És azt ismerik, amikor egy ukrán és egy kínai hekker találkozik egy orosz erőműben?
2022. szeptember 29. – 18:42
frissítve
Védtelen orosz ipari vezérlőrendszerek, egy orosz kisvárosból irányított globális botnet magyar IP-címekkel, orosz routerről egymást kitessékelő ukrán és kínai hekkerek, kiberbűnözői szerverekből saját célra betárazó orosz állam – idén az ITBN konferencián is sok szó esett az orosz–ukrán háborúról, összefoglaljuk az itt elmesélt legérdekesebb kiberbiztonsági sztorikat.
Idén 18. alkalommal rendezték meg az ITBN nevű kiberbiztonsági konferenciát. A kétnapos rendezvényen a hardcore szakmai programok mellett minden évben a szélesebb közönségnek is érdekes előadások és beszélgetések is elhangzanak olyan, mindannyiunkat érintő témákról, mint az egyre növekvő kiberbűnözés legújabb trendjei. Az elmúlt években a rendezvény nagy átalakuláson ment át, mert a koronavírus-járvány miatt teljesen az online térbe költözött. Ennek idén vége lett: két év kényszerű virtualitásba vonulás után az ITBN újra elfoglalta megszokott helyét a Groupama Arénában. De ahogy a munkavégzés sem lesz már ugyanolyan, mint a járvány előtt, és sok helyen a home office legalább részlegesen a mindennapok szerves része maradt, úgy az ITBN is részben megtartotta az online közvetítést, és a fő színpadán tartott programokat továbbra is lehetett otthonról követni.
Persze nemcsak a lebonyolításra vannak hatással a világot épp formáló események, hanem a tematikára is. Ahogy az elmúlt két évben sok szó esett arról, hogy a járvány milyen új lehetőségeket nyitott a kiberbűnözők előtt, illetve milyen új területeken keltette fel az állami kiberkémek érdeklődését; úgy idén az orosz–ukrán háború vált megkerülhetetlenné. Ahogy arról mi is többször írtunk, ez már egy ízig-vérig 21. századi háború, amelyben az összecsapások a kibertérben is zajlanak. Nem csoda, hogy több előadás és beszélgetés is ezekről az összecsapásokról szólt.
Béres Péter, az ESET kiberbiztonsági cég magyarországi képviseletét ellátó Sicontact IT-vezetője például kifejezetten ennek szentelte az előadását, ami nem csoda, mert a szlovákiai központú ESET aktívan részt vett az Ukrajna elleni kibertámadások felderítésében. Béres felidézte, amiről a háború előtti hetekben mi is részletesen írtunk: hogy hogyan vált Ukrajna a Krím 2014-es bekebelezése után egyre inkább az orosz állami hekkerek tesztlaborjává. Ennek aztán olyan látványos eredményei voltak, mint a világ első kibertámadás okozta áramszünete 2015-ben (BlackEnergy); egy hasonló, de már automatizált támadás 2016-ban (Industroyer) vagy a véletlenül globálissá duzzadt támadás a zsarolóvírusnak álcázott NotPetyával 2017-ben. A háború kitörése előtti napon aztán az ESET kutatói azonosították a HermeticWiper nevű adattörlő kártevőt, majd később szinte havonta bukkantak hasonló támadás nyomára, de volt olyan is, amelyet már sikerült csírájában elfojtani.
Ukrán és kínai hekkerek civakodtak az orosz routeren
Nem húzom tovább az időt, folytassuk a címben már belengetett sztorival, mert amennyire szokatlan, egyben annyira jellemző is a kaotikus viszonyokra a kibertérben. Ezt az esetet Frész Ferenc, a Cyber Services alapító-vezérigazgatója mutatta be. A történet főszereplője egy a háborúba ukrán oldalon beszállt hekkercsoport, a Team OneFist, akik sérülékeny orosz rendszerekre vadásznak, de saját bevallásuk szerint a háborús gépezet megakasztása a céljuk, ezért kifejezetten kerülik a civil kritikus infrastruktúra elleni támadásokat – bár úgy tűnik, azért ilyen rendszerekben is szétnéznek, ha belebotlanak.
