Év végén csapott le a valaha volt legnagyobb kibertámadás, mutatjuk a hátterét
InterjúDecemberben derült fény a történelem eddigi legnagyobb kibertámadására, a jól felépített, szofisztikált művelettől megremegtek az Egyesült Államok kormányzati és céges hálózatai. A színfalak mögött régóta zajlik virtuális háború a nagyhatalmak között, ám a Sunburst/FireEye kiberincidenshez fogható trendfordító esemény példátlan. Nem jeleztek a szenzorok, és most először a humán felderítés is csődöt mondott – mutat rá Krasznay Csaba, a Nemzeti Közszolgálati Egyetem Kiberbiztonsági Kutatóintézetének vezetője.
- Minden idők legnagyobb kibertámadásaként emlegetjük, mégis nagyon keveset tudunk arról, hogy mi is történt valójában…
- A FireEye amerikai kiberbiztonsági cég december 8-án hozta nyilvánosságra, hogy egy külső szereplő behatolt a rendszerükbe, és információkat, valamint szoftvereket lopott tőlük. Nem kiberfegyvereket, ahogy az eleinte terjedt, hanem olyan eszközöket, amiket információbiztonsági vizsgálatoknál szoktak alkalmazni.
Erre a hírre a szakmán belül mindenki felkapta a fejét, hiszen a FireEye az egyik legfelkészültebb szereplő a kiberbiztonság területén. Aztán nagyon hamar kiderült, hogy közel sem csak őket érte a támadás. Az amerikai kormány számos intézménye, az IT-szektor nagyvállalatai és még számos szereplő érintett, és nem csak a tengerentúlon.
Már ekkor feltűnő volt, hogy mennyire kifinomult, összehangolt volt a támadás, ami mögött állami szereplő, a gyanú szerint Oroszország áll.
- Egyáltalán hogyan sikerült ennyi fajsúlyos szereplőre egyszerre lecsapni?
- Természetesen nem fejjel mentek a falnak, hanem az ellátási láncokat vették célba. A nagy cégek jellemzően rengeteget költenek információbiztonságra, egy direkt támadás talán le is pattant volna róluk. Ezért megkeresték a rendszer egyik gyenge pontját, egy beszállítót. Ma már tudjuk, hogy ez egy SolarWinds nevű informatikai cég Orion nevű szoftvere volt. Erről az incidens előtt feltehetően nagyon kevesen és keveset hallottak. Hálózatmenedzsmentre használják, ezzel figyelik, hogy az egyes szerverek és végponti eszközök jól működnek-e.
Az átlagfelhasználó azt sem tudja, hogy létezik, viszont rendkívül elterjedt, világszerte több mint tizennyolcezer ügyfél használja az Oriont, többségük nagy cég. A top1000-es vállalatok legalább háromnegyedénél, és az állami szereplőknél is ez a program fut. Ezt vették célba a támadók. A SolarWinds bizonyos időnként biztonsági frissítéseket ad ki a szoftvereihez, így az Orionhoz is, ebben rejtettek el a hackerek egy kártevőt, ami akkor lépett működésbe, amikor a felhasználók telepítették a frissítéseket.
Az észrevétlenül működő programkód pedig kinyitott egy hátsó kaput a gépen, és már hozzá is fértek a támadók. Az is kiderült, hogy a Sandburstnek nevezett kártevő már 2020 márciusa óta ott volt a frissítésekben, tehát a támadás ennél biztosan korábban történt, a nagyszabású műveletnek az előkészítése is hónapokat vehetett igénybe.
- Teljesen online támadás volt, vagy kellett hozzá egy belső ember?
- Az Orion frissítéseit tartalmazó egyik szerver az internet felé elérhető volt és nagyon gyenge jelszóval védték, ezt kívülről fel lehetett törni, ezért elképzelhető az a forgatókönyv, hogy a támadók mindent távolról intéztek, de az sem zárható ki, hogy a SolarWinds valamelyik kevésbé ellenőrzött Kelet-európai leányvállalatába bejutott egy-két beépített ember. Ha az oroszok a hunyók, akkor ez a verzió még valószínűbb, mivel náluk ez a bevett gyakorlat.
- Ha már említettük az oroszokat, mi lehetett a céljuk?
- Egy ilyen jól felépített, szofisztikált támadást nem indítanak stratégiai cél nélkül. Mivel kritikus infrastruktúrákat nem ért támadás, így ez most leginkább az információszerzés lehetett. Hónapokon keresztül működtek zavartalanul, el lehet képzelni, mennyi mindent gyűjthettek össze. Lehetett ez egy válaszcsapás is, hiszen az amerikaiak is felpörgették a kibertámadásaikat Oroszország ellen, amiről egy-egy elkapott nyilatkozatból értesülhettünk. Az sem zárható ki, hogy így akartak beköszönni az oroszellenes Bidennek, aki már most gondolkozhat azon, milyen választ fog erre adni elnökként. Persze kicsi az esély, hogy a valódi okokra fény derüljön.
