Israelerne spionerte på russiske spioner

Israelske etterretningsoffiserer observerte hackere fra den russiske regjeringen i sanntid mens de søkte etter amerikanske etterretningshemmeligheter i datamaskiner over hele verden.

Denne oppsiktsvekkende historien har ikke vært publisert tidligere, og blir fortalt i New York Times av de to dyktige journalistene Nicole Perlroth og Scott Shane. Førstnevnte skriver om cybersikkerhet og har fått flere priser for sin avsløring av Kinas forsøk på å stjele militære og industrielle hemmeligheter, mens sistnevnte skriver om amerikansk sikkerhet, med emner som russiske angrep på valget i USA, Hillary Clinton og intervensjonen i Libya og Snowden og WikiLeaks. Han har to ganger blitt nominert til den presisjetunge Pulitzer-prisen.

ANTIVIRUSPROGRAMVARE – PERFEKT FOR SPIONASJE
Det som i utgangspunktet har gjort russernes hacking mulig, er verdens utstrakte bruk av antivirus-produktet Kaspersky. Programvaren er russiskutviklet, og blir daglig brukt av mer enn 400 millioner mennesker verden over. Blant disse er et tjuetalls amerikanske regjeringsorganer. Nå skal ingen uimotsagt hevde at andre valg av antivirus-programvare er risikofritt eller hindrer spionasje, men velger man programvare produsert av vennligsinnede stater, har man i det minste ikke åpnet for potensielle fiender.

Historien kan virke sjokkerende på mange, men åpner utvilsomt øynene for hva som foregår. At russerne utnytter Kaspersky antivirus for hacking og etterretning ble for øvrig kjent for to år siden.

Det har i årevis versert rykter om at Kaspersky har vært brukt av russiske myndigheter for nettopp spionasjeformål ved at programvaren inneholder en bakdør som kan brukes til å tappe ulovlig informasjon. Mer enn 60 % av programvarehusets inntekter stammer fra salg i USA eller Vest-Europa. Blant andre er programmet i bruk i flere titalls departementer og avdelinger i det offentlige USA, som innenriks-, forsvars-, energi-, justis- og finansdepartementet, samt i hæren, marinen og i luftforsvaret.

KASPERSKY FJERNES
Israelerne varslet amerikanske myndigheter om hva de hadde funnet, og dette førte til at det forrige måned ble bestemt at Kaspersky antivirus skulle fjernes fra alle datamaskiner som blir brukt av den amerikanske regjering. 13. september bestemte Homeland Security (DHS) at alle tilsluttede kontorer skulle avvikle all bruk av Kaspersky, og har gitt avdelingene sine 90 dager til å avinstallere programvaren.

Mange mente direktivet for lengst burde vært gjennomført. Det var i all hovedsak basert på etterretning som bygger på Israels inntrenging i Kasperskys bedriftssystemer allerede i 2014. Dette skal ha utløst en heftig debatt blant ansvarlige i etterretningstjenesten, og det ble laget analyser og spekulert i mulige bånd mellom antivirusfirmaet og regjeringen i Kreml. DHS sa i en uttalelse at «risikoen er at den russiske regjering, enten på egenhånd eller i samarbeid med Kaspersky kan kapitalisere på tilgang de får via produkter fra Kaspersky, og slik kan kompromittere føderal informasjon og informasjonssystemer som direkte impliserer USAs nasjonale sikkerhet.»

Kaspersky selv oppdaget ikke den israelske inntrengningen før midten av 2015, da en tekniker testet et nytt oppdagelsesverktøy, og fant uvanlig stor aktivitet i firmaets nettverk. De publiserte sine funn 10. juni. Rapporten nevnte ikke Israel, men pekte på at angrepet hadde likhetstrekk med «Duqu», et virus som etter all sannsynlighet hadde samme skaperne som «Stuxnet«, det israelsk-amerikanske viruset som ødela uran-sentrifuger for Iran og forsinket landets kjernefysiske våpenprogram i 2010. Kaspersky ser likhetstrekk med algoritmer og kode i Duqu, og sier at programmet på enkelte områder er enda mer sofistikert enn dette.

Det nye angrepet, som av Kaspersky ble kalt «Duqu 2.0», rammet hoteller og møtesteder som ble brukt for lukkede møter med medlemmer av USAs Sikkerhetsråd når de skulle forhandle om betingelsene for atom-avtalen med Iran. Ettersom noen av angrepsmålene var i USA, regnet man med at Israel var alene om denne operasjonen.

LAGET NYE BAKDØRER
Forskerne hos det russiske antivirusfirmaet oppdaget at angriperne hadde gravd seg dypt ned i datamaskinene og hadde operert i månedsvis uten å bli oppdaget. Det ble også oppdaget senere at de israelske hackerne hadde lagt til flere bakdører i Kasperskys systemer, og hadde sofistikerte verktøy for å stjele passord, ta skjermdump og gjennomsøke e-post og dokumenter.

Rapporten forteller også at angriperne hovedsakelig syntes å være interessert i firmaets arbeid med angrep mot nasjoner og stater, og da spesielt Kasperskys arbeid med «utligningsgruppen» – et internt uttrykk for NSA, og «Regin»-kampanjen, en annen intern benevnelse for en hackergruppe i Storbritannias etterretningsorgan the Government Communications Headquarters, eller GCHQ.

