Manapság egy ország hadereje nem csak tankokban és katonák számában mérhető, hanem a mögötte felsorakozott kiberhadsereg hatékonyságában is. Az orosz csapatok Ukrajnába való bevonulásával egy időben különböző kibertámadások érték az ukrán nemzetetet, az ESET és a Sophos pedig ezek természetéről készített is egy jelentést.
Mindkét kiberbiztonsági vállalat megerősítette a napokban kezdődött, nagyon jelentős DDOS támadást, az ESET kutatói szerint emellett még egy adattörlő kártevő, egy úgynevezett (wiper) is hadirendbe állt, amit körülbelül két hónappal korábban hoztak létre és két nappal ezelőtt vetették be először. A Win32/KillDisck.NCV úgy képes letörölni a számítógépen található minden adatot, hogy azt lehetetlen visszaállítani. Célja a rombolás, ezzel pedig a szabotázs.
A támadáshoz a digitális aláírást egy ciprusi székhelyű cégnek, a Hermetica Digitalnak állították ki és az oroszok ehhez az aláíráshoz juthattak hozzá egy támadáson keresztül, amit felhasználtak a wiper létrehozásához. "Az adattörlő visszaél az EaseUS Partition Master szoftver illesztőprogramjaival, megsemmisítve annak adatait" - írták az ESET kutatói.
Január közepén Ukrajna egy másik adattörlő támadásnak is a célpontja volt, ez volt a WhisperGate zsarolóvírus, de a mostani támadás még annál is sokkal veszélyesebb, mert több módszerrel intézi el a számítógépeket és állítja le a szolgáltatásokat.
A Shophos bővebb közleményben reagált a destabilizációs támadásokra, részletezte hogyan működnek és viselkednek. Az első ilyen támadást 2007. április 26-án regisztrálták, amikor egy szovjet szobor áthelyezése miatt DDOS támadást intéztek az oroszok az észt kormánnyal szemben. Az orosz fórumokon ekkor meg is jelentek a leírások, hogyan lehet támadás alá vonni az észteket és az orosz civilekkel közösen bénították meg az államot. Ugyanezt a taktikát már aktívan használták 2008-ban, amikor Grúziát szállták meg az orosz csapatok, ezzel megbénítva az ország működését a hadsereg bevonulása alatt.
Félreinformálás és elszigetelés
Alacsony szintű információs hadviselés 2009 óta folyik Ukrajna ellen. Sok támadás egybeesett olyan, az orosz érdekeket veszélyeztető eseményekkel, mint például egy NATO-csúccsal, valamint az Ukrajna és az EU közötti együttműködési megállapodásról szóló tárgyalásokkal. 2014. márciusában a New York Times arról számolt be, hogy a “Snake” malware behatolt az ukrán miniszterelnöki hivatalba és több távoli nagykövetségre, egy időben azzal, amikor Ukrajnában kormányellenes tüntetések kezdődtek. 2013 végén és 2014-ben az ESET olyan kutatásokat is publikáltak, amelyek katonai célpontok és média platformok elleni támadásokat dokumentáltak - ezeket “Operation Potao Express” névvel illették.
Ahogy korábban, a “Cyber Berkut” néven ismert ukrán kibercsoport hajtott végre DDoS támadásokat és rongált meg webhelyeket anélkül, hogy komoly valós károkat okozott volna. Ám ezzel jelentős zűrzavart keltett és ez önmagában is hatással bír a konfliktusok idején. A konfliktus elején azonosító jelölések nélküli katonák átvették az irányítást a krími távközlési hálózatok és a térség egyetlen internetes központja felett, ezzel információs kiesést okozva. A támadók visszaéltek a mobiltelefon-hálózathoz való hozzáférésükkel, hogy azonosítsák az oroszellenes tüntetőket és SMS-üzenetet küldjenek nekik, mely ezt tartalmazta: “Kedves előfizető, Ön tömeges rendbontás résztvevőjeként került nyilvántartásba.”
