Májusban zsarolóvírus-támadás érte az Egyesült Államok egyik legjelentősebb üzemanyagvezeték-üzemeltetőjét, a Colonial Pipeline-t, amely a keleti parti üzemanyagellátás 45 százalékáért felel. A támadás hatására a cég New Jersey-től Texasig érő, 5500 mérföldes vezetékhálózata tizenegy napra megbénult, ami üzemanyaghiányt és pánikvásárlási hullámot váltott ki az ország délkeleti részén, és a fővárosban, Washingtonban is problémákat okozott.

A hekkerek végül 4,4 millió dolláros váltságdíjért visszavonulót fújtak, és az üzemanyag-ellátás – különösebb gazdasági és társadalmi katasztrófa nélkül – újraindult. A támadás azonban így is nagy riadalmat keltett Washingtonban és az amerikai vállalati szférában, miután rávilágított, hogy

• milyen könnyedén megbénítható az alapvető infrastruktúra;
• az ehhez hasonló zsarolások száma az utóbbi időben ugrásszerű növekedésnek indult, és sem a hatóságok, sem a vállalatok nincsenek felkészülve a szervezett bűnözés legújabb formája elleni védekezésre;
• megindult a zsarolóvírus-gyártás iparosodása, amelynek köszönhetően a megfelelő kapcsolatokkal egyre könnyebb hozzájutni a támadásokhoz szükséges tudáshoz és szoftveres megoldásokhoz.

A zsarolóvírus-támadások pontos számáról nincs hivatalos adat, miután az ilyen eseteket általában mind a támadók, mind az áldozatok szeretik titokban tartani. Mindenesetre az Egyesült Államokban a Szövetségi Nyomozó Irodához (FBI) 2020-ban közel 2500 támadásról érkezett bejelentés, amely 66 százalékos növekedést jelentett az előző évhez képest a Wall Street Journal cikke szerint. Egyes kiberbiztonsági cégek ennél is magasabbra, 150 százalékosra becsülik a tavalyi növekedési ütemet. Az Egyesült Királyságban a hatóságok háromszor annyi ügyben kaptak bejelentést 2020-ban, mint egy évvel korábban.

Bár az FBI azt tanácsolja az érintett végeknek, hogy ne fizessenek váltságdíjat, a Bitdefender nevű kiberbiztonsági cég szerint az áldozatok fele mégis egyezségre jut a hekkerekkel. Egy másik, a blokklánc-bizniszben utazó cég, a Chainalysis szerint tavaly 350 millió dollárt kerestek a zsarolóvírusos támadók, ami a 2019-es összeg négyszerese. Más elemzők ennél lényegesen magasabbra, dollármilliárdos nagyságrendűre becsülik a burjánzó zsarolási iparág okozta közvetlen és közvetett kárt. 

Üdvözöljük a Sötét Oldalon

Amint a fenti számok is jelzik, a Colonial Pipeline elleni támadás csak a leglátványosabb volt a zsarolások hosszú sorában. Tavaly egy meg nem nevezett amerikai földgázvezeték-üzemeltetőnek például két napra le kellett állnia, miután egy relatíve egyszerű zsarolóvírus a Microsoft Windows gyengeségeit kihasználva bejutott a rendszerébe. Az amerikai hatóságok szerint orosz hekkerek már 2018-ban bejutottak egyes áramszolgáltatók irányító rendszereibe. A kormányzati rendszereket pedig számos súlyos támadás érte az utóbbi években.

