Ukrajna régóta az orosz hekkerek tesztlaborja, most kiderülhet, mit kotyvasztottak ki

Az elmúlt hetekben egyre feszültebb a légkör nemcsak az ukrán-orosz határon, de az amerikai-orosz tárgyalóasztalok körül is. Oroszország a NATO keleti irányú terjeszkedésétől, Ukrajna pedig orosz inváziótól tart, utóbbi lehetőségét az Egyesült Államok és az Európai Unió is egyre határozottabb nyilatkozatokban ítéli el. Bár a kommunikációs háború egyre inkább kiéleződik, annál, hogy valódiba csap át, továbbra is valószínűbb a diplomáciai megoldás, már csak a résztvevő országok egyéni érdekei alapján is. Az ukrán-orosz konfliktus előzményeiről, állásáról és tétjéről ebben a cikkben írtunk részletesen.

Ahogy az elmúlt évek nemzetközi konfliktusainál már megtanulhattuk, a 21. századi hadviselés hibrid: a határok felé vonuló katonákat a kibertérben tevékenykedő hekkerek támogatják, és a dezinformációs online kampányoknak is komoly szerepük van a közvélemény formálásában. Maga a konfliktus nem csak Ukrajnáról szól, az alakulásának messzire ható követkeményei lehetnek nemcsak politikai és gazdasági téren, de a kiberbiztonság vonatkozásában is.

Az orosz recept

Természetesen a világ számos kormánya igen aktív a kibertérben, de Oroszország mindig úttörő volt abban, hogy kibertámadásokkal támogassa meg a külpolitikai törekvéseit – még ha ezt következetesen tagadja is. Amit azért tehet meg, mert műfaji adottság, hogy extrém nehéz minden kétséget kizáróan bizonyítani, ki állt egy-egy akció mögött.

De azért nem lehetetlen; az elmúlt másfél évtizedben számos kibertámadást sikerült a szakértőknek nagy bizonyossággal orosz állami hátszelű hekkercsoportokhoz kötniük. 2007-ben, a tallinni szovjet emlékmű eltávolítása miatt kitört zavargások során például Oroszországhoz köthető támadás ért több észt kormányzati szervet, bankot és médiacéget. Ez volt az első alkalom, hogy egy országot egy idegen hatalom ilyen látványosan megtámadott az interneten. A 2008-as orosz-grúz konfliktus alatt pedig Oroszország szinte a teljes grúz internetet megbénította. Ezt a két támadást szokás a nyílt kiberhadviselés nulladik kilométerkövének tekinteni.

Ukrajnának kitüntetett, még ha megtisztelőnek nem is nevezhető szerep jutott mindebben: a két ország közötti elhúzódó konfliktusból adódóan gyakorlatilag az orosz hekkerek tesztlaborjává vált:

• 2015 végén orosz hekkerek a BlackEnergy nevű kártevővel több ukrán áramszolgáltató működését is megzavarták. Több mint 230 ezren maradtak áram nélkül, egyes területeken akár hat órán át. Ez volt az első ismert eset, hogy hekkereknek sikerült lelőniük az elektromos infrastruktúrát, egyben ez volt a világ első kibertámadás okozta áramszünete.
• 2016 végén még tovább mentek: már nem manuálisan kapcsolták le a villanyt, hanem az Industroyer/CrashOverride nevű programjuk automatizálta az áramszünet előidézését. Ebben a támadásban az ország áramellátásának ötöde esett ki egy órára.
• 2017 júniusában szabadult el a NotPetya nevű kártevő, amelyet a támadók zsarolóvírusnak álcáztak, de valójában nem az anyagi haszonszerzés volt a célja, hanem a puszta rombolás: nem titkosította a megfertőzött gépeket, hogy váltságdíj fejében állítsa vissza a tartalmukat (ahogy az zsarolóvírustól elvárható lenne), hanem visszaállíthatatlanul megsemmisítette azt. A NotPetya elsősorban ukrajnai célpontokat fertőzött meg, de aztán továbbterjedt, és órák alatt a fél világon végigsöpört, becslések szerint 10 milliárd dolláros kárt okozva a világ gazdaságában. Minden idők legnagyobb rombolással járó kibertámadásaként tartják számon, az orosz katonai hírszerzéshez (GRU) köthető Sandworm csoport állhatott mögötte.

