Pittsburgh dhe sistemohen në apartamentin e Peterson, djemtë e të cilit mbeten gojëhapur kur dëgjojnë theksin gjerman e të parit. Bëjnë përmbledhjen e situatës të ulur në tavolinë, përpara një birre. Janë të vonuar. Kodi i shkruar nga Werner nuk është ende gati. E përfundojnë brenda një jave, ndërsa një ekip i dytë grumbullon të gjitha mandatet dhe urdhërat e gjykatës dhe një i tretë grumbullon kompanitë private, agjencitë qeveritare dhe konsulentët që do të kontribuojnë për të mundur Game Over Zeus. Shtëpia e Bardhë është informuar dhe pret rezultate. Por gjërat nuk duket se po ecin në drejtimin e duhur. Për muaj janë të bindur se botnet-i është i kontrolluar nëpërmjet një serveri në Kanada, por pak ditë përpara sulmit kanë zbuluar se ekziston edhe një i dytë në Ukrainë. «Në rast se nuk dinim ekzistencën e një niveli të dytë, si mund të ishim të sigurtë se nuk ekzistonte ndoshta edhe një i tretë?», rrëfen Werner. Të enjten datë 29, ndërsa Stone-Gross po u komunikon provider-ëve procedurat që duhet të ndjekin gjatë sulmit, një prej më të rëndësishëmve vendos të tërhiqet nga frika e reagimit të Slavik. Së fundi, ditën e fillimit të sulmit, kur Werner dhe Stone-Gross futen në zyrën në brigjet e lumit Monongahela, zbulojnë me tmerr se një prej bashkëpunëtorëve të mëdhenj, antivirusi McAfee, ka botuar në një blog një postim me titull: “Game Over për Zeusin dhe CryptoLocker”. Arrijnë që t’ia heqin dhe sulmojnë. Autoritetet e Kanadasë dhe të Ukrainës fikin serverat; Werner dhe Stone-Gros ridrejtojnë kompjuterët zombie në një sinkhole të sigurtë dhe të programuar me kujdes, duke thithur të gjithë trafikun dhe duke i bllokuar Business Club aksesin në sistemin e tij. Në fillim nuk ndodh asgjë. Në orën 13 kanë rikuperuar vetëm nja 100 makina, një numër i papërfillshëm po të kihet parasysh se botnet-i ka arritur të kontrollojë të paktën gjysmë milioni. Werner dhe Stone-Gross fillojnë të mendojnë se kanë bërë një gabim në programimin e kodit dhe e rishikojnë nga fillimi, ndërsa një shpurë zyrtarësh të lartë i vëzhgon: «Jo për t’ju vënë nën presion», ndërhyn Mularski, «por se nëse do arrinit ta bënit funksional do të ishte fantastike». Nga mbrëmja, trafiku fillon e rritet. Nga ana tjetër e botës, Bogaçev shfaqet online. Sulmi i ka prishur planet për fundjavën. Ndoshta në fillim nuk është preokupuar shumë, duke pasur parasysh që i ka zmbrapsur shumë të tjerë. «Nuk ka kuptuar atë që kishim bërë», kujton Peterson. Kur vjen nata, Slavik është gati për luftë: lufton për të ruajtur kontrollin e tij, ridrejton trafikun në serverë të rinj, deshifron kodet sulmuese e ekipit të Pittsburgh. «Ishte një luftë kibernetike trup me trup në kuptimin e vërtetë të fjalës», kujton David Hickton, Prokurori i Përgjithshëm i Pittsburgh. «Një spektakël absolutisht magjepsës». Ekipi arrin që të monitorojë kanalet e komunikimit të Bogaçevit pa e kuptuar ai dhe që të shuajë server proxy e tij në Turqi. E vërejnë teksa tenton në mënyrë të dëshpëruar të kthehet online, duke përdorur sistemin e komunikimit anonim Tor pëe të rifituar shikueshmëri. Pas orësh beteja virtuale të humbura, Slavik zhduket. Nuk e priste një sulm të ngjashëm, nuk është më në gjendje të mbrohet. «Duhet ta ketë kuptuar se nuk bëhej fjalë për aksionin e një ekipi të thjeshtë hulumtuesish, por se prapa ndodhej inteligjenca», pohon Stone-Gross. Të dielën në mëngjes, pas 60 orësh luftë, ekipi i Pittsburgh e di se ka fituar. Të hënën 2 qershor, FBI-ja dhe Departamenti i Drejtësisë japin lajmin dhe shpallin një urdhër arresti me 14 aktakuza kundër Bogaçev. Gjatë javëve në vazhdim, Slavik vazhdon që të luftojë (arrin që të lëshojë një kundërsulm pikërisht teksa Werner dhe Stone-Gross marrin pjesë në një konferencë në Montreal), por në fund të dy fitojnë. Dy vite më pas, situata ka mbetur njëlloj: botnet-i nuk është riaktivizuar më, edhe pse mendohet se botë ka të paktën 5000 kompjuterë të infektuar nga malware Zeus. Kompanitë që kanë marrë pjesë në operacion e mbajnë aktive sinkhole që thith trafikun e gjeneruar nga këto makina. Sulmet online ndaj llogarive bankare në Amerika nuk janë zhdukur. Hetimet sugjerojnë se dhuna e ashpër midis viteve 2012 dhe 2014 ka qenë vepër e dhjetëra bandave: por pjesa më e madhe e vjedhjeve është kryer nga një grup kriminelësh mjaft të përgatitur, Business Club. «Dukej sikur ishte gjithandej», kujton Peterson: «Në fakt qenë një rrjet shumë i vogël dhe më i lehtë për t’u ndaluar nga sa mendohej».