A zsarolás célpontjai ugyanakkor tágabb palettát fednek le, az állami és magán egészségügyi szolgáltatóktól kezdve rendőrségeken, iskolákon és önkormányzatokon át pénzügyi cégekig rengeteg entitást ért támadás. A Maersk hajózási cég 2017-ben 300 millió dolláros veszteséget írt le zsarolóvírusos támadásokra hivatkozva; a Travelex brit pénzváltó tavalyi csődje állítólag részben egy 2019-es támadáshoz köthető, amikor jelentős veszteségeket szenvedtek el rendszereik leállása miatt, írja az Economist. Egy amerikai kórház-üzemeltető 67 millió dollárt bukott, és a Covid-járvány közepette több tucat intézményét kellett leállítania. Májusban pedig a világ legnagyobb húsfeldolgozó cégét, a JBS-t is zsarolóvírusos támadás érte, amelyet követően egyes amerikai, ausztrál és kanadai üzemeiket is le kellett állítaniuk. Az FBI ezen esetben is oroszokat gyanúsít.

Az egyik amerikai áldozat egy kis, néhány száz fős, családi tulajdonban lévő, nagyrészt általános iskoláknak dolgozó könyvkiadó volt, amelynek kálváriájáról a New York Times közölt részleteket. Ezek szerint a támadást követően az áldozatot egy üzenet köszönti a képernyőn („Welcome to the DarkSide”), amelyben a zsarolók, jelen esetben az orosz DarkSide nevű csoport közli, hogy a cég számítógépeit és szervereit egy kóddal titkosították, a biztonsági másolatokat törölték. Ezt követően egy honlapra irányítják az áldozatot, ahova egy személyes kulccsal tudnak belépni. A levél szerint ha bármi probléma merülne fel, a DarkSide technológiai segítséget is nyújt az eltévedt áldozatnak.

A kiadó esetében a rendszer befagyasztása mellett azzal zsarolták a céget, hogy kiküldenek egy levelet a céggel szerződött iskoláknak és szülőknek, amelyben azt állítják, hogy olyan információkhoz jutottak, amelyek alapján pedofilok hamis igazolványokat készíthetnek és bejuthatnak az oktatási intézményekbe. Emellett a kiadó honlapja elleni túlterheléses támadás is szerepelt a nyomásgyakorló eszközök között. A váltságdíj-tárgyalások 22 napon keresztül tartottak, de márciusban kisiklottak, miután a kiadó nem akarta kifizetni az 1,75 millió dolláros összeget.

Franchise-rendszer

A támadások számának gyors növekedése mögött az áll, hogy a zsarolóvírus-támadások nemcsak jövedelmezők, hanem kiszámítható és skálázható bevételi forrást jelentenek a hekkereknek, vélte a WSJ-nek egy kiberbiztonsági tanácsadó. 

A New York Times által megszólaltatott szakértők szerint emiatt egyre komolyabb nemzetközi üzleti (vagy más megközelítésből szervezett bűnözői) infrastruktúra épül az online zsarolásra. A hekkerek között szakosodás indult: egyesek a hálózatokba való betörés mesterei, mások a feltört hálózatok feletti irányítás átvételéhez értenek. Vannak, akik technikai és programozói segítséget nyújtanak a betörőknek és zsarolóknak, megint mások a váltságdíj tisztára mosását intézik, amiben a kriptovaluták térnyerése is sokat segít. Egyes bandáknak még kommunikációs részlege is van, akik a sajtókapcsolatokat viszik.

A rendszer sok tekintetben egy nagyobb nemzetközi franchise-vállalkozásra emlékeztet, amilyen például a McDonald’s: a szolgáltatások jó részét a szellemi tulajdonnal bíró központi entitás végzi, amely kisebb partnerekkel szerződik, akik a megoldásait felhasználva termelnek hasznot maguknak és a központi cégnek.

A New York Times a Colonial Pipeline elleni támadásért felelős DarkSide nevű csoport belső üzenetei alapján azt írta, a zsarolóvírus-fejlesztők nagy tételben licencelik megoldásaikat a velük leszerződő zsarolóknak. Utóbbiak bár kevésbé kifinomult IT-tudással bírnak, egy rosszabbul védett rendszerbe be tudnak jutni, és a DarkSide segítségével képesek komoly összeget leakasztani az áldozataikról.