Ilyen súlyú incidensekről a mostani konfliktusban még szó sincs, de a kibertámadások első hulláma már két héttel ezelőtt elindult. Egyelőre kisebb akciókról van szó, de a hekkerek által használt technikák kísértetiesen emlékeztetnek azokra, amelyekkel az elmúlt években Oroszország masszív nyomást helyezett Ukrajnára.

Elcsúfított álca

Január 14-én közel nyolcvan ukrán kormányzati weboldalt ért defacement támadás. Ez a magyarra elcsúfításnak vagy honlaprongálásnak fordítható támadási forma a legprimitívebb, de az egyszerűsége és látványossága miatt kedvelt módszer. Ilyenkor csak azért törnek fel egy weboldalt, hogy megváltoztassák a tartalmát, például valamilyen üzenetet írjanak ki rá. Komolyabb hekkercsoportok súlyosabb támadások kiegészítéseként vagy elfedésére is használják.

Az akcióval az ukrán kormány egy UNC1151 vagy Ghostwriter néven ismert, sokáig orosznak hitt, de valószínűleg inkább a belarusz hírszerzéshez köthető hekkercsoportot vádolt meg, miközben Oroszország és Belarusz épp közös hadgyakorlatba kezdett Ukrajna szomszédságában.

Az ilyen támadások önmagukban valódi kárt nem nagyon okoznak, de zavar- és feszültségkeltésre alkalmasak lehetnek. A feltört oldalakra kiírt, „Féljetek, és számítsatok a legrosszabbra” felütésű üzenet alapján lehetett is ilyen céljuk, mert a lengyel akciónak próbálhatták beállítani. Az orosz és az ukrán mellett lengyel nyelven is olvasható szöveg a második világháború alatt ukrán erők által lengyelek ellen elkövetett volhíniai mészárlást is felidézte, amely máig érzékeny pont a két ország viszonyában. De ennél fontosabb lehet az elterelés.

„Az oldalak elcsúfítása csak álca volt azoknak a rombolóbb akcióknak, amelyek a színfalak mögött zajlottak, és amelyeknek a következményeit a közeljövőben érezni fogjuk”

– mondta Szerhij Demedjuk, az ukrán biztonsági és védelmi tanács titkárhelyettese.

És tényleg, egy néhány nappal későbbi támadás két olyan kormányzati célpontot is érintett, amelyeknek a weboldalait korábban feltörték, de ezúttal már komolyabb következményekkel: több tucat gép és szerver tartalmát semmisítették meg a támadók.

„Zsarolóvírus”

A Microsoft szerint zsarolóvírusnak álcázott, de valójában pusztán a rombolást célzó adattörlő kártevővel, úgynevezett wiperrel támadtak meg ukrán kormányzati ügynökségeket és más szervezeteket: a WhisperGate nevű kártevő a látszat kedvéért váltságdíjat követelt, de titkosítás helyett valójában visszafordíthatatlanul törölte a megfertőzött gépeket.

Mindez nagyon hasonlít arra, ahogy néhány éve orosz kötődésű hekkerek támadták Ukrajnát. Elsősorban a már említett Sandworm csoport, amelynek az akciói a 2017 júniusában szabadjára engedett NotPetyával érték el a csúcsukat. A Cisco Talos biztonsági kutatói szerint a WhisperGate hasonlít a NotPetyára, de „több olyan komponense van, amelyeket arra terveztek, hogy további kárt okozzanak”. A célba juttatásához lopott jelszavakat használtak fel, és a megfertőzött hálózatokon valószínűleg már hónapokkal a támadás előtt jelen voltak – ami kifejezetten a legfejlettebb, APT-nek (Advanced Persistent Threat, fejlett tartós fenyegetés) hívott, jellemzően állami hátszelű hekkercsoportok ismérve. A módszerek és a konkrét technológiai eszközök hasonlóságán – na meg a lehetséges motiváción – túl egyelőre nincs bizonyíték a támadó kilétére.