Miután a támadók elszigetelték a Krím-félsziget kommunikációs lehetőségeit, az ukrán parlamenti képviselők mobiltelefonjait is szabotálták, megakadályozva őket abban, hogy hatékonyan reagáljanak az invázióra. Amint a Military Cyber Affairs anyagában is megjegyzésre került, a félreinformáló kampányok teljes lendülettel indultak meg: “Oroszország számos embernek fizetett, hogy több különböző webes identitást tartson fenn. Egy szentpétervári résztvevő elmondta, hogy három különböző bloggernek adta ki magát tíz blogon, miközben más oldalakon is kommentelt. Egy másik személyt azzal a feladattal bíztak meg, hogy 12 óránként 126-szor kommenteljen a híreknél és a közösségi médiában.”
Az energiaforrások megbénítása
2015. december 23-án az ukrajnai Ivano-Frankivszk lakóinak körülbelül felénél hirtelen lekapcsolták az áramellátást. Az általános vélekedés szerint ez államilag támogatott orosz hackerek műve volt. A kezdeti támadások több, mint 6 hónappal azelőtt kezdődtek, hogy az áramellátás megszakadt volna, amikor három áramelosztó központ munkatársai megnyitottak egy ártalmas Microsoft Office dokumentumot, amelyet a BlackEnergy nevű malware telepítésére terveztek.
A támadók képesek voltak távoli hozzáférési belépési adatokat szerezni a felügyeleti vezérlő és adatgyűjtő (“Supervisory Control and Data Acquisition”, SCADA) hálózathoz és átvették az irányítást az alállomás vezérlése felett, hogy megkezdhessék a megszakítók aktiválását. Ezután a támadók szabotálták a távvezérlőket, hogy megakadályozzák a megszakítók távoli deaktiválását az áramellátás helyreállítása érdekében. Ezenkívül a támadók egy “törlő” programot is bevetettek a hálózat vezérlésére használt számítógépek szabotálására és ezzel egyidőben telefonos szolgáltatásmegtagadási támadást (TDoS) is végrehajtottak az ügyfélszolgáltati számok túlterhelésével, frusztrálva az ügyfeleket, akik a kimaradásokat próbálták bejelenteni.
Közel egy évvel később, 2016. december 17-én a fények ismét kialudtak Kijevben. Véletlen egybeesés? Valószínűleg nem. Ezúttal az Industroyer/CrashOverride nevű malware volt a felelős, mely rendkívüli mértékben kifinomultabb volt. A malware-t moduláris komponensekkel tervezték, amelyek képesek voltak szkennelni a hálózatot, hogy SCADA vezérlőket találjanak és azok nyelvén kommunikált. Abban is volt egy törlő komponens a rendszer törlésére. Úgy tűnt, hogy a támadás nem kapcsolódik a BlackEnergyhez vagy az ismert törlő eszközhöz, a KillDiskhez, ám nem volt kétség, ki állt mögötte.
Nyilvánosságra hozott emailek
2016 júniusában, a Hillary Clinton és Donald Trump közötti szoros elnökválasztási kampány során egy Guccifer 2.0 nevű új szereplő jelent meg a színen, aki állítása szerint meghackelte a Demokrata Nemzeti Bizottságot, majd átadta az emailjeiket a Wikileaksnek. Bár hivatalosan nem Oroszországnak tulajdonítják, ez egyéb dezinformációs kampányok mellett jelent meg a 2016-os választások során és széles körben úgy tartják, hogy a Kreml műve volt.
Támadások az ellátási lánc ellen: NotPetya (“supply chain attack”)
Oroszország kitartó támadási Ukrajna ellen nem értek véget és 2017. június 27-én intenzívebbé váltak, amikor elszabadítottak egy új kártevőt, amelyet ma NotPetya névvel illetünk. A NotPetyát a zsarolóvírusok egy új törzsének álcázták, és egy ukrán számviteli szoftverszolgáltató meghackelt ellátási láncán keresztül telepítették. Valójában egyáltalán nem volt ransomware. Habár titkosította a számítógépek tartalmát, a titkosítást lehetetlen volt visszafordítani, így gyakorlatilag letörölte az eszközt és használhatatlanná tette azt.
