Minden idők egyik legsúlyosabb kibertámadása rázza meg Amerikát

Bár az elmúlt évek legsúlyosabb hekkertámadása érte az amerikai kormányt, nem is ők fedezték fel, hogy meghekkelték őket. Az Egyesült Államokat napok óta lázban tartó történet azzal kezdődött, hogy a FireEye nevű amerikai kiberbiztonsági cég december 8-án bejelentette, hogy egy külföldi államhoz köthető hekkerek ellopták egyes, támadáshoz is használható eszközeiket, amelyekkel az ügyfeleik védelmét szokták tesztelni. Ez már önmagában is aggasztó, egyrészt mert a világ egyik legismertebb és legbefolyásosabb, jó kormányzati kapcsolatokkal rendelkező kiberbiztonsági cégéről van szó, másrészt mert az sose jó előjel, ha offenzív kibereszközök kerülnek illetéktelen kezekbe.

A java azonban csak azután jött, hogy a cégnél elkezdtek utánajárni, mi történt pontosan. Mint kiderült, a FireEye csak egy hosszú ideje folyó és és sokkal kiterjedtebb kiberkémkedési kampány egyik áldozata volt. December 13-án adták közzé, hogy a SolarWinds nevű, kevésbé ismert, de annál fontosabb texasi informatikai cég volt hekkertámadás fő célpontja.

A SolarWinds kormányzati és ipari beszállótóként is működik, a partnerei között a legtöbb minisztérium mellett a világ legnagyobb vállalatainak jó része is megtalálható. A támadók a cég Orion nevű hálózatfelügyeleti szoftverének frissítéseibe férkőztek be, és ezen keresztül hosszú hónapokon át hozzáférhettek a programot használó kormányzati intézmények és vállalatok hálózataihoz is.

Az incidens súlyát jelzi, hogy

a támadás nyilvánosságra kerülése előtti napon a Nemzetbiztonsági Tanács is összeült a Fehér Házban,

majd működésbe lépett egy ritkán használt vészhelyzeti kiberbiztonsági protokoll, és felállt egy akciócsoport a kormányügynökségek válaszlépéseinek koordinálására.

Kicsi cég, nagy probléma

A támadók azért maradhattak ilyen sokáig észrevétlenek, mert nem magát az Oriont törték fel, hanem a szoftver frissítési mechanizmusába épültek be, így mindenhova automatikusan bejutottak, ahol a felhasználók frissítették magát a programot. A hekkerek által használt kártevőt, amelynek a FireEye a Sunburst, az akció felderítésében szintén aktív Microsoft pedig a Solorigate nevet adta, az idén március és június között kiadott frissítésekbe sikerült becsempészni. (A Microsoft egyébként már tavaly októberi frissítésekben is fedezett fel anomáliákat, de nem világos, hogy azok a későbbi akció főpróbájának a nyomai, vagy attól teljesen függetlenek-e.)

A SolarWinds ügyfélköre egészen szédítő.

Világszerte több mint 300 ezer partnerük van, köztük egy sor kormányzati és katonai intézmény, egyetem és kritikus infrastruktúrát biztosító vállalat. Az Egyesült Államokban a partnereik közé tartozik a tíz legnagyobb telekommunikációs vállalat, a katonaságnak mind az öt ága, több minisztérium és kormányügynökség, a NASA, a CDC, az NSA, a posta, hadiipari beszállítók, a nukleáris fegyvereket fejlesztő Los Alamos Nemzeti Laboratórium, az öt legnagyobb könyvvizsgáló cég és a Fortune 500-as lista 425 szereplője. (Az incidens után a honlapjukról eltűnt az ügyféllistából közölt ízelítő, de archiválva még elérhető.)

A jó hír, hogy a fentieknek csak a töredéke lehet érintett: 33 ezren használták az Oriont, és ezeknek is csak valamivel több mint fele töltött le fertőzött frissítést. A rossz hír viszont az, hogy még így is közel 18 ezer érintettje lehet a támadásnak – hogy pontosan mennyi, az még mindig nem világos. A biztos áldozatok listája mindenesetre impresszív. Szerepel rajta az amerikai kereskedelmi, belbiztonsági, védelmi, egészségügyi, külügy- és pénzügyminisztérium, telekommunikációs és technológiai cégek, illetve, mint láttuk, legalább egy prominens kiberbiztonsági vállalat. Az Oriont a villamosenergia-, az olaj-, a gáz- és a gyártószektorban is széles körben használják, azaz a kritikus infrastruktúra meghatározó vállalatai is érintettek lehetnek.

