Një haker rus pa fytyrë vjedh miliona dollarë nga banka dhe llogari bankare nga e gjithë vota. Është hajduti më i pasur, një hyjni unformatike. Emri i tij shfaqet edhe në listën e atyre që kanë interferuar në presidencialet amerikane e 2016. Spiun apo kibernokriminel?
Mëngjesin e 30 dhjetorit 2015, të nesërmen e fillimit të sanksioneve që Barack Obama ka vendosur t’i imponojë Rusisë për shkak të ndërhyrjeve të Moskës në zgjedhjet presidenciale të 2016, Tillmann Werner po përgatit mëngjesin në shtëpinë e tij në Bon të Gjermanisë. Lyen me marmalatë një copë buke të zezë, mbush një filxhan me kafe dhe i hedh një sy Twitter. Është kërkues tek CrowdStrike, një kompani e specializuar në sigurinë informatike.
Lajmi i sanksioneve është përhapur para pak orësh, gjatë natës. Nga një link zyrtar, Werner zbulon se Shtëpia e Bardhë ka një listë shumë të përzgjedhur institucionesh dhe personalitetesh ruse për t’u goditur: dy agjenci inteligjence, 4 oficerë shërbimesh sekrete, 35 diplomatë, 3 kompani hi-tech, dy hakerë. Nuk ka shumë detaje. Por në një moment pushon së lexuari listën, me shikimin e fiksuar mbi një emër të fshehur midis të tjerëve: Evgeniy Mikhailoviç Bogaçev.
E njeh mirë: Tillmann Werner është goxha në dijeni, deri në detajet më të imëta teknike, të botës nga e cila Bogaçev ka terrorizuar dhe plaçkitur sistemet financiare ndërkombëtare, duke gëzuar një mosndëshkueshmëri totale, frustruese. E di se çfarë do të thotë të provosh ta ndalosh. Por ajo që injoron në realitet është roli që hakeri rus mund të ketë pasur në sulmin informatik ndaj zgjedhjeve amerikane. Bogaçev nuk është si të tjerët në listë. Nuk është teknicien apo njeri financash, është vjedhës bankash. Noshta vjedhësi i bankave që fiton më shumë në botë. «Çfarë dreqin do ky emër në këtë listë?», pyet veten Werner.
- Omaha
Lufta kundër kibernokriminelit më të madh rus nis në pranverën e 2009, kur Agjenti Special James Craig, punonjës i FBI-së në selinë e Omaha të shtetit Nebraska, nis të hetojë lidhur me disa vjedhje të çuditshme. Ish marins me nofullat e prera, ka hyrë në FBI vetëm 6 muaj më parë, por, parë nga kurrikulumi, eprorët i kanë besuar tashmë një rast: për vite, përpara se ta rekrutohet, Craig kishte punuar si teknik informatik dhe kolegët e kanë mbiquajtur “The Silent Nerd”.
Rasti ka të bëjë me një kompani të lidhur me First Data, kolos i shërbimeve të pagesave online, të cilës në maj i janë zhdukur 450000 dollarë; pak kohë më pas, vledhja e 100000 dollarëve të tjerë në dëm të një klienti të First National Bank, dega e Omaha. Një gjë e çuditshme: aksesi i kryer për të realizuar vjedhjet ka ndodhur nëpërmjet IP adresave të vetë viktimave. Me fjalëkyçet, me fjalëkalimet e tyre. Mbas shqyrtimit të kompjuterëve respektivë, agjenti Craig ka zbuluar se janë infektuar nga i njëjti malëare, një njohje e vjetër e botës së sigurisë online i quajtur Zeus Troian Horse, “Kali i Trojës Zeus”.
Aktiv qysh nga 2006, Zeus konsiderohet një kryevepër e vërtetë nga ekspertët e sigurisë kibernetike: i thjeshtë, efikas, i zhdërvjelltë. Krijuesi i tij është një fantazmë që në rrjet quhet Slavik apo lucky12345, përveç të paktën nja 10 emrave të tjerë. I infekton kompjuterët duke ndjekur disa procedura tipike: emaile false nga ana e IRS-it (Shërbimit të Brendshëm të të Ardhurave të Shteteve të Bashkuara, shënimi im.) apo të marra me dërgesa të shërbimit UPS, që mashtrojnë viktimat e paracaktuara dhe i shtyjnë që të shkarkojnë një fajl.