Szeptember közepén jelentették be, hogy találtak valami érdekeset: feltörtek egy központi routert egy kis orosz településen, a 4600 fős Sztaroszubhangulovóban, és az egy dolog, hogy ezen keresztül hozzáfértek az egész régiót ellátó erőművek védtelen rendszereihez, de emellett egy váratlanul kiterjedt hálózatra is bukkantak. Az általuk OrcNet hadműveletnek elnevezett akcióról szeptember 19-én tettek közzé egy jelentést, majd másnap egy frissítést is kiadtak hozzá.
Az egész úgy kezdődött, hogy a OneFist hekkerei találtak egy sérülékenységet, amelyet kihasználva hozzá tudtak férni az említett router webes felületéhez, de nemcsak ahhoz, hanem egy vízmű, egy hőerőmű és egy naperőmű ipari folyamatirányítási rendszeréhez is – mindezt úgy, hogy a rendszerekhez adminisztratív jogokat is szereztek, azaz kedvükre kapcsolgathatták volna a termelést szabályozó rendszereket.
Azt már legkésőbb a háború kezdete és az Oroszországot kipécéző ukrán vagy ukránbarát hekkerek megszaporodása óta tudni lehet, hogy az orosz ipari rendszerek rendkívül sebezhetőek – ezzel mondjuk nincsenek egyedül, elég szétnézni Magyarországon. Február vége óta sorra érkeznek a hírek arról, hogy ilyen célpontok váltak támadás áldozatává, gyakran olyan banális okból, mint hogy rosszul állítottak be egy hálózatot, nem változtattak meg egy gyári jelszót vagy nem frissítettek egy operációs rendszert – a Roszatom ipari rendszereitől a Roszkoszmosz műholdirányítási rendszereiig számos nagyvállalat is került már kellemetlen helyzetbe emiatt.
A OneFist hekkerei is egy jól ismert, 2017-es sérülékenységet használtak ki, amikor sérülékeny routerekre vadászva belebotlottak ebbe az eszközbe. Azonban amikor bejutottak, a már említett ipari rendszereken kívül feltűnt nekik, hogy valamilyen más forgalom is átfolyik a routeren. Ezt elemezve kiderült, hogy
a baskírföldi bányászrégió párezer fős központjában egy olyan hálózat működik, amelyhez a világ 106 országából több mint 54 ezer végpont csatlakozik, köztük 91 Magyarországról.
Ebből az 54 ezerből a legtöbb végpont amerikai (tízezer) és kínai (négyezer). A 91 IP-címmel Magyarország a középmezőnyben van: a letölthető lista szerint a 106 érintett országból az 52. legtöbb végpont található itt. A további forgalomelemzésből kiderült, hogy a hálózat folyamatosan próbálkozik egyre több és több végpont felé, keresi a bővülési lehetőségeket.
Ekkor jött az újabb csavar: szeptember 14-én, miközben a OneFist hekkerei épp gyűjtötték és elemezték az adatokat, a feltört routerre megérkezett egy másik látogató is: kínai hekkerek indítottak egy komoly támadást. Innentől a két csoport elkezdett kiszorítósdit játszani, felváltva söpörték ki egymást a duplán kompromittált hálózatból – amely eközben nyolc-kilenc alkalommal is leállt, mert a router folyamatosan újraindult, ahogy civakodtak felette. Aztán egyszer csak megérkezett az orosz üzemeltetés, és lekapcsolta az egészet.
„Egy orosz infrastruktúrában amerikai forrásból csatlakozó ukrán hekkerek egy kínai hekkercsapattal találkoztak szembe” – foglalta össze a szokatlan esetet Frész Ferenc, aki szerint a hálózatról kiderült, hogy valaki arra használta, hogy onnan irányítsa egy botnet kiépítését. Azaz úgy működhetett onnan egy globális támadóhálózat, hogy az oroszoknak erről a jelek szerint fogalmuk sem volt.
„Amikor a OneFist elkezdte átkonfigurálni a rendszert, a kínaiak rájöttek, hogy épp elesik a botnetük, és vissza akarták foglalni, ekkor jöttek az oroszok, hogy lelőjék”
– mondta Frész.