Az áldozatok nem korlátozódtak ukrán cégekre. A malware órákon belül elterjedt az egész világon, leginkább olyan szervezeteket érintve, amelyek Ukrajnában lévő kitettséggel rendelkeztek, ahol a csapdával ellátott könyvelő szoftvert használták. A NotPetya a becslések szerint legalább 10 milliárd dolláros kárt okozott világszerte.
Hamis nyomok
Amikor 2018. február 9-én Phjongcshangban megnyíltak a téli olimpiai játékok, egy újabb támadás volt előkészületben a világ ellen. A malware leállította az összes domainvezérlőt a teljes olimpiai hálózaton, így megakadályozta a megfelelő működést a wifitől a jegykapukig. Csodával határos módon az IT csapat képes volt elszigetelni a hálózatot, újraépíteni azt, illetve eltávolítani a malware-t a rendszerekről, és másnap reggelre mindent úgy üzembe helyezni, hogy alig történt fennakadás.
Ezután eljött a malware elemzésének ideje, hogy megkíséreljék meghatározni, ki akarta volna megtámadni és leállítani a teljes olimpiai hálózatot? A rosszindulatú programok mögött álló felelősök meghatározása nehézkes, de maradt néhány nyom, amely segíthet vagy épp hamis bizonyítékként egy nem érintett harmadik félre próbálja hárítani a felelősséget. A “bizonyítékok” látszólag Észak-Koreára és Kínára mutattak, de szinte túl nyilvánvalóak voltak ahhoz, hogy Észak-Koreát hibáztassák. Végül a Igor Soumenkov, a Kaspersky Lab munkatársa zseniális nyomozómunkával megtalálta a füstölgő pisztolycsövet, amely közvetlenül Moszkvát hozta gyanúba.
Néhány évvel később, közvetlenül a 2020 végén esedékes ünnepi időszak előtt elterjedt a hír arról az ellátási lánc támadásról, amely a SolarWinds szoftvert célozta meg. A SolarWindset nagy és közepes méretű szervezetek hálózati infrastruktúrájának kezelésére használják világszerte, köztük számos számos szövetségi kormányhivatalt az USÁ-ban. A szoftverfrissítési mechanizmusokba telepedtek be, és ezt egy hátsó ajtó, egy “backdoor” telepítésére használták fel. Az áldozatok jelentősége és a lopva elhelyezett backdooron keresztül megszerzett hozzáférés a modern történelem egyik legnagyobb és legkárosabb kiberkémkedési támadásává teheti ezt az incidenst.
Az Egyesült Államok szövetségi nyomozóirodája (FBI), a kiberbiztonsági és infrastruktúra biztonsági ügynöksége (CISA), az országos hírszerzési igazgatósága (ODNI) és a nemzetbiztonsági ügynökség (NSA) közös közleményt adott ki, amely szerint a nyomozásuk a következőt jelezte: “…egy valószínűleg orosz származású Advanced Persistent Threat actor felelős a kormányzati és nem kormányzati hálózatok közelmúltban felfedezett, folyamatban lévő kibervisszaéléseinek többségéért vagy mindegyikéért. Jelenleg úgy gondoljuk, hogy ez egy hírszerzési célú művelet volt, illetve továbbra is az.”
Az orosz kiberkonfliktus 2022-ben
2022-ben a kiberpolitikai feszültségek ismét erősödnek, és a törésponthoz közelednek. 2022. január 13-án és 14-én számos ukrán kormányzati webhelyet megrongáltak és ransomware támadásnak álcázott malware-rel fertőztek meg rendszereket. Ezen támadások több összetevője is a múltat visszhangozza. A malware valójában nem zsarolóprogram volt, hanem csak egy kifinomult törlő eszköz, amint azt a NotPetya támadásoknál is megfigyelhető volt. Ezenkívül sok hamis nyom maradt hátra, amelyek arra utaltak, hogy az incidens ukrán disszidensek vagy lengyel partizánok műve lehet.