Në këtë pikë, Zeus e trasformon hakerin në padronin absolut të botës tënde: falë një softueri keystroke logger, në gjendje të interceptojë dhe të kapë fshehtësisht gjithçka që shtypet, mund të kopjojë fjalëkalime, fjalëkyçe dhe kode PIN nga uebsajtet, të modifikojë normat e aksesit duke kërkuar informacione shtesë (si për shembull mbiemri i vajzërisë së nënës apo numrin e Sigurisë Sociale). Është një stratagjemë e njohur si “njeriu në shfletues”: ndërsa logoheni qetësisht në uebsajte në dukje të sigurtë, malëare modifikon faqet e aksesit një çast përpara se të ngarkohen, ju merr të dhënat personale dhe ju boshatis llogaritë. Mbi të gjitha, e kuptoni këtë vetëm pasi lidheni nga një kompjuter tjetër.
Brenda pak kohësh Zeus është bërë malware referues i botës së kibernokrimit, Microsoft Office i mashtrimeve online. Nga ana e tij, Slavik është një gjë e rrallë në këtë mjedis, një profesionist i vërtetë që azhornon kodin falë testimeve beta të vazhdueshme për ta bërë sa më të adaptueshëm, me ndryshore të optimizuara sipas llojeve të ndryshme të sulmit dhe objektivave të ndryshëm.
Një kompjuter i infektuar mund edhe të futet në një botnet, një rrjet i kontrolluar nga dispozitivë të infektuar që mund të përdoret për të menaxhuer serverë spami, lëshuar sulme të tipit DDoS (Distributed Denial of Service): objektivi përmbytet me trafik dhe bllokohet ose është i detyruar të dërgojë emaila falsë në mënyrë që të kontribuojë në përhapjen e mëtejshme të malëare.
Përpara se agjenti Craig të fillonte të merrej me rastin, Slavik ka ndryshuar strategji: është krijuar një rreth i ngushtë bashkëpunëtorësh, të cilëve u ka xhiruar një variant të malëare të quajtur “Jabber Zeus”. Është pajisur nga një plug-in Jabber për IM-të, që u mundëson sistemeve të komunikojnë në kohë reale dhe të koordinojnë sulme të shumëfishta. Saktësisht si dy vjedhjet në Omaha. Në vend që të sulmojë rrjete gjithnjë e më të mëdha, shënjestron kontabilistët e korporatave dhe subjektet që kanë akses në sistemet financiare e kompanive të mëdha.
Ndërkohë, Slavik e redukton biznesin. Në 2010 njofton tërheqjen online, pastaj vë në shitje 10000 dollarë një kopje të Zeus 2.1, versionit të avancuar të malware të tij të mbrojtur nga një çelës i kriptuar që lidh çdo kopje me një përdorues të veçantë: tani, praktikisht, është ai që menaxhon një grup të vogël kriminelësh ambiciozë. «Nuk kishim ide për përmasat reale të rastit», pranon Craig, «aktiviteti i kësaj bande ishte fenomenal». Një numër në rritje institucionesh dhe kompanishë ankohet për vjedhje të dhënash dhe parashë. I ulur në skrivaninë e tij në periferi të Omaha, kupton se është përballë një rrjeti krimnal ndërkombëtar të mirëorganizuar: «Numri i viktimave është rritur në mënyrë marramendëse». Është pafundësisht më i lartë se çdo kibernokrim tjetër me të cilin FBI-ja është ndeshur ndonjëherë.
- Jabber Zeus
Për Craig kthesa e parë ka ardhur në shtatorin e 2009: me ndihmën e disa ekspertëve, identifikon një server me bazë në New York që duket se mbulon një rol të rëndësishëm në rrjetin Zeus. Siguron një mandat, një ekip i FBI-së ndërhyn dhe i shkarkon të dhënat e serverit në një harddisk që i dërgon në Nebraska. Mbetet i shtangur: dhjetëra mijëra aksese në chat IM në Rusi dhe Ukrainë. Inxhinieri që ka hapur fajlin i thotë: «Tani ke në dorë serverin e Jabber».