Míg a OneFist egy 2017-es sérülékenységet kiaknázva, a web felől szerzett adminisztrátori hozzáférést a hálózathoz, a kínaiak egy idén májusi nulladik napi (tehát eddig ismeretlen és javítatlan) sérülékenységre építve hátsó ajtót nyitottak az eszközbe – ezen keresztül jutottak vissza azután is, hogy a OneFist kidobta őket. Frész szerint azóta már új tűzfalszabályok vannak a routerben, és bár a sérülékenységeket nem javították, már nem elérhető.
Az oroszok betáraztak a háború előtt
Az iménti sztorit a kibertérben uralkodó kaotikus viszonyokkal vezettük fel. Ez a káosz azonban nem puszta körülmény, hanem gyakran a szereplők kifejezett érdeke – derült ki Török Szilárd kibernyomozó szavaiból a konferencia egyik beszélgetésén. Török szerint a háború kitörése óta különösen igaz, de már előtte is jellemző volt, hogy a dark weben élénk kereskedelem folyik különböző kiberbűnözői és titkosszolgálati csoportok között, amelyben célzott támadásokhoz felhasználható adatok cserélnek gazdát.
„Keverednek az adatok a különböző szektorok között, és ez valójában titkosszolgálati körök érdeke is lehet, hogy ne lehessen átlátni, ahogy azt sem, hogy a dark weben árult hozzáférések valójában honeypotok, hogy valaki megvegye, és megnézik, hogy megtámadja-e, vagy pedig valódi adatok” – mondta Török.
Közvetlenül a háború előtt azonban történt valami érdekes: „A legtöbb dark web site orosz érdekeltségű vagy oroszok által üzemeltetett szervereken volt, és a háború előtt kettő nappal hivatalos orosz belügyi nyilatkozatok voltak ezeken az oldalakon, hogy az orosz állam elfoglalta a gépeket, és az összes rajtuk elérhető, egyébként európai szerver hozzáféréseit elfoglalták, és elvették a szervereket. Gyakorlatilag a háború előtti két napban begyűjtötték az összes hozzáférést” – mondta.
„Ezek mind arra használhatók, hogy valaki akár állami érdekből lopjon, csaljon, vagy ha már nem, akkor kiosztja bűnözői köröknek, hogy összemossa a különböző tevékenységeket, és elfedje a valódi célt.”
Ezzel kapcsolatban felidézte, hogy Gattyán György milliárdos magyar vállalkozó elektronikus aláírásokban utazó cége, a Netlock ellen is épp a háború előtti napokban indult több kibertámadás.
Ugyanezen a beszélgetésen vett részt többek között Halász Viktor rendőrszázados, a Nemzeti Nyomozó Iroda (NNI) Kiberbűnözés Elleni Főosztály Felderítő Osztályának vezetője, aki elmondta, hogy még mindig fiatal terület itthon a rendőrségnél a dedikált kibervédelem. Ez a főosztály csak négy éve jött létre, hogy vigye a kiemelt kibertámadásos ügyeket, amelyekben nagy kártérték történt, illetve szervezett bűnözői körök és határon átnyúló szálak vannak. Mára viszont már ez a legnagyobb főosztály az NNI-n belül, és tovább növekednek – mondta Halász, érzékeltetve, hogy egyre jelentősebb a kiberbűnözés itthon is.
Halász szerint az NNI-nél azt tapasztalják, hogy a komolyabb ügyekben még mindig inkább külföldi csoportok vannak a háttérben, jellemzően orosz, kínai, amerikai hekkerek. Idén épp elindult egy kezdeményezés, hogy informális kapcsolatot alakítsanak ki az orosz hatóságokkal, hogy szorosabb együttműködés legyen ilyen ügyekben – ennek a próbálkozásnak a háború kitörése értelemszerűen betett.
Török Szilárd szerint egyébként a magyar hekkerek gyakran külföldre dolgoznak, emiatt gyakran jönnek a CIA-tól megkeresések nemzetközi ügyekben, „a magyar szaktudás egy részét elszippantották” – mondta.