Nem csak az Egyesült Államokat érte el a támadás: a FireEye Észak-Amerikától Európán és a Közel-Keleten át Ázsiáig azonosított áldozatokat, de már akkor jelezte, hogy még ennél is többen lehetnek. Mivel a támadásra nem valamilyen nagy szivárogtatás útján derült fény, hanem kifejezetten kutakodni kellett utána, az áldozatok listája várhatóan még bővülni fog, ahogy egyre több potenciális érintett nézi át a rendszerei naplófájljait, árulkodó jelek után kutatva.

Charles Carmakal, a FireEye alelnöke szerint a valóban kompromittált szervezetek száma inkább csak néhány tucat lehet, de ennek az az oka, hogy a támadók megválogatták a célpontjaikat, és csak a legértékesebbeknél használták ki a megszerzett hozzáférést. Az ilyen támadásoknál ugyanis minél aktívabbak a hekkerek, annál nagyobb eséllyel lepleződnek le, így érdemes csínján bánniuk a lehetőségeikkel.

Legalább most sikerült lekapcsolni

A kiberbiztonsági közösség az elmúlt napokban folyamatosan a támadás visszafejtésén és ártalmatlanításán dolgozott, és mint kiderült, nem is sikertelenül: a FireEye-jal és a GoDaddy tárhelyszolgáltatóval együttműködve a Microsoft átvette az irányítást az egyik domain (az avsvmcloud[.]com) fölött, amelyen keresztül a támadók a megfertőzött gépekkel kommunikáltak. Rájöttek, hogy bizonyos feltételek mellett a megszerzett domain úgynevezett killswitch-ként használható, azaz kikapcsolható vele a kártevő, amellyel kapcsolatban áll.

Így a kutatóknak sikerült deaktiválniuk a Sunburstöt.

Ez teljesen még nem vet véget a veszélynek, mert a FireEye megfigyelte, hogy a támadók a megfertőzött rendszereken elkezdtek további hátsó ajtókat is nyitni. Így azokon a gépeken, amelyekre bejutva a Sunburst mellett további kapcsolatokat is kiépítettek, a Sunburst kikapcsolása után is aktívak maradhatnak. Új fertőzésektől mindenesetre már nem kell tartani. (Egyébként az ilyen killswitch megtalálása nem példa nélküli, többek között a hírhedt WannaCry zsarolóvírust is így sikerült megállítani 2017-ben.)

Azt egyelőre nem lehet pontosan tudni, hogy a támadók mihez férhettek hozzá, de az például már kiderült, hogy a kereskedelmi és a pénzügyminisztériumban hónapokon át megfigyelték az emailforgalmat. Annak a felmérése, hogy mi mindent lophattak el a kompromittált rendszerekből, hónapokba vagy akár évekbe is telhet.

Régi orosz ismerős sejlik fel

A szakértők szerint a támadás komplex és kifinomult volt. Egy ilyen akció végrehajtásához hosszú távú tervezés, jelentős erőforrások és rengeteg türelem kellett – tipikusan olyasmik, amikkel jellemzően állami hekkerek rendelkeznek.

A FireEye jelentése szerint a támadók nagy hangsúlyt fektettek arra, hogy észrevétlenek maradjanak, nagy türelemmel készítették elő a terepet. A lehető legkevesebb kártevő kódot használták, és figyelemmel kísérték a normál hálózati aktivitást, hogy el tudják rejteni benne a saját tevékenységüket. Módszeresen eltüntették a nyomaikat, és nehezen azonosítható eszközöket használtak (kibertámadásoknál a támadók kilétének azonosítása általában az általuk használt eszközök és módszerek alapján történik). A cég szerint, bár a fertőzött frissítéssel sok helyre bejuthattak a támadók, valójában minden egyes áldozat becserkészéséhez külön alapos tervezésre és manuális beavatkozásra volt szükség.

Azt a FireEye is leszögezte, hogy mindezt állami hátszéllel követhették el, de a cég még csak egy meg nem nevezett állam hekkereiről beszélt. A Reuters írta meg először, hogy a forrásai szerint Oroszország állhat a támadás mögött, majd a Washington Post pontosította, hogy értesülései szerint a Cozy Bear vagy APT29 néven ismert, állami kötődésű orosz hekkercsoportról lehet szó.

A Cozy Beart két KGB-utódszervezethez, a kémelhárításért felelős, de külföldön is aktív FSZB-hez, illetve a hírszerzést végző SZVR-hez szokták kötni, ennek megfelelően elsősorban diplomáciai, katonai és politikai szervezeteket vesz célba. Legalább 2008 óta aktív, amikor az orosz-grúz konfliktus alatt részt vett szinte a teljes grúz internet megbénításában, de azóta Brazíliától Japánon át Új-Zélandig a fél világot végighekkelte. Az Egyesült Államokban már az Obama-adminisztráció idején is aktív volt, hozzá köthető a külügyminisztérium, a Pentagon és a Fehér Ház levelezésének 2014-2015-ös feltörése is. A legismertebb azonban a 2016-os amerikai elnökválasztási kampány megzavarásában játszott szerepe, amikor – egy másik hírhedt orosz hekkercsoporttal, az APT28/ Fancy Bearrel párhuzamosan, de tőlük függetlenül – betört a Demokrata Párt szervereire. (Az ezt követő, nagy visszhangot kiváltott szivárogtatások is a rivális szervezethez köthetők, a Cozy Bear már akkor is inkább a klasszikus, rejtőzködő kémkedésről volt ismert.)