Bëhet fjalë për të gjithë operacionin dixhital të bandës, për planveprimin e rasttit në kuptimin e plotë të fjalës. Kompania e kibernosigurisë Mandiant cakton për muaj me radhë një ekspert në Omaha që të deshifrojë kodin Jabber Zeus; FBI-ja dërgon agjentë të tjerë që të bashkëpunojnë për rastin me turne 60 dhe 90 ditore, ndërsa gjuhëtarë nga i gjithë vendi impenjohen që të deshifrojnë regjistrat: «Për ne, zhargoni i tyre përbënte një sfidë të vërtetë», kujton Craig. Në mesazhe ka referime për qindra viktima, me emra dhe kredenciale të shpërndara aty këtu nëpër fajla. Craig dhe kolegët e tij fillojnë të kontaktojnë kompani dhe institucione qeveritare që t’i paralajmërojnë për vjedhjet informatike e shkaktuara në dëm të tyre.
Shumë i kanë pushuar tashmë nga puna disa punonjës të dyshuar për bashkëpunim, por nuk e kanë kuptuar se kompjuterët e tyre janë infektuar nga malëare dhe se të dhënat hyrëse u vidhen. Rasti zgjerohet edhe përtej botës virtuale. Një ditë, në 2009, tri vajza nga Kazakistani hyjnë në zyrën e FBI-së të New York dhe tregojnë një histori të çuditshme. Të ardhura në Shtetet e Bashkuara për të kërkuar punë, janë punësuar menjëherë nga një njeri që i ka çuar në një bankë dhe i ka kërkuar që të hapin një llogari, duke deklaruar se janë studente në udhëtim studimi për një verë të vetme.
Disa ditë më pas, i njëjti njeri u ka thënë që të kthehen tek banka dhe të tërhiqnin të gjitha paratë që gjenin në ato llogari, të mbanin një përqindje dhe t’ia dorëzonin atij kusurin. Agjentët e ndërtojnë skemën dhe kuptojnë se tri femrat janë “korrierë parashë”: puna e tyre konsiston në rikuperimin, në kesh, e të gjitha parave që Slavik dhe bashkëpunëtorët e tij u kanë tërhequr online shumë llogarive të rregullta bankare.
Kur vjen vera e 2010, autoritetet kanë alarmuar tashmë të gjitha bankat e New York dhe u kanë kërkuar atyre që të njoftojnë FBI-në për çdo operacion eventual të dyshimtë. Pak nga pak, del se dhjetëra korrierë kanë tërhequr dhjetëramijëra dollara; për më tepër, bëhet fjalë për studentë apo emigrantë të sapoardhur në zonën Brighton Beach (“lagja ruse” e New York, shënimi im.).
Njëra prej vajzave tregon se kish pranuar nga nevoja, pasi kishte humbur punën në një supermarket: «Alternativa? Do më duhej të zhvishesha në ndonjë një strip club…». Një mashkull tregon se është marrë në mëngjes, pasi ka bërë tërheqje në bankë nga ora 9 në 15 dhe se më pas e ka kaluar pjesën e mbetur të ditës në plazh. Pjesa më e madhe e tërheqjeve nuk i arrin 9000 dollarët, limiti maksimal për të mos rënë pre e kontrolleve.
Korrieri përfiton midis 5 dhe 10% të shumës, një përqindje i shkon rekrutuesit dhe kusuri dërgohet jashtë vendit. Gjithsesi, Shtetet e Bashkuara janë vetëm një prej vendeve ku ndodh e gjitha kjo: investiguesit kuptojnë se ndodhen përballë një shumëkombësheje të vjedhjes së operon duke përdorur të njëjtën metodë në Rumani, në Republikën Çeke, në Mbretërinë e Bashkuar, në Ukrainë dhe në Rusi.
Veç kësaj, dyshojnë se kjo “xhiro” ka sjellë minimalisht midis 70 dhe 80 milion dollarëve. Por mund të jenë edhe më shumë. bankat fillojnë të ankohen, i kërkojnë FBI-së që ta ndalojë vjedhjen dhe të bllokojë humbjet. Në verën e 2010 agjentët e Neë York arrestojnë disa rekrutues të ndryshëm dhe drejtuesit amerikane të organizatës. Falë një “cërreje”, dy moldavë arrestohen në orën 23 në një hotel në Milwaukee. Një i dyshuar tjetër ndalohet në Boston, teksa po kalon shkallët antizjarr nga apartamenti i së dashurës së tij. Ndërkohë, në Omaha, Craig ka nisur sulmin ndaj të gjithë “Jabber Zeus gang”.