Az illetékes ukrán hatóságok közös közleménye három támadási vektort határoz meg, magyarul háromféle módszerrel jutottak be a célpontokhoz. Ezekből az egyik annak a Log4j-sérülékenységnek a kihasználása volt, amelyet decemberben fedeztek fel, és az utóbbi évek egyik legaggasztóbb netes biztonsági hibájának tartják a szakértők. Nagyon sokakat érint, nagyon könnyű kihasználni, és nagyon nehéz megszabadulni tőle. A közlemény szerint túlterheléses támadások is értek kormányzati szerveket, de erről nem ismert több részlet.

A támadások pedig azóta is szaporodnak. Az elmúlt héten néhány nap különbséggel két adathalász támadás is ért kormányzati szerveket: a dolgozók olyan emaileket kaptak, amelyek látszólag szintén állami intézményektől érkeztek, de a legitim dokumentumnak álcázott csatolmányuk megnyitva megfertőzte a címzettek gépét. Többféle kártevőt is terjesztettek így, az egyik például ellopott a megfertőzött gépekről bizonyos kiterjesztésű fájlokat.

Jól bejáratott gépezet

Az orosz állami dezinformációs hálózat működése legkésőbb a 2016-os amerikai elnökválasztási kampány óta jól ismert: a hagyományos állami médiumok és kisebb hírfelületek által generált tartalmakat – álhíreket vagy legalábbis gondosan szűrt üzeneteket – közösségi médiás trollok és kamu felhasználói fiókok koordinált hálózata terjeszti és erősíti fel. A cél az Oroszország számára fontos témákban a kívánatos narratíva megalapozása hazai pályán és idegenben, illetve a célországok meglévő társadalmi törésvonalainak elmélyítése, feszültségkeltés és a politikai rendszerbe vetett bizalom megingatása.

Ennek a jól bejáratott dezinformációs gépezetnek már a Krím 2014-es annektálásában is fontos szerepe volt a terep előkészítésében, de azóta is olajozottan működik: az Európai Unió orosz dezinformációs kampányainak felderítésére szakosodott EUvsDisinfo adatbázisában szereplő több mint 13 500 sztori közel 40 százalékában szerepel valamilyen módon Ukrajna.

Az ukrajnai helyzet fokozódásával új fordulatszámra kapcsolt ez a gépezet. A Logically nevű brit cég, amely monitorozza az orosz kötődésű közösségimédia-fiókok tevékenységét, megfigyelte, hogy az orosz csapatmozgások és a konfliktus kiéleződése óta felfutóban vannak az Ukrajna-ellenes tartalmak, amelyek az orosz előrenyomulást hivatottak validálni, illetve az ukrajnai belső ellentéteket kiélezni. Néhány jellemző példa a kutatók szerint:

• Ukrajna népirtást tervez az ország orosz nemzetiségű lakossága ellen,
• az ukrajnai vezetés a nácizmussal kokettál,
• az Egyesült Államok vegyi fegyverek bevetésére készül Ukrajnában,
• Oroszország előrenyomulása az orosz nyelvű ukránok védelmében, megelőző jelleggel történik.

„Ez koordinált kampánynak tűnik. Ezek a tartalmak nagyjából egyidőben, hasonló üzenettel jönnek ki” – mondta a New York Timesnak Brian Murphy, a Logically stratégiai elnökhelyettese. Az ilyen klasszikus propagandatartalmak célközönsége elsősorban értelemszerűen a hazai orosz lakosság és az oroszbarát ukránok, de a kutatók szerint Dél-Amerikában és Afrikában is befogadó fülekre talál.