Az amerikai orosz nagykövetség Facebookon kiadott közleményben reagált a friss vádakra, amelyeket alaptalannak neveztek. Azt írták, Oroszország egyáltalán nem végez támadó tevékenységet a kibertérben, mert ez „ellentmond az orosz külpolitika elveinek”, és egyébként is, éppen ők javasoltak szeptember végén információbiztonsági együttműködést az Egyesült Államoknak, amelyre azóta sem kaptak választ.

A leggyengébb láncszem

A SolarWinds meghekkelésével a szoftveres ellátási láncot érte támadás. Az ilyen jellegű támadásokat nehezebb észrevétlenül kivitelezni, cserébe nem egyesével kell belépési pontot találni minden célpont hálózatára, hanem egy sokak által használt szoftvert megfertőzve lehet bejutni mindegyikükhöz. Egy korábban az NSA-nél dolgozó biztonsági szakértő szerint a SolarWinds azért is vonzó célpont, mert a szoftvere a jellegéből adódóan magas szintű jogosultságokat kap, így a támadók egyetlen belépési ponton nagyon mélyre tudnak hatolni az áldozatok hálózati infrastruktúrájában.

A globális gazdaság és információáramlás a kölcsönös bizalomra épül, ez azonban kiszolgáltatottsággal is jár. Az ilyen típusú támadások nemcsak a kiterjedt hatásuk miatt különösen veszélyesek, hanem azért is, mert alapjaiban rengetik meg ezt a bizalmat a teljes ellátási láncban. Márpedig arányaiban egészen kis láncszemek kompromittálása is egészen nagy galibát tud okozni.

A mostani eset két szempontból is hasonlít a NotPetya zsarolóvíruséhoz, amely 2017 júniusában söpört végig a világon. Akkor is az ellátási láncon keresztül tudták a támadók elterjeszteni a kártevőjüket: egy ukrán cég által fejlesztett, MeDoc nevű könyvelőprogram frissítési mechanizmusába férkőztek be a feltételezések szerint szintén orosz hekkerek.

A másik hasonlóság, hogy abban a történetben is szerepelt ellopott kiberfegyver, mint most a FireEye esetében: az NSA a saját céljaira fejlesztett ki egy EternalBlue nevű exploitot (sebezhetőség kihasználására alkalmas kódot), de 2016-ban meghekkelték őket, és a támadók közzétették az interneten az ellopott eszközt. Egy évvel később mindkét pusztító zsarolóvírus, a WannaCry és a NotPetya is az EternalBlue segítségével jutott be az áldozatok hálózatára. A Microsoft már hónapokkal korábban kiadta a javítást a hibára, amelyet az EternalBlue kihasznált, ezt azonban sokan nem telepítették, így még jóval később is védtelenek voltak a támadással szemben.

A FireEye eszközei is visszaköszönhetnek még a jövőben, éppen ezért a cég rögtön ki is adta a tudnivalókat a kivédésükhöz. (Ironikus módon a SolarWinds-támadást épp azok úszhatták meg, akik lemaradtak, és március óta nem frissítették az Oriont – ennek ellenére fontos hangsúlyozni, hogy általánosságban a hekkerek távoltartásának nulladik lépése a programok karbantartása, és a történetnek semmiképpen nem az a tanulsága, hogy nem érdemes frissíteni.)

Bár az ellátási lánc elleni támadás egyáltalán nem újdonság, a SolarWinds-incidens párját ritkítóan kiterjedt,

és a nemzetbiztonsági vonatkozása miatt új lendületet adott az amerikai törvényhozáson belüli vitáknak arról, hogy a kormányzati szervek elég alapos vizsgálatnak veti-e alá azokat a szoftvereket, amelyekre a kormányzati infrastruktúra épül.

Addig támadtak, amíg elfelejtettek védekezni

Az amerikai kormányzati és kritikus infrastruktúra védelméért a belbiztonsági minisztérium Kiberbiztonsági és Infrastruktúra-biztonsági Ügynöksége (CISA) felel. A CISA ki is adott egy ritka vészhelyzeti felhívást, amelyben minden szövetségi ügynökséget arra buzdít, hogy nézzék át a hálózataikat, az esetleges érintettség jeleit kutatva, illetve azonnal hagyjanak fel az Orion használatával. Ez már csak az esetleges új behatolásokat akadályozhatja meg, a már a hálózaton lévő kémek tevékenységét nem befolyásolja.