FBI-ja dhe Departamenti i Drejtësisë kanë identifikuar një zonë në Ukrainën Lindore, në afërsi të Donjeckut, ku duket se ndodhen shumë krerë të rrjetit: Alexey Dmitrieviç Bron, i njohur online si “thehead”, që është i specializuar në lëvizjen e parave në të gjithë botën; Ivan Viktorviç Klepikov alias “petrOviç”, përgjegjës i rrjetit, i web hosting dhe i menaxhimit të domenit; pastaj DJ i famshëm ukrainas Vyaçeslav Igoreviç Pençukov, që duke përdorur nofkën “Tank” kontrollon të gjithë sistemin dhe në zinxhirin komandues është i dyti pas Slavik.
«Të gjithë djem 20 vjeçarë, të aftë që të menaxhojnë një vëllim dhe një cilësi organizative që do t’i ngjallnin zili çdo njërës prej 100 kompanive kryesore të revistës “Fortune”», thotë Craig. Anëtarët e bandës shpenzojnë para në makina (Pençukov ka një pasion për BMW-të dhe Porsche; Klepikov preferon Subaru sportive) dhe pushime luksoze në Krime, Turqi dhe Emirate.
Në vjeshtën e 2010 FBI-ja është e gatshme që të çmontojë rrjetin kriminal. Ndërsa drejtuesit organizojnë një konferencë për shtyp të profilit të lartë në Uashington, Craig është në një tren që për 12 orë përshkon Ukrainën deri në Donjeck, ku takohet me agjentë të shërbimit sekret vendor për të koordinuar hyrjen në shtëpinë e petrOviç dhe Tank. Njëri prej tyre i thotë Craig që të nxjerrë në pah dinstiktivin e FBI-së: «Tregoju se nuk jemi vetëm ne».
Skena është haluçinante: hakeri petrOviç, me nja xhaketë shtëpie pellushi vjollcë, nuk duket asfare i turbulluar nga agjentët që i kontrollojnë apartamentin lëmsh e li në një pallat anonim të stilit sovjetik. Gruaja e tij, në kuzhinë me djalin në krah, qesh me policët. «Kjo është banda që po kërkoj?», pyet veten Craig. Kthehet në hotel në orën 3 të mëngjesit, me 20TB të dhëna për t’i çuar në Omaha.
Rrjeti shkatërrohet falë 39 arrestimeve në 4 shtete të ndryshme, por disa prej personazheve kyçe arrijnë të largohen. Njëri prej rkerutuesve më të rëndësishëm të korrierëve e shmang kapjen fillimisht në Las Vegas, pastaj në Los Angeles dhe më pas i lë Shtetet e Bashkuara i fshehur në një konteiner. Kurse Slavik, kreu, mbetet vetëm një emër i koduar në listë.
Investigatorët dyshojnë se ndodhet në Rusi. Informacioni i vetëm për të ndodhet në një mesazh të shkruar në chat, që duket se lë të kuptojë që është martuar. Asgjë tjetër. Craig nuk ka as idenë më të vogël për fytyrën e të kërkuarit Nr.1 «Kemi mijëra foto të Tank dhe petrOviç, por ansjë të tij». edhe gjurmët në rrjet zhduken. Kushdo që të jetë, Slavik nuk ekziston më. Pas 7 vitesh hetime, James Craig kalon në raste të tjera.
- Game not over
Një vit pas operacionit kundër Jabber Zeus, rrethi i ngushtë i kibernosigurisë që merret me malware dhe botnet vëren një version të ri ytë softuerit. Kodi bazë është përhapur në rrjet (ndoshta qëllimisht, ndoshta jo) dhe malëare është trasformuar në një projekt open source me variante të pafundëm.
Një prej këtyre tërheq vëmendjen e hulumtuesve: është më i fuqishëm dhe i sofistikuar, sidomos në mënyrën sesi grumbullon botnet-et e kompjuterëve të infektuar. Më parë hakerët i dërgonin një komandë të vetme një serveri, që më pas ua shpërndante urdhërat drejtpërsëdrejti kompjuterëve të infektuar, të quajtur “zombie”… një ushtri të vdekurish të gjallë kontrollohej kështu në largësi dhe përdorej për të dërguar spam, përhapur malëare apo sulmuar uebsajte të caktuar.