A java még hátra lehet

Mindez valószínűleg csak a kezdet, a biztonsági szakértők jellemzően arra számítanak, hogy a kiberműveletek száma növekedni fog, akkor is, ha katonai konfliktus végül egyáltalán nem alakul ki. A kiberhírszerzéssel foglalkozó amerikai Mandiant szerint mindhárom fő kiberfegyvernemben várható még mozgolódás.

Egyrészt már javában folyhat a fentieknél jóval kevésbé látványos, mégis a legfontosabb hekkertevékenység, a kiberkémkedés. A kibertérben végzett hírszerzés folyamatos, ismert, orosz kötődésű szereplők rendszeresen vesznek célba világszerte kormányzati, katonai, diplomáciai és stratégiailag fontos üzleti célpontokat. Ennek az intenzitása is növekedhet az épp zajló konfliktus miatt. Ukrajnában otthonosan mozgó orosz szereplői például az UNC2452, a Turla, illetve az APT 28 vagy Fancy Bear néven emlegetett hekkercsoport, amelyet az orosz katonai hírszerzéshez, a GRU-hoz szoktak kötni, és a 2016-os amerikai elnökválasztási kampány környékén is feltűnt, de támadta már például a magyar hadügyminisztériumot is.

Ezek a csoportok a Mandiant szerint szinte biztosan kaptak már feladatot az ukrajnai konfliktussal kapcsolatban is, de bevethetők még olyan, amúgy is a régióban, a Krím és Kelet-Ukrajna területén aktív további csoportok is, mint a TEMP.Armageddon. A kiberkémkedés békeidőben is segíti a külpolitikai döntéseket, de konfliktusok idején akár katonai műveleteket is előkészíthet

A dezinformációs műveletek is folytatódni fognak, és a pszichológiai hadviselés egyik bevett eszközeként az ilyen akciókat a kiberkémkedéssel is kombinálni lehet: az ellopott információk módszeres kiszivárogtatása során a zavarkeltést gyakran azzal fokozzák, hogy a szivárogtatás előtt belenyúlnak az információba, és manipulált formában tárják a nyilvánosság elé.

Harmadrészt nem zárhatók ki a fentieknél rombolóbb szándékú szabotázsakciók sem. Ilyenre láthattunk korábban például az ukrajnai áramhálózat többszöri lekapcsolása vagy a NotPetya esetében, de más kritikus infrastruktúrák ellen is indulhat hasonló támadás. Itt elsősorban a Sandwormre érdemes továbbra is figyelni, de a Mandiant szerint a TEMP.Isotope, Berserk Bear vagy Dragonfly néven ismert csoport is nagy múltra tekint vissza az európai és amerikai kritikus infrastruktúra megfertőzésében. Az ilyen akciók azonban hosszabb előkészítést és kifinomultabb eszközöket igényelnek.

„Ha próbálsz erős kormánynak látszani, a rendszereid levágása a hálózatról és az internet-hozzáférésed eltűnése egyszerűen nem mutatnak jó képet rólad. A romboló támadások káoszt hoznak létre. Aláássák az autoritást és korrodálják az intézményrendszert”

– mondta a Wirednek John Hultquist, a Mandiant kiberhírszerzési vezetője.

Ezek a támadási formák mind megágyazhatnak akár egy esetleges későbbi katonai offenzívának, majd támogathatják annak sikerét, de anélkül, alanyi jogon is alkalmasak a zavarkeltésre és stratégiai célok előmozdítására.

Amikor Oroszország segít

Érdekes mellékszál, hogy az orosz hatóságok január 14-én – épp az ukrán weboldalak feltörése napján – bejelentették, hogy lecsaptak a REvil nevű kiberbűnőzői csoportra, és 14 tagot őrizetbe vettek.

A REvil főleg zsarolóvírus-támadásokban utazott. Tavaly május végén a világ legnagyobb húsfeldolgozó vállalatát, a brazil JBS-t támadták meg, júliusban pedig feltörték a Kaseya nevű felhős IT-menedzsment szoftvert, és az elosztóláncon keresztül világszerte több száz céget fertőztek meg zsarolóvírussal. Aztán váratlan hirtelenséggel felszívódtak.