Israelske etterretningsoffiserer informerte NSA om at de under hackingen fant bevis for at hackere som arbeidet for den russiske regjeringen brukte den tilgangen Kaspersky ga dem til aggressiv skanning av hemmelige amerikanske regjeringsprogrammer. Det de fant, ble sendt til russisk etterretning. De ga sine kolleger i NSA solide beviser på den russiske aktiviteten i form av skjermdump og annen dokumentasjon, skriver de to amerikanske journalistene i sin artikkel.

Også NSA forbyr sine analytikere å bruke programvaren. Dette skyldes for en stor del byråets egen bruk av nettopp antivirus-programvare til hacking-operasjoner og spionasje.

– KAN SPIONERE PÅ MILLIONER AV BRUKERE
«Antivirus er den ultimate bakdør», uttalte Blake Darché, en tidligere operatør i NSA som også var med å grunnlegge sikkerhetsfirmaet Area 1 Security. «Det gir en stabil og konsistent fjerntilgang som kan brukes til alt mulig, fra destruktive angrep til spionasje på tusenvis, kanskje millioner av brukere.»

Fremgangsmåten var at russerne stjal klassifiserte dokumenter fra PC-en til en ansatt i det nasjonale sikkerhetsbyrået NSA. Vedkommende skal ha lastet ned dokumentene ulovlig, og fordi han brukte Kaspersky, fikk russerne muligheten til å stjele dokumentene. Russerne skal i tillegg ha gjort Kaspersky til en slags Google-tjeneste for søk etter hemmelige dokumenter, fortelles det. Både tidligere ansatte og nåværende som har uttalt seg til journalistene, har bedt om anonymitet.

Som all annen sikkerhetsprogramvare ber Kaspersky om full tilgang til alle filer på datamaskinen, og forsøk på kompromittering som virus, skadevare og andre trusler isoleres, og en rapport blir sendt til produsenten. Dette gjorde Kaspersky til et ideelt verktøy for russisk etterretning. Ved bruk av dette verktøyet kunne de uhindret søke gjennom datamaskiner etter interessant informasjon.

Journalistene sier at verken russisk, israelsk eller amerikansk etterretning vil kommentere saken. Russerne svarte heller ikke på henvendelsen.

Forrige uke fortalte Wall Street Journal at russerne stjal gradert NSA-materiale fra pc-en til en konsulent som brukte Kaspersky programvare. Men Israels rolle i denne avsløringen har ikke vært offentliggjort tidligere. Heller ikke at de var med å avsløre at programvaren er brukt i en større sammenheng av russiske hackere for å få tak i amerikanske hemmeligheter.

VANSKELIG Å SI NEI TIL PUTIN
Det er ikke avklart hvorvidt programvareleverandørens ledelse, eventuelt ansatte, er involvert i spionasjen. I teorien kan utnyttelsen av programvaren ha skjedd uten bedriftens medvirkning eller vitende, sier tekniske eksperter. En annen mulighet er at russisk etterretning kan ha infiltrert firmaet uten deres vitende.

Men eksperter på Russland forteller at firma som blir «bedt om assistanse» av Vladimir V. Putin, som er tidligere KGB-offiser, nok kan føle at de ikke har annet valg enn å gjøre det de blir bedt om. Litt som i filmene om «Gudfaren» hvor enkelte får «et tilbud de vanskelig kan si nei til,» kanskje. Resultatet kunne bli motvilje fra regjeringen, rettet mot ledelsen eller selve firmaet. Eugene V. Kaspersky, grunnleggeren i antivirus-firmaet, har tidligere tjent i Russlands forsvarsdepartement og var med i et etterretningsinstitutt, og sies å være nokså kjent med hva det eventuelt ville koste å si nei til Putin.

Steven L. Hall, en tidligere CIA-sjef for Russland-affærer, fortalte at hans tidligere arbeidsgiver aldri brukte Kaspersky-programvare, i motsetning til andre amerikanske departementer. I 2013 skal russiske diplomater ha prøvd å overbevise USAs regjering om at det bare var et «vanlig sikkerhetsfirma.» Hall kjøpte ikke bløffen. Tvert imot hadde han en dårlig magefølelse overfor Kaspersky. «Alle som jobbet med Russland eller i kontraetterretningen delte denne oppfatningen» sa han.

AMERIKANSKE SIKKERHETSMYNDIGHETER I HARDT VÆR
De to journalistene forteller at amerikanske sikkerhetsmyndigheter er i hardt vær for tiden. Det er nemlig ikke bare russerne som førsøker å hacke dem. Også en gruppe som kaller seg Shadow Brokers brøt seg inn hos NSA i fjor. Mange av hemmelighetene de stjal, ble lagt ut på nettet. Gruppens identitet er til nå ikke avslørt. Heller ikke CIA, etterretningsmyndighetene selv går fri. En gruppe som kaller seg Vault7 legger med jevne mellomrom ut klassifiserte dokumenter.

New York Times: How Israel Caught Russian Hackers Scouring the World for U.S. Secrets