Por sistemi i bënte botnet-et tejet të lehta për t’u individualizuar dhe çinstaluar: duke e nxjerrë offline serverin apo duke i ndërprerë komunikimet me hakerët, arrihej t’i bllokoje. Varianti i ri – i quajtur “Game Over Zeus” nga emri (gameover2.php) i një fajli të tij: nëqoftëse kompjuteri yt infektohej nga një prej këtyre malware, për llogarinë tënde në bankë është, pikërisht, game over – bazohet si mbi sistemin tradicional, ashtu edhe mbi komunikimin peer-to-peer midis kompjuterëve të ndryshëm zombie, dhe është shumë i vështirë për t’u mbyllur sepse është programuar apostafat për t’u rezistuar sulmeve.
Zombie-t mbajnë një listë të azhornuar të kompjuterëve të tjerë të pranishëm në rrjet dhe, nëqoftëse një server mbyllet, menaxhuesi i botnet-it mund t’i hapë një tjetër diku dhe t’i besojë peer-to-peer për të bërë që rrjeti të ridrejtohet nga ky i riu. Edhe Game Over Zeus kontrollohet nga një grup i vogël hakerësh; drejtuesi është gjithmonë Slavik. Është rikthyer, më i fortë se më parë. Klika e re kriminale e ka nofkën “Business Club”: në një komunikim të brendshëm të grupit të shtatorit 2011, në të cilin zbulohen instrumenta të rinj për të organizuar transferimet e parave dhe rekrutimi i korrierëve, Slavik shkruan kështu: «Ju urojmë që të bëni një punë të shkëlqyer».
Gjithsesi, objektivi kryesor është po ai i Jabber Zeus: bankat. Por mënyra është akoma edhe më efikase, pasi vepron në shumë fronte. Si fillim, Game Over Zeus “vjedh” të dhënat bankare e një përdoruesi sapo ky i fundit kryen një login në një llogari online dhe i transferon në një llogari tjetër; pastaj Business Club përdor botnet-in e tij të fuqishëm për ta goditur institutin me një sulm DoS, në mënyrë që t’i hutojë punonjësit e bankës dhe të pengojë klientët që ta zbulojnë vjedhjen derikur fondet të jenë transferuar plotësisht. Për shembull, me 6 nëntor 2012, FBI-ja ndjek bankën teksa me një transaksion të vetëm rrëmben 6.9 milion dollarë, pastaj paralizon bankën me një DoS që zgjat disa ditë.
Gjithmonë bëhet fjalë për operacione me 6 apo 7 zero, të realizuara online, që e bëjnë sistemin e vjetër të marrjes së parave kesh në bankat e Brooklyn krejtësisht demode. Jabber Zeus përdor lidhjet globale e të njëjtit sistem bankar për të fshehur shumat prej mijëra miliard dollarësh që spostohen çdo ditë në të gjithë botën në operacione tregtare krejtësisht legale.
Ndërkohë, FBI-ja identifikon 2 zona në pjesën lindore të Kinës, afër qytetit rus të Vladivostok, ku korrierët kanë depozituar shumë të mëdha parashë të vjedhura, drejtpërsëdrejti në llogaritë e menaxhuara nga Business Club. Është një hop i madh cilësor në evolucionin e krimit të organizuar: vjedhësve të bankave as nuk u duhet të shkelin Shtetet e Bashkuara dhe mund ta menaxhojnë trafikun në distancë, jashtë shtrirjes së juridiksionit amerikan: «Gjë që nënkupton mosndëshkueshmëri totale», thotë Leo Taddeo, ish agjent special i Cyber Division të FBI-së në New York.
- Ndalimi i hemorragjisë
Por bankat nuk janë objektivi i vetëm. Banda fillon të vjedhë fonde edhe nga biznese jo të lidhura me financën, nga OJF dhe deri nga llogaritë private. Në tetor të 2013 grupi i drejtuar nga Slavik nxjerr në përdorim edhe “CryptoLocker”: është një ransomware që penfgon aksesin në dispozitivin që infekton dhe, për ta hequr bllokimin, kërkon një shumë që shkon nga 300 në 500 dollarë.
