Pracownicy firmy są coraz bliżej zidentyfikowania przestępców odpowiedzialnych za owe ataki - do tej pory udało im się już namierzyć ponad 100 serwerów, wykorzystanych do przeprowadzenia owych włamań. Początkowo takich serwerów wykryto ok. 30 - ich analizy wykazały, że każdy z nich był używany podczas ataku na jedną, konkretną firmę (dlatego też początkowo mówiono, że w sumie zaatakowano ok. 30 przedsiębiorstw). Później jednak specjaliści namierzyli kolejne 68 serwerów - a to znaczy, że przestępcy włamali się do co najmniej 100 firm. "Naszym zdaniem "ofiar" jest nawet więcej, aczkolwiek na razie nie jesteśmy w stanie podać dokładnej liczby. Na pewno jest ona większa niż 100" - mówi Alex Stamos z Isec Partners.

Ale na tę liczbę wskazują nie tylko analizy serwerów kontrolnych - przedstawiciele Isec Partners od blisko dwóch miesięcy analizują również dyskusje prowadzone na forach internetowych dla specjalistów ds. bezpieczeństwa. Okazuje się, że już w połowie grudnia (czyli krótko po tym, jak doszło do ataku na Google) fora zaroiły się od postów pracowników najróżniejszych firm, którzy raportowali włamania do ich systemów i prosili o porady związane z oceną sytuacji i namierzaniem sprawców. "Wciąż obserwujemy te fora i listy dyskusyjne - lista zaatakowanych firm wydłuża się z dnia na dzień..." - dodaje Stamos.

Z analiz Isec Partners wynika też, że oprogramowanie wykorzystane przez włamywaczy do zaatakowania amerykańskich firm - roboczo nazywane przez specjalistów "Aurora" (ponieważ słowo to kilkakrotnie przewija się w kodzie) - krążyło w Sieci co najmniej od półtora roku. Ale znane było wyłącznie w kręgach przestępczych - specjaliści ds. bezpieczeństwa dowiedzieli się o nim i zaczęli je analizować dopiero po tym, jak na początku stycznia Google oficjalnie poinformował, że został zaatakowany.

Przypomnijmy: do tej wiedzieliśmy, że w sumie zaatakowanych mogło zostać nawet 30 firm. Zaledwie kilka z nich oficjalnie potwierdziło tę informację - m.in. Google, Adobe oraz Symantec. Wiadomo, że atak został przeprowadzony z wykorzystaniem zainfekowanych e-maili, które rozesłano do starannie wybranych pracowników owych firm - listy były sformułowane tak, by odbiorcy byli przekonani, że jest to normalna, skierowana specjalnie do nich korespondencja biznesowa (wiadomo, że przestępcy gromadzili informacje o tych pracownikach m.in. w serwisach społecznościowych).

W ten sposób przestępcy instalowali złośliwe oprogramowanie na komputerach kluczowych pracowników owych firm - następnie wykorzystywali je do przechwycenia haseł do poufanych zasobów i zaczynali wykradać dane. Wiadomo, że interesowały ich m.in. kod źródłowy oprogramowania, dokumenty finansowe, dane kont pocztowych niektórych użytkowników itp.

Taka metoda ataku nie jest tak naprawdę niczym nowym - ale w tym przypadku całą operacją perfekcyjnie zaplanowano i przeprowadzono. Dzięki temu przestępcy bez większych problemów ominęli większość klasycznych technik zabezpieczających firmową infrastrukturę przed atakami. "Próbujmy zwalczać takie ataki od dobrych pięciu lat. Na razie niestety bez większych efektów - okazuje się, że przestępcy z powodzeniem omijają wszystkie zabezpieczenia za pomocą... e-maili" - komentuje Rob Lee, specjalista ds. bezpieczeństwa z amerykańskiego SANS Institute.

Stamos zgadza się, że w przypadku grudniowych ataków nie na wiele zdały się firmowe antywirusy, firewalle i systemy wykrywania intruzów. "Ale mnie szczególnie zaintrygowało coś innego - to, jaką cierpliwością i pracowitością wykazali się włamywacze. Musieli spędzić mnóstwo czasu, pisząc skomplikowane złośliwe programy, przeznaczone do uruchomienia na komputerze tylko jednego, konkretnego użytkownika. Używali serwisów społecznościowych, żmudnie budowali swoje profile i relacje z ofiarami... to naprawdę niezwykłe" - wyjaśnia specjalista.