A bejelentés nagy hullámokat vert szakmai körökben, mert korábban elvétve fordult csak elő olyan, hogy Oroszország lekapcsolt egy nyugati országokban aktív hekkercsoportot. Márpedig orosz segítség nélkül a nyugati hatóságok nagyrészt tehetetlenek az egyre inkább elharapódzó zsarolóvírus-támadások elkövetőinek kézre kerítésében. Ez a tétlenség részben annak is betudható, hogy Oroszországban nem kifejezetten éles és nem is átjárhatatlan a határ a kiberbűnözők és az államnak (is) dolgozó hekkerek között, így ha a profitorientált hekkerek betartják azt a szabályt, hogy orosz célpontokra nem lőnek, általában viszonylag zavartalanul ténykedhetnek.

Egyes szakértői értékelések szerint elképzelhető, hogy a REvil elleni akciót, amely mindenképp pozitív fejlemény, nem véletlenül mostanra időzítették az orosz hatóságok. Az együttműködési hajlandóság felvillantása segíthet némileg oldani az elmúlt hónapokban egyre fokozódó feszültséget Oroszország és az Egyesült Államok között.

Zsarolóvírus mint politikai aktivizmus

Mindeközben természetesen a konfliktus másik oldalán állók sem tétlenkednek. Az esetleges amerikai és ukrán kiberműveletekről egyelőre nem sokat tudni, egy Oroszország érdekei ellenében végrehajtott, érdekes akcióról azonban már érkeztek hírek.

Egy héttel ezelőtt a magukat Kiberpartizánoknak nevező belarusz aktivisták bejelentették, hogy a Perzselő hőség nevű kampányuk keretében feltörték a belarusz állami vasúttársaság számítógépes rendszereit, zsarolóvírussal titkosították a belső hálózatát, és csak akkor adják ki a feloldókulcsot, ha a kormány teljesíti a követeléseiket. Ez 50 politikai fogoly szabadon engedése, illetve hogy a vasúttársaság vállalja, hogy nem fog segédkezni orosz csapatok szállításában Ukrajna felé. A hekkerek hangsúlyozták, hogy nagy gondot fordítottak arra, hogy azokat a rendszereket egyáltalán ne bántsák, amelyeknek a kiesése közbiztonsági kockázatot jelentene, vagy az állampolgároknak okoznak komolyabb fennakadást.

Jó ideje bevett gyakorlat, hogy aktivisták a tiltakozásuk jeléül megtámadnak céges vagy kormányzati hálózatokat. Maguk a Kiberpartizánok is ismert szereplők, már korábban is hajtottak végre aktivista hekkertámadást a belarusz kormány ellen. Az sem újdonság, hogy kiberbűnözők zsarolóvírus-támadást intéznek hasonló célpontok ellen profit reményében, illetve hogy állami hekkerek ezt az eszközt használják a céljaik eléréséhez.

De ez az első alkalom, hogy nem állami hekkerek vetnek be zsarolóvírust tisztán politikai célból.

„Láttunk már álaktivistákat álzsarolóvírust használni, de nem hiszen, hogy valaha is láthattunk volna olyat, hogy ezt a taktikát valódi aktivizmusra használják fel hekkerek” – mondta Juan Andres Guerrero-Saade, a SentinelOne nevű biztonsági cég kutatója.

Nem csak Ukrajnáról szól

Ahogy tágabb értelemben is igaz, hogy Oroszország ukrajnai nyomulása nemcsak Ukrajnában, de világszerte érezteti a hatását, úgy a konfliktus kibertérben zajló része sem feltétlenül korlátozódik, korlátozható csak Ukrajnára.