Bëhet me shpejtësi një prej armëve të preferuara të kibernokriminelëve, pas u mundëson të gjenerojnë fitime edhe nga ajo që konsiderohej si peshë e vdekur. Në fakt, pothuajse gjithmonë, problemi i botnet-ëve është në fakt se kompjuterët e goditur nuk kanë akses të drejtpëdrejtë në llogaritë më të pasura e shumëkombësheve dhe Slavik gjendet me dhjetëramijëra zombie për më tepër të kotë.
Ransomware mundëson që të nxjerrë para edhe nga këta. Instrumenti ekziston qysh nga vitet ’90, por ka arritur një përhapje të madhe pikërisht falë daljes së CryptoLocker. Virusi vjen në formën e një attachment në një email në dukje të padëmshëm dhe i detyron vitkimat që ta paguajnë shumë duke përdorur valutën virtuale bitcoin. Situata është e keqe dhe e bezdisshme, kështu që pothuajse të gjithë paguajnë. Në nëntor 2013 Departamenti i Policisë në Swansea të shtetit nel Massachusetts për të ripasur aksesin në një prej kompjuterëve të tij ka paguar 750 dollarë. «Është një virus tejet efikas dhe shumë i komplikuar», shpjegon togeri Gregory Ryan.
«Kështu që jemi detyruar t’i blejmë ato bitcoin për të cilat asnjeri prej nesh kish dëgjuar të flitej». Muajin e ardhshëm kompania e sigurisë informatike Dell Secure Works shpërndan të dhënat: vetëm në një vit, në botë të paktën 250000 kompjuterë janë goditur nga CryptoLocker, për një total prej 771 gjobash që i kanë sjellë bandës rreth 1 milion dollarë. «Slavik ka kuptuar i pari se njerëzit do të bënin gjithçka boll që të kishin sërish fajlat e tyre», thotë Brett Stone-Gross, hulumtues në kompaninë informatike me qendër në Atlanta.
«Për këtë arsye, ndoshta pa kërkuar shuma marramendëse, ka bërë një thes me para dhe ka ngritur në këmbë një lloj të ri krimi informatik». Rrjeti bëhet gjithnjë e më i fuqishëm dhe operatorët nisin që t’ua huazojnë grupeve të tjera kriminale që e përdorin për të përhapur malëare, spam dhe click fraud (kompjuterëve të infektuar u jepet urdhëri që të klikojnë në njoftimet publicitare e ndodhura ne uebsajte koti, në mënyrë që të gjenerojnë fitime të mëtejshme).
Javë pas javë, dëmi ekonomik i shkaktuar instituteve kreditore, bizneseve dhe privatëve nga Game Over vazhdon të rritet. Për disa kompani shkon në më shumë se 1 vit arkëtime. Lista e ciktimave shkon nga një bankë rajonale në Florida në një tribù indianësh vendas të Washington State.
Veç kësaj, duke goditur sektorin privat, Game Over thith dhe bllokon një pjesë të madhe të kundërmasave të marra nga kompanitë e sigurisë informatike. «Asnjeri nuk e ka një ide të saktë sesa shkon dëmi, pasi një goditje prej 5 milion dollarësh tërheq vëmendjen nga qindra vjedhje të tjera shumë më të vogla», shpjegon Michael Sandee i kompanisë holandeze Fox-It. «Nëqoftëse një bankë pëson 100 dhe më shumë sulme në harkun e një jave, ka një interes të vetëm: të ndalë hemorragjinë».
E provojnë shumë. Nga 2011 në 2013 ekspertët e sigurisë kërkuan tri herë ta bllokojnë Game Over Zeus. Sulmi i parë u lëshua nga 3 kompani europiane në pranverën e 2012, por Slavik e zmbrapsi lehtësisht. Në marsin e 2012, Digital Crimes Unit e Microsoft ndërmerr një aksion ligjor: agjentët sekuestrojnë data center të ndryshme në shtetet Illinois e Pennsylvania, denoncojnë 39 persona, por nuk arrijnë ta frenojnë malware. Përkundrazi, i japin Slavik mundësinë që të kuptojë se deri në çfarë pike e njohin rrjetin autoritetet dhe të rafinojë më tej metodat e tij.