A lap szerint a DarkSide a vírus rendelkezésre bocsátása mellett technikai segítségnyújtást is ajánl, hajlandó közvetíteni az áldozatokkal, és egyéb nyomásgyakorlási módszereket – például honlapok külső megbénítását – is kész bevetni a siker érdekében. A FireEye nevű kiberbiztonsági cég szerint a díjazás a kizsarolt összeg függvényében változik: egy félmillió dolláros váltságdíjból 25 százalékot kér a DarkSide, egy ötmillió dolláros zsarolás esetében azonban megelégednek tíz százalékkal is. Az Elliptic nevű kiberbiztonsági cég szerint a csoport online tárcáiban 2020 októberében akkori árfolyamon 15,5 millió dollárnyi bitcoin volt, a szerződéses partnereik (azaz a zsarolók) pedig kollektíve 75 millió dolláron ültek.

A DarkSide a partnereinek egy külön online rendszert is fenntart a kapcsolattartásra és a szolgáltatásokhoz való hozzáférésre, akárcsak egy rendes tanácsadócég. A menüpontok között szerepel a hibabejelentés és a gyakran ismételt kérdések, és van vállalati blog is, de természetesen a célpontokhoz és a zsarolási eszközökhöz is innen lehet eljutni. Bár a DarkSide a nagy nemzetközi figyelem hatására korábban azt állította, lezárja a zsarolási piacteret, az NYT szerint a rendszer május végén is elérhető volt.

Rossz rendszerek is kellenek hozzá

A támadások burjánzását segíti, hogy a célpont IT-infrastruktúrája sok esetben idejétmúlt. Az üzemanyag-vezetékeket, vagy akár finomítókat és erőműveket vezérlő rendszerek jellemzően régi darabok, amelyek nem rendelkeznek komolyabb védelmi mechanizmusokkal, ezért könnyű célpontok a kevésbé ügyes hekkerek számára is, mondták a Wall Street Journalnak kiberbiztonsági szakértők.

További probléma, hogy az energetikában a rendszereknek folyamatosan futniuk kell, és mivel a leállások minimalizálása a prioritás, nehezebb ügy a folyamatos szoftverfrissítések lefuttatása. A frissítések elmaradása viszont növeli a sebezhetőséget. Hasonló a helyzet az iparban is, ahol a három műszakos termeléssel működő gyárak szintén nem szeretik leállítani rendszereiket holmi szoftverfrissítés miatt, írja a ZDNet. Emiatt az ipari és infrastrukturális szolgáltatók gyakran lesznek célzott támadások áldozatai.

Míg a szimplább zsarolószoftverek megelégednek a sima munkaállomások és szerverek megbénításával, egyes specializált vírusok kifejezetten az ipari irányítórendszereket támadják. Ezek védelmével hosszú ideig nem foglalkoztak a vállalatok, mert úgy gondolták, hogy azok nehezen hekkelhetők, miután ősrégi technológiát használnak, és nem kapcsolódnak közvetlenül az internetre. Manapság azonban a támadók az ilyen rendszerekbe is képesek közvetetten bejutni. Az IBM egy jelentése szerint 2020-ban az energetikai cégek voltak a harmadik legnépszerűbb célpontok, a támadások növekvő része pedig nem az IT-hátterüket, hanem kifejezetten az irányítórendszereiket érte. 

Ezt az is segíti, hogy sok esetben az IT és az irányítórendszerek közti, korábban élesebb határvonal eltűnőben van. Az energetikai cégek például szeretik valós időben elemezni a forgalmi és termelési adataikat, ehhez viszont közvetlen kapcsolatot kell létesíteniük az adatokat begyűjtő irányítórendszer és az azokat elemző IT-rendszer között, mondta egy tanácsadó a Wall Street Journalnek. (A lap szerint a Colonial Pipeline esetében nem jutottak be az irányítórendszerbe, csak a cég számítógépes hálózatát bénították meg.)