A CISA helyzetét nehezíti, hogy a minden korábbinál biztonságosabb novemberi elnökválasztás után Donald Trump kirúgta a szervezet alapító igazgatóját, Chris Krebst, amiért az a csalást kiáltó leköszönő elnökkel szembemenve kitartott amellett, hogy nem történt választási manipuláció. Az igazgató eltávolítása után több további vezetőt is kiszorítottak vagy magától felállt.

Az incidens egyébként is nagy kudarc az amerikai kibervédelemnek, hiszen egy magánvállalat leplezte le (majd bénította meg) a támadást, amely hónapokig zavartalanul zajlott,

miközben a világ legfejlettebb elektronikai hírszerző ügynöksége, az NSA is megtalálható volt a SolarWinds kliensei között.

A Trump-kormányzat a korábbinál militánsabb mentalitást képviselt a kibertérben, és főleg 2018 óta inkább a támadók támadására koncentrált. Az NSA-t és egyben a Kiberparancsnokságot is vezető Paul Nakasone azt ígérte a két és fél évvel ezelőtti beiktatásakor, hogy az idegen államok addig büntetlenül garázdálkodó hekkerei a jövőben kemény megtorlásra számíthatnak, és érkeztek is hírek az orosz hekkereket támadó amerikai szolgálatokról.

A történteknek különösen kedvezőtlen fénytörést ad, hogy Donald Trump az elmúlt hónapokban folyamatosan a saját kormányzati ügynökségei által is alaptalannak tartott választási csalásról beszél, miközben a szolgálatainak a jelek szerint fogalmuk sem volt egy valóban zajló, súlyos beavatkozásról – részben talán éppen azért, mert a választás (amúgy sikeres) megvédésével voltak elfoglalva.

Fel kell tuningolni a kibervédelmet

A SolarWinds-támadás után felerősödött azoknak a szakértőknek a hangja, akik szerint a Trump alatt elhanyagolt kormányzati kibervédelem reformra szorul. Többek között egy önálló nemzeti kibervédelmi igazgatói pozíció létrehozását sürgetik, illetve a néhány éve a belbiztonsági minisztériumon belül nagy nehezen létrehozott, de azóta is forráshiányos CISA megerősítését és a hatáskörei kiszélesítését, hogy proaktívabban vadászhasson a mostanihoz hasonló fenyegetésekre. Hatékonyabb információmegosztást is sürgetnek mind a kormányzaton belül, mint a magánszektor szereplőivel.

„Trump messzire ment abba az irányba, hogy a legjobb védekezés a támadás. Remélhetőleg vissza tudunk térni oda, hogy a legjobb védekezés a jó védekezés, és összpontosítani tudunk arra, hogy a kiberbiztonságot mint egészet fejlesszük, hogy nehezebbé váljanak a támadások”

– mondta a Washington Postnak Jason Healey, a Columbia Egyetem kutatója, korábbi fehér házi kiberbiztonsági tisztviselő.

Persze nem lenne korrekt mindent Trump nyakába varrni, már a bőven a leköszönő elnök előtti időkből is maradtak fenn rendszerszintű hiányosságok. Az amerikai kormány másfél évtizede kiépített, majd később továbbfejlesztett egy Einstein névre keresztelt, több milliárd dolláros érzékelőrendszert, amely a kormányzati rendszerek elleni támadásokat hivatott észlelni. Ez azonban csak a már ismert kártevőket és módszereket képes azonosítani, hiába merült fel legkésőbb 2018-ban, hogy még ismeretlen támadások ellen is felvértezzék (ahogy egyes kiberbiztonsági cégek rendszereit). A mostani támadás ezért akadálytalanul hatolt át a rendszeren. Jelenleg egyébként 2022-ben várható a rendszer továbbfejlesztése.

A SolarWinds-incidensről Joe Biden hatalmi átmenetet előkészítő stábját is tájékoztatták, szakértők szerint ennek az ügynek a kezelése, illetve a Trump alatt háttérbe szorult kormányzati kibervédelem gatyába rázása lehet a januárban hivatalba lépő elnök és kormánya első nagy kihívása a koronavírus-járvány kezelése mellett.

Magáról a SolarWindsről mindenesetre még biztosan fogunk hallani, ha másért nem, amiatt biztosan, hogy a cég top befektetői napokkal a támadás nyilvánosságra kerülése előtt 280 millió dollár értékben adták el a részvényeiket. Ez az időzítés legalábbis gyanús, és bár nem tudni, hogy a két eseménynek van-e köze egymáshoz, a tőzsdefelügyelet várhatóan vizsgálatot fog indítani ennek a kiderítésére. A cég részvényei egyébként a balhé kirobbanása óta 22 százalékot zuhantak.

Ha fontosnak tartja a független sajtót, kattintson ide, és támogassa a Telexet!