Ez nem csak abban az értelemben igaz, hogy az Ukrajnát nyíltan támogató országok is közvetlen célponttá válhatnak (ahogy ezt a kanadai külügyminisztérium példája is mutatja). A katonai műveletek megállnak a határnál, de a kiberhadviselés jellemzően nem, pláne egy globális, digitalizált gazdaságban. Ez jól látszott a 2017-es NotPetya-kampány esetében, amelyben a kártevő az ukrán célpontoktól pillanatok alatt szétterjedt számos más országba is.

A Cisco Talos kutatói ezúttal is felhívták a figyelmet, hogy az Ukrajnával vagy ukrajnai vállalatokkal bármilyen kapcsolatban lévő szervezeteknek célszerű alaposan végiggondolniuk, hogy tudják izolálni a rendszereiket, és monitorozni ezeket a kapcsolódásokat, hogy megelőzzék a járulékos veszteségeket egy partnereik elleni esetleges kibertámadás esetén. Hasonló figyelmeztetést adott ki a napokban az amerikai kiberbiztonsági és infrastruktúra-biztonsági ügynökség (CISA), illetve a brit (NCSC) és a kanadai (CCCS) kiberbiztonsági központ is.

Mindeközben persze továbbra is Ukrajna van kitéve a legnagyobb kockázatnak. Dmitri Alperovitch orosz születésű amerikai kiberbiztonsági szakértő, a CrowdStrike biztonsági cég alapítója és korábbi vezetője, jelenleg a Silverado Policy Accelerator nevű think tank alapító-vezetője szerint a kibertámadások elleni védelem kiépítésének már meg kellett történnie, ebbe most belekezdeni már késő.

„Ebben a szakaszban az ukrán katonai és polgári vezetőknek arra kellene összpontosítaniuk, hogy az ország jobban át tudja vészelni a kibertámadásokat – például úgy, hogy terveket készítenek a nem számítógépes rendszerekre való átállásra, arra az esetre, ha orosz kibertámadások megzavarnák a hálózataikat”

– írta Alperovitch, hozzátéve, hogy vannak arra utaló jelek, hogy készültek tervek ilyen vészmegoldásokra. Egy New York Times-riportot hoz fel példaként, amelyből kiderül, hogy az ukrán hadsereg második világháborús, kurblival hajtható tábori telefonokat állítottak hadrendbe, hogy elkerüljék az orosz elektronikus megfigyelést.

Sok segítséget is kapnak az ukrán hatóságok. A Különleges Kommunikációs és Információvédelmi Állami Szolgálat elnökhelyettese, Victor Zsora a Cyberscoopnak adott interjújában azt mondta, folyamatosan együttműködnek amerikai tisztviselőkkel és biztonsági cégekkel, többek között a támadók azonosításában is, és a nyugati partnereik rengeteg értékes információt osztanak meg velük.

Mivel kisebb-nagyobb intenzitással az elmúlt években is folytak orosz hátterű kibertámadások az ország ellen, Ukrajna számíthatott arra, hogy ezúttal is érkezhetnek ilyen támadások. A Talos kutatói szerint éppen ezért, bár védekezni fontos, pánikolni nem érdemes: „Valójában ha nem lenne a geopolitikai feszültségek nyilvánvaló növekedése a régióban, akkor [a szokásos orosz kibertámadások létére] egyszerűen úgy tekinthetnénk, hogy Ukrajnában beköszöntött a tél” – írták.

Egy kiberműveletekben aktív ukrán hírszerző a Vice-nak arról beszélt, hogy éppen ezért fel is vannak készülve, és egy esetleges orosz invázióra is vannak tervezett válaszlépéseik: „Ha a szárazföldi háború eszkalálódik, eszkalálni fogunk a kibertérben. De az oroszok is. De úgy hisszük, olyan módokon tudunk ártani nekik, amelyekkel még nincsenek tisztában, miközben mi tudjuk, hogy ők mit tehetnek velünk. Korábban már többször megtették, fel vagyunk készülve” – mondta.

Az ukrajnai helyzetet testközelből bemutató, kijevi helyszíni riportunk itt olvasható.