- Azért beköszönésnek kicsit erős volt. Mintha az Egyesült Államok digitális szívét érte volna támadás…
- Így van, ráadásul ha a Fire Eye szenzorai nem működnek, és nem szúrják ki december elején a támadást, akkor még ma sem tudnánk semmit az akcióról. Ahhoz, hogy ilyen mélyre juthattak, számos körülmény együttes hatása kellett. Egyrészt a kiberbiztonsággal foglalkozó hivatalos szervezetek – az NSA, és a belbiztonsági minisztérium Kiberbiztonsági és Infrastruktúra-biztonsági Ügynöksége (CISA) a tavalyi évben azzal voltak elfoglalva, hogy megvédjék az amerikai választások tisztaságát, és ugyan fokozottan figyelték az oroszokat, kínaiakat, irániakat, jószerével mindenkit, máshova fókuszáltak.
Nem jelzett az a szenzorrendszer sem, amelyet kifejezetten a kormányzati szerverek elleni támadások észlelésére hoztak létre. Ami a legérdekesebb, ezúttal semmilyen előjele nem volt az akciónak, ami egy ilyen horderejű művelet esetében példátlan. Korábban egész jól működtek a titkosszolgálati kapcsolatok, a humán felderítés, akadt egy beépített ember, aki előre szólt, hogy támadás készül.
2014-ben például a holland titkosszolgálat adott fülest arról, hogy orosz hackerek aktivizálták magukat a tengerentúlon, ekkor fértek hozzá többek között a demokraták levelezéseihez, amit ki is szivárogtattak a 2016-os elnökválasztás előtt. Most viszont néma csend volt.
- Digitális Pearl Harbor?
- Azért nem jó analógia, mert ezúttal nem történt pusztítás. Én sokkal inkább ahhoz hasonlítanám, ahogy a szovjetek a harmincas években elkezdték az Egyesült Államokban beszervezni a kommunista szimpatizáns tudósokat, értelmiségieket, és mintegy húsz évvel előre gondolkodva elkezdték felépíteni azt a hírszerző hálózatot, amit ténylegesen a hidegháború kezdetén aktivizáltak, és amelynek többek között az atomtitkot köszönhették. Ha jobban belegondolunk, most is hasonló a helyzet. Adott a kibertér, amit mind az amerikaiak, mind az oroszok uralni akarnak, és itt is vannak olyan fegyverek, amit el lehet lopni…
- A kibertér, mint csatatér még jól is jöhet Oroszországnak, amelynek hadserege nem elég erős ahhoz, hogy egy hagyományos háborút elvállaljon az Egyesült Államokkal szemben. A virtuális világban viszont, ahogy arra a mostani eset is rámutat, mintha kiegyenlítettebbek lennének az erőviszonyok.
- Az 1991-es Öbölháborúban az amerikai hadsereg pillanatok alatt legyőzött egy szovjet típusú hadsereget. A gyors siker kulcsa a hálózatközpontú hadviselés volt. Akkor az eseményeket árgus szemmel figyelő kínaiak és oroszok rájöttek, hogy ha az amerikai hadi képességeket meg akarják valahogy roppantani, akkor ezt az információáramlást kell ellehetetleníteni. Azóta erre készülnek.
- Drónok, harci robotok, autonóm fegyverek, a katonákon exoskeleton páncél - előbb utóbb a hagyományos harcterekre is benyomul az informatika. Mi lesz akkor?
- Ez nem is a jövő, sokkal inkább a jelen kérdése. Olvasni kell a sorok között, amikor hallunk egy olyan hírt, hogy valahol Iránban lepottyant egy amerikai drón, érdemes elgondolkodni hogy ezek nem maguktól történnek. Sokkal valószínűbb, hogy orosz vagy kínai katonai tanácsadók élesben tesztelik a pilóta nélküli járművek kommunikációs rendszerének megzavarására alkalmas eszközeiket.
- Visszatérve a Sunburst-incidenshez, tudunk magyar érintettekről?
- Nem tudunk ilyenről, bár nyilván használnak Oriont pár helyen Magyarországon is. Az biztos, hogy sokaknak teltek lázas keresgéléssel az ünnepek, szakemberek vizsgálták át a rendszereket. Jól látható, hogy ez a támadás nem hazánk, és nem is Európa ellen irányult. Arra viszont volt már példa, hogy egy-egy nagyobb akció hatásai hozzánk is begyűrűztek, és ha egy ilyen sebezhetőségre fény derül, arra a kiberbűnözők is rámozdulnak, jelen esetben olyan kódot írnak, amely kifejezetten az Orion-telepítéseket keresi, és mondjuk zsarolóvírust juttat be.
- Mennyire felkészült Magyarország egy lehetséges kibertámadással szemben?
- Európai és világviszonylatban egyaránt az erős középmezőnyben vagyunk, ez nagyjából megfelel a kitettségünknek. A világon ötven ország rendelkezik offenzív kiberképességgel, hazánk az egyik, NATO-tagként ez egyébként elvárás is. A támadások elhárítása nálunk a Nemzeti Kibervédelmi Intézet feladata, amely a Nemzetbiztonsági Szakszolgálat keretében működik. A Magyar Honvédség berkeiben nem rég alakult meg a Kibervédelmi Szemlélőség. Ez egy régi szép magyar katonai kifejezés, a haderőnemi szemlélőnek mindig az volt a feladata, hogy a következő évtizedekre készüljön. Jól látható, hogy a katonai kiberképességek fejlesztése egyre inkább a fókuszba kerül.