A hadviselés aszimmetrikus jellegéhez természetesen hozzájárul, hogy a hekkelés jobban fizet, mint akár az energetikai szektor, akár a kiberbiztonsággal foglalkozó közintézmények. Az Egyesült Királyságban például mindössze kétszáz rendőr foglalkozik csalási ügyekkel a brit Times lap adatigénylése szerint, miközben az anyagi kár jóval komolyabb, mint a legtöbb „hagyományos” rablás esetében. A hekkereknek pedig általában a büntetőjogi vonzatoktól sem kell tartaniuk, miután Oroszországba, vagy – a kibertámadások terén szintén gyakori tettesnek számító – Kínába és Belaruszba természetesen nem ér el az amerikai vagy európai hatóságok keze.

Az utóbbi bő egy évben pedig egy új és jelentős sebezhetőséget hozott a rendszerbe az otthoni munkavégzés terjedése: a dolgozók otthoni gépeibe jóval egyszerűbb bejutni, a gyenge dolgozói jelszavak és a biztonsági előírások kikerülése megkönnyítette a zsarolók dolgát.

Szabályoznák, csak hogyan

A Reuters értesülései szerint a probléma kezelése végett az Egyesült Államokban központi irányítás alá veszik a zsarolóvírusos-támadások üldözését, és a terrorizmushoz hasonló prioritást adnak majd az ilyen ügyeknek.

Emellett az amerikai belbiztonsági minisztérium május végén közölte, egységes kiberbiztonsági szabályozást dolgoz ki az üzemanyagvezeték-üzemeltetők számára. Ugyanakkor az Egyesült Államokban számos további kritikus szektorban sincs hasonló szabályozás, ezért a hivatal szerint ez csak az első lépés a probléma kezelését illetően (az atomenergetika és a nagybani áramtermelés kivétel, ott eddig is komolyabb szabályoknak kellett megfelelni).

A dolgot nehezíti, hogy a kiberbiztonság esetében nehéz pontosan leosztani a felelősséget az egyes szabályozószervek között, miután a kritikus infrastruktúra védelme egyszerre több ügynökséget és minisztériumot is érint. Eközben az üzemeltetők természetesen nem érdekeltek a szigorban, miután a kiberbiztonság javítása, az informatikai rendszerek modernizálása plusz kiadást és macerát jelent, amelyet egy nagyobb vállalat esetében egy pár millió dolláros váltságdíj veszélye sem ellensúlyoz.

De nem egyszerű a kommunikáció sem a felek között. „Az üzleti szférát hátráltatja, hogy nem kap valós idejű hozzáférést a kormányzati információkhoz. A kormányt pedig hátráltatja, hogy néhány kivételtől eltekintve nincsenek meg a megfelelő kibervédelmi kapacitásai”, mondta a Bloombergnek Mike McKenna volt fehér házi tanácsadó.

Hogy a felek közti koordináció nem egyszerű, azt jelzi, hogy az amerikai belbiztonsági minisztérium egy hónappal a Colonial Pipeline elleni támadás előtt indított két hónapos kommunikációs kampányt, amely a zsarolóvírusos támadások veszélyeire hívta fel a cégek figyelmét.

Ugyanakkor a cég által kifizetett váltságdíj nagy részét visszaszerezték: a Wall Street Journal szerint a cég eredetileg 75 bitcoint fizetett a DarkSide-nak, ebből 64-et az FBI képes volt lenyomozni és lefoglalni. Ez alapján, ha a támadások megakadályozásában nem is, az elkövetők üldözésében fejlődnek az amerikai hatóságok.

Kapcsolódó cikkKapcsolódó cikkSzintet léptek a hackerek, az ipari üzemekben elszabadulnak a gépekA Norsk Hydro ipari óriás megtámadásával nem csak anyagi kárt okoztak, hanem súlyos balesetveszélybe is sodorhattak mindenkit.

G7 támogató leszek! Egyszeri támogatás / Előfizetés

Tech Világ hekker kiberbiztonság kibertámadás zsarolóvírus Olvasson tovább a kategóriában