A világ vezető katonaságainál az utóbbi időszakban sorra értékelik fel és erősítik meg a kiberegységeket. Valóban, az információs háború korában élünk, amelyben a geopolitikai csatározások központi elemei a kritikus infrastruktúrák megbénítása, a dezinformáció terjesztése, az ellenfelek lejáratása, a közvélemény megnyerése, avagy éppen elbizonytalanítása.
Bár az USA Kiber Parancsnokságát már több mint egy évtizede létrehozták, az országot ért sorozatos támadások miatt 2018 tavaszán a parancsnokságot felhatalmazták az eddiginél jóval agresszívabb, megelőző csapásokat is magában foglaló lépésekre. Az elhárítás is maximális fordulatszámon pörög: az amerikai Nemzetbiztonsági Ügynökség (NSA) és az FBI augusztus közepén közös felhívásban tájékoztattak az orosz katonai hírszerzés 26165-ös egységéről, amely az eddig ismeretlen „Drovorub” nevű rosszindulatú szoftver (malware) segítségével hatol be a megcélzott rendszerekbe.
Óriási blamázs
De hiába volt a csúcsszintű éberség, alapos leckét kaptak az amerikaiak a hét elején. A FireEye nevű amerikai vállalat a világ egyik legnagyobb és legfontosabb kiberbűnözés elleni szereplője. Ez a cég segített 2014-ben a Sony Entertainmentnek egy súlyos kibertámadás után, 2015-ben őket kérte fel tanácsadónak az amerikai külügyminisztérium és más kormányzati szerv egy orosz kibertámadást követően, és 2017-ben ők vizsgálták meg az Equifax nevű pénzügyi szolgáltató meghekkelt számítógépeit.
De most éppen ők estek áldozatul egy elképesztően professzionális kibertámadásnak. A támadóknak ráadásul nem csak a cég rendszereibe sikerült betörniük, hanem ellopták azokat a kiberfegyvereket is, amelyekkel a FireEye az ügyfeleinél vizsgálja a védelmi rendszereik ellenállóképességét. Ezen betörésnek pedig hamarosan következményei lesznek világszerte vállalatoknál és hivataloknál.
A New York Times az esetet egy bankrablással vetette össze, amely során a rablók nemcsak kiürítettek több széfet, hanem eltulajdonították az FBI különleges fegyvereit is. A Szilícium-völgyben működő vállalat kedden közölte: a támadók elképesztő szakmai szintről tettek tanúbizonyságot, olyat, amelyet csak állami szereplők esetében ismerünk. „A támadási technikák olyan új kombinációját alkalmazták, amelyet sem mi, sem a partnereink nem láttak még” – írta Kevin Mandia cégvezető.
Hozzátette, hogy a támadók külön a FireEye rendszerére szabták a technikájukat. Több ezer új IP-címet hoztak létre, ahonnan megindították a támadásukat, és így a cég biztonsági rendszerének radarja alatt maradtak.
Állami szereplő volt
Az elmúlt években a cég sorra hozta nyilvánosságra külföldi szereplők támadásait és azokat Irán, Kína, avagy Oroszország számlájára írta, miközben egyes hekkercsoportokat is automatikusan egyes kormányokkal hozott összefüggésbe. Ezzel a FireEye minden bizonnyal kihúzta a gyufát több állami kiberegységnél – gyanította kedden több szakértő is.
A New York Times-nak nyilatkozó James A. Lewis, a Stratégiai és Nemzetközi Tanulmányok Központja (Center for Strategic and International Studies, CSIS) kiberbiztonsági szakértője az oroszok bosszúját gyanítja a támadás mögött. Lewis szerint most hirtelen a FireEye kuncsaftjai rendkívül sérülékenyek lettek – ez bizony nem akármekkora csapás, hiszen a cégnek világszerte 10 ezer ügyfele van, köztük nagyvállalatok és kormányzati ügynökségek. A cég hitelessége katasztrofális sérüléseket szenvedett. A vállalatnak be kellett vallania, hogy a támadás során a behatolók információkat kerestek a FireEye kormányzati ügyfeleiről.
Közben már az FBI bekapcsolódott a vizsgálatba, bevonva a Microsoft szakembereit is. Az FBI megerősítette, hogy állami szereplő hajtotta végre a támadást, de nem volt hajlandó azt nevesíteni. De a Washington Post forrásai szerint a legvalószínűbb, hogy az orosz hírszerzés műveletéről van szó ebben az esetben.
Márpedig az eset a legnagyobb kiberbiztonsági eszközrablás 2016 óta, amikor egy „Shadow Brokers” fedőnevű csoport sikeres támadást hajtott végre a Nemzetbiztonsági Ügynökség (NSA) ellen. A hekkerek a rablást követően az NSA támadó programjait az interneten a legtöbbet kínálóknak adták el. Ezeket aztán a rá következő évben több támadás során használták föl kormányszervek, kórházak és vállalatok ellen, több milliárd dolláros kárt okozva. Megfigyelők joggal tartanak attól, hogy a FireEye eszközeit jövőbeli kibertámadásokhoz fogják felhasználni.
A most ellopott támadószoftverrel a támadók úgy tudnak majd támadást végrehajtani, hogy könnyedén el tudják rejteni a nyomokat az igazságszolgáltatás nyomozói elől. A FireEye a támadást követő órákban több mint 300 intézkedést jelentett be, amelyek növelhetik a védelmet a támadó programokkal szemben.
Ez viszont lehet, hogy annyit ér, mint halottnak a csók. Tegnap ugyanis nagyszabású hekkertámadás áldozata lett az Európai Gyógyszerügynökség. Az ügynökség elismerte, hogy a támadók „törvénytelenül hozzáfértek” a Pfizer / BioNTech COVID-19 vakcina fejlesztési dokumentumaihoz.