 

  1. Pas

Në 2015, Departamenti i Shtetit ka vënë një shpërblim prej 3 milion dollarësh për kokën e Evgeniy Mikhailoviç Bogaçevit, më e larta e vendosur ndonjëherë për një kriminel informatik. Megjithatë, famëkeqi Slavik është ende i lirë. Sipas burimeve të inteligjencës, Uashingtoni nuk dyshon se është realisht i përfshirë në fushatën online për influencimin e zgjedhjeve presidenciale. Përkundrazi, administrata Obama e ka futur në listën e të sanksionuarve vetëm për t’i bërë presion qeverisë ruse. Shpresa është që t’ua dorëzojnë Shteteve të Bashkuara për të demonstruar se kanë qëllim të mirë. Ose, në një moment të caktuar, dikush do të dojë t’i marrë ato 3 milion dollarë dhe, me maturitë e duhura, do t’i bëjë një “cërre” FBI-së. E vërteta jokomode është se Bogaçev dhe kibernokriminelë të tjerë rusë janë jashtë kapjes së qeverisë amerikane. Rasti Game Over nxjerr shumë pikëpyetje: raporton efektiv të Slavik me inteligjencën ruse; shumën e saktë e vjedhjeve të tij (që sipas disa agjentëve shkon në 100 milion dollarë). Janë të njëjtat sfida që presin analistët që do të duhet të merren me hakerimin e Democrat National Committee gjatë zgjedhjeve të fundit. Fatmirësisht, do të kenë një aleat: rasti është në duart e e zyrës së FBI-së të Pittsburgh. Ndërkohë Mularski dhe ekipi i tij po përballojnë kërcënime të reja. Metodat kriminale e përdorura për herë të parë nga Bogaçev tani po përdoren nga të gjithë. Përdorimi i ransomëare-ëve po përhapet gjithnjë e më me shpejtësi dhe botnet-et e gjeneratës së fundit – veçanërisht Mirai, një rrjet aparaturash të infektuara nga interneti i gjërave – janë shumë më të rrezikshme se ajo e Bogaçevit. Mbi të gjitha, askush nuk e di as se çfarë po komploton, as ku është Evgeniy Mikhailoviç Bogaçev. Në Pittsburgh vazhdojnë të vijnë “cërre”, por nuk ka asnjë gjurmë të një rikthimi aktual të tij. Të paktën për momentin.

(Garrett M. Graff është një gazetar dhe shkrimtar i lindur në Montpelier të shtetit Vermont. Pas studimeve në Harvard, në vitin 2004 ka qenë përgjegjës shtypi i kandidatit demokrat për President Howard Dean. Ka drejtuar të përmuajshmen “The Washingtonian” dhe revistën bimestrale të uebsajtit Politico. Është Zëvendësdrejtor i Cybersecurity & Technology Program të Aspen Institute)

 

Përgatiti

ARMIN TIRANA

LEAVE A REPLY