A figyelemelterelés, a zavarkeltés, a tagadás és megosztásra tett kísérlet az általános forgatókönyvnek tűnik most. 2022. február 15-én, kedden egy sor bénító erejű DDoS-támadást indítottak az ukrán kormányzati és katonai webhelyek, valamint Ukrajna három legnagyobb bankja ellen. Példátlan lépésként a Fehér Ház már feloldotta a titkosszolgálati adatok egy részét, a támadások felelőseként pedig az orosz GRU-t határozták meg.
Az orosz forgatókönyv a kiberháborúhoz
És most? Függetlenül attól, hogy a dolgok tovább eszkalálódnak e, a kiberműveletek biztosan folytatódni fognak. Ukrajnát Viktor Janukovics 2014-es leváltása óta folyamatosan támadások özöne éri, amelyek mértéke változik. Oroszország hivatalos dokumentuma, az “Az Orosz Föderáció katonai doktrínája” 2010-ből kimondja: “...az információs hadviselés intézkedéseinek előzetes végrehajtása a politikai célok katonai erő alkalmazása nélkül történő elérése érdekében, és ezt követően azért, hogy a katonai erő alkalmazására a világ közösségétől kedvező választ formáljon.”
Ez a konfliktus előtti cselekedetek folytatódására utal és a DDoS-támadásokat egy küszöbön álló hadilépés lehetséges előjelévé teszi. Az információs hadviselés az, ahogyan a Kreml megpróbálja irányítani a világ többi részének az ukrajnai műveletekre adott reakcióját vagy egy támadás bármely más célpontja kapcsán.
A hamis nyomok, a felelősség másra hárítása, a megszakított kommunikáció és a közösségi média manipulációja mind kulcsfontosságú elemei Oroszország információs hadviselési forgatókönyvének. Nincs szükségük állandó álcát létrehozni a terepen és másutt végzett tevékenységeikhez, egyszerűen elegendő késedelmet, zűrzavart és ellentmondást okozniuk ahhoz, hogy lehetővé tegyék más, egy időben zajló műveleteik számára a céljaik elérését.
Felkészülni, védekezni
Az Egyesült Államok és az Egyesült Királyság megpróbálja megelőzni a félretájékoztató kampányok egy részét, és ez korlátozhatja a hatékonyságukat. Nem szabad azonban feltételeznünk, hogy a támadók feladják a próbálkozást. Például az Ukrajnát körülvevő országok szervezeteinek fel kell készülnie arra, hogy valamilyen online bajba belekeveredhetnek még akkor is, ha nem közvetlenül Ukrajnán belül működnek. A korábbi támadások és téves információk átszivárogtak Észtországba, Lengyelországba és más szomszédos államokba, még ha csak járulékos károkként is.
Globális szemszögből arra érdemes számítanunk, hogy számos “hazafias” szabadúszó - akik alatt ransomware bűnözőket, adathalász eszközöket készítőket és botnet operátorokat értek - a szokásosnál is nagyobb hévvel csap majd le az anyaország ellenfeleinek tekintett célpontokra. Nem valószínű, hogy Oroszország közvetlenül NATO-tagokat támadna meg és megkockáztatná az 5. cikk alkalmazását. Azonban a közelmúltban tett gesztusai az Orosz Föderációból és a Független Államok Közösségének (FÁK, “CIS”) partnereiből származó bűnözők megfékezése kapcsán valószínűleg véget érnek, és ehelyett a fenyegetések számának növekedését fogjuk látni. A mélyreható védelemre mindig törekedni kell, és a támadások gyakoriságának és súlyosságának növekedésére számíthatunk, de hónapokba telhet, amíg az orosz-ukrán konfliktus miatti digitális behatolások bizonyítékai a felszínre kerülnek.
