11 sierpnia tego roku samolot PLL LOT został zawrócony, bo pojawiła się informacja o
bombie na pokładzie. Aresztowano znanych youtuberów, ale nikomu nie postawiono
zarzutów. Jeśli to nie internetowi influencerzy, to kto? Żartownisie, osobiste
porachunki, czy „większy gracz”, który wykorzystał znane osoby do testowania
polskich służb?
Spoofing
Na moment pisania tego artykułu prokuratura nie postawiła zarzutów nikomu z
zatrzymanych osób znanych z działalności internetowej, a w materiałach prasowych pojawiła
się informacja, że za wszystko prawdopodobnie odpowiedzialny był tzw. callerID spoofing
wykonany przez nieznanych sprawców.
Czym w zasadzie jest ten spoofing? To nic innego jak metoda, która pozwala podszywać się
pod kogoś innego w różnych rodzajach komunikacji. Wielokrotnie jako admin stron moich
klientów spotkałem się ze spoofingiem IP, kiedy atakujący maskował swój adres IP, udając
localhost. Można to uzyskać, manipulując nagłówkiem X-Forward-For, ale na szczęście
narzędzia, jakie na co dzień używam w pracy, rejestrują o wiele więcej informacji i taki atak
jest dosyć sprawnie wykrywany.
Dla osób mniej technicznych spoofing można wytłumaczyć na przykładzie zwykłej poczty.
Wyobraź sobie, że prowadzisz firmę i co jakiś czas musisz wysyłać tradycyjną
korespondencję do urzędów i kontrahentów. Prowadzisz ewidencję poczty, a każdy list
dostaje numer nadawczy. Niemniej każdy może wpisać adres Twojej firmy jako nadawcę na
liście i się pod ciebie podszyć (były takie przypadki). Taką „spoofowaną” kopertę będzie
odróżniać brak wpisu w Twoim rejestrze, brak numeru nadawczego, być może pieczątka z
innego miasta, a nawet inna czcionka.
Podobnie jest z połączeniami telefonicznymi. Jeśli ktoś będzie udawał Twój numer, to te
połączenia nie pojawią się w Twoim bilingu. Sam callerID spoofing jest dziecinnie prosty do
wykonania, bo są gotowe do tego narzędzia i oszust siedzący na drugim końcu świata może
zadzwonić do Ciebie z polskiego numeru. Poniżej macie przykład nietechnicznego spoofera
i oszusta, który podszywa się pod dowolny numer. Nietechnicznego, bo dał się zhakować i
nagrać „Jimowi Browningowi”, ale zmiana numeru, kiedy ofiara zablokowała poprzedni,
trwała u niego mniej niż pół minuty.
Policja
Gdy samolot PLL LOT z Warszawy do Nowego Jorku był w przestrzeni powietrznej
Norwegii, został pilnie zawrócony, bo z numeru telefonu Michała „Boxdela” Barona ktoś jego
głosem poinformował linie lotnicze o rzekomej bombie. LOT poinformował również policję, a
ta się nie popisała. Jak wynika z nagrań, które upublicznił Boxdel, policja… zadzwoniła i kazała mu się ujawnić. Najpierw jakaś kobieta krzykiem próbowała wymusić podanie danych
osobowych, a potem jakiś mężczyzna, który przedstawił się jako „A.S. funkcjonariusz policji”,
kazał podać lokalizację. Nie wiem, jakie są procedury w policji na takie przypadki, ale
policjanci na własnych stronach internetowych przestrzegają przed podawaniem danych
osobowych przez telefon nawet policjantowi i przypomina to każdy rzecznik prasowy
komendy przy okazji oszustw „na policjanta”.