- Sulmi
Armiqtë e botnet-eve janë një grup i ngushtë inxhinierësh dhe specialistësh sigurie që vetëquhen me krenari “gardianët e internetit” dhe punojnë që rrjeti të funksionojë pa probleme. Midis tyre spikat Tillmann Werner, hulumtues shumë i gjatë dhe thatanik gjerman i kalifornianes CrowdStrike, i njohur si për entuziazmin, ashtu edhe për stilin e punës.
Në 2013 arrin që të marrë kontrollin e botnet-it Kelihos, i bërë i famshëm sepse përhapet duke përdorur spam-e që reklamojnë Viagra, live në një podium gjatë konferencës më të rëndësishme të kibernosigurisë të botës. Por e di shumë mirë se Game Over Zeus është një gjë krejtësisht tjetër. E ka parë të lindë e të rritet, ka mbetur i impresionuar nga forca dhe kapaciteti i malware për t’u rezistuar sulmeve. Në 2012 ka formuar një ekip me Stone-Gross (që i sapodiplomuar transferohet në Kaliforni) dhe kërkues të tjerë për të planifikuar një aksion.
Duke komunikuar me chat midis dy kontinenteve dhe duke punuar në kohën e kirëm duke studiuar me vëmendje tentativat e dështuara, mendojnë se e kanë kuptuar se ku kanë gabuar dhe kalojnë një vit përpara se të përgatisin një sulm të ri. Në janar të 2013 janë gati. Të ulur para kompjuterëve, me rezerva të mjaftueshme picash dhe uji, janë të gatshëm të ndërmarrin një sulm të rreptë në kuptimin e vërtetë të fjalës kundër misteriozit Slavik. «Kur sulmon një botnet, ke vetëm një goditje në dispozicion: o qëllon në shenjë, o gabon», shpjegon Werner.
Plani i ri konsiston në devijimin dhe centralizimin e rrjetit peer-to-peer të Game Over, për ta drejtuar trafikun në një server të ri të kontrolluar prej tyre: falë kësaj taktike të quajtur sinkholing shpresojnë që ta ndërpresin komunikimin midis botnet-it dhe Slavik. Në fillim duket sikur funksionon. Slavik nuk reagon; në harkun e pak orëve, Werner dhe Stone-Gross shikojnë një numër në rritje zombie të lidhur me rrjetin e tyre, deri sa të kontrollojnë 99% të rrjetit të Slavik. Por nuk kishin marrë në konsideratë linjën e fundit themelore të mbrojtjes së tij: një grup të vogël kompjuterësh të infektuar që komunikojnë fshehurazi me serverët kryesorë.
«Nuk e kishim kuptuar se ekzistonte një nivel i dytë kontrolli», thotë Stone-Gross. Pas një jave, Slavik i bën një përditësim softuerit dhe riafirmon autoritetin e tij në të gjithë rrjetin; grupi vëren me tmerr versionin e ri të Game Over Zeus të përhapet në rrjet, ndërsa rrjeti peer-to-peer riorganizohet. «Kemi kuptuar menjëherë se çfarë kishte ndodhur: e kishim anashkaluar krjetësisht këtë kanal tjetër komunikimi». Pas 9 muajsh, plani dështon përfundimisht. Slavik ka fituar.
Në një chat me një ekip polak sigurie krenohet për fitoren, i kënaqur që kaq shumë përpjekje nuk kanë sjellë kurrfarë rezultati. «Isha i sigurtë se ndalimi i botnet-it të tij ishte i pamundur», thotë Werner. Por, pavarësisht se të demoralizuar, të dy hulumtuesit mezi presin momentin që ta riprovoojnë. Ama kësaj radhe kanë nevojë për një ndihmë nga Pittsburgh.
(Garrett M. Graff është një gazetar dhe shkrimtar i lindur në Montpelier të shtetit Vermont. Pas studimeve në Harvard, në vitin 2004 ka qenë përgjegjës shtypi i kandidatit demokrat për President Howard Dean. Ka drejtuar të përmuajshmen “The Washingtonian” dhe revistën bimestrale të uebsajtit Politico. Është Zëvendësdrejtor i Cybersecurity & Technology Program të Aspen Institute)
Përgatiti
ARMIN TIRANA