Ta kuriozalna sytuacja jest dowodem na to, jak bardzo policja nie jest przygotowana na
obecny rozwój technologii i jak bardzo brakuje specjalistów IT w służbach. Nie znam innego
przypadku, kiedy funkcjonariusz zadzwonił do potencjalnego „terrorysty” i w imieniu organów
ścigania oficjalnie nakazał mu podanie swojego miejsca pobytu…
Na szczęście Boxdel zachował się bardzo rozsądnie – nie podał żadnych danych i zakończył
połączenie. Potem, jak się okazało, policja przyjechała pod jego adres zameldowania, a
telefon od mamy uświadomił mu powagę sytuacji, dlatego sam zadzwonił na komendę,
podając swoją lokalizację. I mimo że policja miała problem z namierzeniem nawet
rzekomego „zamachowca”, to nie przeszkodziło jej to, żeby 11 sierpnia na platformie X
ogłosić „sukces”.
Boxdel i Stanowski
Zanim przejdę do Michała Barona, chciałbym przypomnieć, że podobny incydent, ale na
mniejszą skalę, spotkał Krzysztofa Stanowskiego. Ktoś z jego numeru i jego głosem
powiadomił operatora numeru 112, że zabił żonę (i inne okropne rzeczy). Policja, jak
zaznacza Stanowski w swoim filmie, przyjechała „dyskretnie, bez sygnałów dźwiękowych i
bez sygnałów świetlnych” – chociaż podejrzewam, że jakby policja jechała do Kowalskiego,
to interwencja wyglądałaby zupełnie inaczej. Wracając do sprawy, wątek u Stana był dosyć
prosty. Żona żyje, Stanowski jest zbyt poważny na takie żarty, bilingi to potwierdziły i
interwencja zakończona. Więcej znajdziecie w filmie poniżej.
U Boxdela było zgoła inaczej. Skala „zamachu” była o wiele większa i było wiele więcej
ciekawych wątków. Kiedy Boxdela policja przewiozła na komisariat i przesłuchiwała, to
według słów samego Barona, jego telefon leżał na stole przy policjancie. Wtedy ktoś
wykonał jeszcze ok. 30 połączeń do znanych osób z numeru youtubera, mimo że telefon nie
zdradzał oznak wykonywania połączeń. Jedną z tych osób, które dostały taki telefon, był
Sergiusz „TheNitroZyniak” Górski, znany szerzej internautom zadomowionym na
platformach takich jak YouTube, i w filmie poniżej opowiedział, jak to wyglądało z tamtej
strony (uwaga: niecenzuralny język).
W filmie Boxdela, który pokazywał kulisy policyjnej interwencji, pojawiła się ciekawa
informacja, z której wynikało, że w bilingu przedstawionym przez służby widniały połączenia
do linii lotniczych. Sam prowadzący zauważa jednak, że brakowało „szczegółowych
informacji”. Ciężko jednoznacznie stwierdzić, co Boxdel miał na myśli, ale nie znalazłem
żadnych informacji o technologiach, które są w stanie odnotować fałszywe połączenia w
bilingu osoby, pod której numer się podszywano. Jednak z mojego researchu wynika, że są
trzy możliwości, które pozwalają użyć czyjegoś numeru telefonu i zostawić swoją obecność
na bilingu rzekomego sprawcy.
Sprawcy
Pierwszy to zaawansowany atak MiTM, czyli ktoś musiałby być między telefonem Boxdela a
BTS. Nie znalazłem informacji, że istnieje taka specyficzna technologia, ale pamiętajmy, że
„StinGrey” też podobno nie istniał, dlatego to ciągle bardziej ciekawostka niż poważna teoria.
Tym bardziej że atakujący musieliby jechać na komendę za Boxdelem, bo tam był jego
telefon, kiedy „wykonywał” połączenia do innych celebrytów.
Drugi to wykorzystanie luk w sieci GSM lub samej karcie sim, które dawałyby atakującemu
uprawnienia administracyjne i możliwość podszywania się pod numer oraz manipulowania
bilingiem. Jakiś zaawansowany “SimJacker? Teoretycznie możliwe, ale nie jestem
specjalistą w tej dziedzinie, więc tu zakończę ten wątek – jednak podkreślam, że co jakiś
czas znajduje się nową lukę i o wielu pewnie nie wiemy.
Trzeci to malware bezpośrednio na telefonie Boxdela. Boxdel używa iPhona, a jak dobrze
znamy historię, były już przypadki exploitów na mobilne produkty Apple, które nie wymagały
interakcji użytkownika, tzw. „zero-click”. Znasz numer Boxdela? Wiesz, jaki ma model
telefonu? Wysyłasz wiadomość przez iMessage i już masz kontrolę nad jego urządzeniem.
Jesteś w stanie wykonywać połączenia bez wiedzy użytkownika, nawet jak ma telefon przed
nosem, i zostawić ślad w bilingach. I tę wersję obstawiam za najbardziej prawdopodobną.
Złożoność ataku sugeruje, że nie mógł go przeprowadzić jakiś internetowy żartowniś czy
osobisty wróg Boxdela, jak próbuje udowodnić to w swoim filmie. Zaryzykowałbym
stwierdzenie, że ktoś wystarczająco potężny posłużył się internetową osobowością, która
jest znana również poza siecią. Atak był tak przeprowadzony, że próbowano trafić z
interwencją policji na stream na żywo, do którego przygotowywał się Boxdel razem z gośćmi, a miał być na popularnym kanale Aferki. Mało tego, Boxdel przewija się w różnego
rodzaju internetowych aferach czy youtubowych „dramach” (podobnie jak Stanowski). Do
tego jest ciągle na świeczniku, bo jest włodarzem największej federacji freak-fightowej w
Europie. Dla medialnych zasięgów całego ataku ktoś na platformie X podrzucił fake newsa o
narkotykach rzekomo znalezionych w domu Michała Barona podczas opisywanej wcześniej
interwencji. Dlatego Boxdel to idealna ofiara do takiej akcji – nietechniczna, powszechnie
znana z pełną ilością wrogów, którzy z automatu są teraz podejrzanymi spooferami, co
dodatkowo komplikuje sprawę dla prowadzących śledztwo.
Czy to był jakiś większy gracz, który miał odpowiednie zasoby, żeby przeprowadzić tak
skomplikowany atak i jednocześnie przetestować reakcję (czy bardziej nieudolność) polskich
służb, albo odwrócić ich uwagę od innych sabotaży czy dywersji? Bardzo możliwe, i na
koniec zostawię jeszcze jeden wątek, o którym nikt nie wspomina. Czemu akurat atakujący
wybrali ten lot, z PL do USA, a nie inny? O tej porze, wg rozkładu na lotnisku, samoloty
startują średnio co kwadrans, a nawet czasem co 5 minut, więc kandydatów do „ściągnięcia”
było sporo. Jakbym był cyberprzestępcą na usługach mocarstw zza wschodniej granicy, to
taki „easter egg” zostawiłbym na pewno.
Źródła
https://www.youtube.com/watch?v=txUmwD4IcMw
https://www.youtube.com/watch?v=Gfg2LRB3PRU
https://www.youtube.com/watch?v=I01WB3UrZHQ
https://www.youtube.com/watch?v=aljbKbvZ2ac
https://niebezpiecznik.pl/post/spoofing-rozmow-telefonicznych/
https://sekurak.pl/naglowek-x-forwarded-for-problemy-bezpieczenstwa/
https://sekurak.pl/simjacker-backdoor-na-kartach-sim-podatnych-jest-co-najmniej-29-krajow/
https://cyberdefence24.pl/cyberbezpieczenstwo/nowe-sposoby-infekcji-zero-click-pegasus-p
owraca-i-znow-zagraza
https://cyberdefence24.pl/bezpieczenstwo-informacyjne/luki-w-zabezpieczeniach-sieci-teleinf
ormatycznych-zachecaja-oszustow-telefonicznych
https://zaufanatrzeciastrona.pl/post/podsluchiwanie-telefonow-komorkowych-mozliwe-dzieki-funkcjom-protokolu-ss7
https://www.politico.com/magazine/story/2018/06/03/cyrus-farivar-book-excerpt-stingray-218
588/
https://leczyca.policja.gov.pl/ele/informacje/94269,Oszustwa-na-quotPolicjanta-CBSPquot-A
PELUJEMY-i-OSTRZEGAMY.html