Főoldal Általános Az ukrán kibertámadás okai – a jövő háborúja?

Az ukrán kibertámadás okai – a jövő háborúja?

Írta
1767
0
Megosztás
Forrás: The Daily Beast

2015. december 23-án súlyos kibertámadás érte Ukrajna energiaszektorát,  melynek következtében csaknem 225 ezren maradtak áram nélkül. Egy ilyesfajta támadás össze sem mérhető a személyes és bakkártya adatok, valamint a vállalati információk megszerzésére  irányló hackertámadásokkal, sokkal inkább felvázolják előttünk a jövő hadviselését.

Előzmények

A Nyugat-Ukrajnában, azon belül is Ivano-Frankivszk tartományban található Prykarpattya Oblenergo energiaszolgáltató céget ért támadás mögött az ukrán kormány vádja szerint orosz hackerek állnak. Az eset kapcsán az Egyesült Államok is állást foglalt: míg a CIA tartózkodott a véleményformálástól, egy kiberbiztonsági hírszerzéssel foglalkozó cég, az iSight Partners egy konkrét hackercsoportot, a Sandworm-ot nevezi meg a lehetséges elkövetők között. A térségben azonban számos oroszbarát hackercsoport működik, mint például a Cyberberkut, ami már intézett támadást német és NATO weboldalak ellen is, így nem feltétlenül lehet állást foglalni a Sandworm támadása mellett. Ebből fakadóan nem lehet, és nem is feltétlenül célravezető az orosz kormány felelősségre vonásával foglalkozni, sokkal inkább a támadók eszközeivel: hiszen egy ilyen nagymértékű kibertámadás – az ukrán- és nyugatellenes hacktivista csoportok által – veszélyt jelenthet számos ország kritikus infrastruktúrájára.

Tom Kellerman, a Strategic Cyber Ventures vezérigazgatója is beszélt a támadásról a Washingtonban megrendezett Suits and Spook konferencián:

„Keletre különösen jellemző a személyi kultusz kiépítésének folyamata. Ez az oroszul beszélő feketesapkás hackerekre is igaz, akik a poszt-szovjet országokban személyi kultuszt építettek ki maguk körül. Ennek a jelenségnek számos oka lehet, de az biztos, hogy büntetlenül hagyjuk nekik, hogy lassan 17 éve támadják az USA pénzügyi szektorát, amiért otthon tisztelik őket. Az új trendek alapján pedig már nem csak az USA-t érinti a kibertámadások kockázata, hiszen ilyen támadásra volt már példa Észtországban, Dél-Oszétiában és most Ukrajnában is.”

Kellerman továbbá beszámolt arról, hogy orosz hacktivista csoportok további 14 darab úgynevezett nulladik napi támadást (Zero Day Exploit) hajtottak végre olyan biztonsági rések ellen, melyekről az érintettek még csak nem is tudtak. Az ilyen rések talán a leghatékonyabb és legértékesebb támadási felületei a hackereknek, azonban ha egyszer kijátsszák ezeket a kiskapukat, onnantól a szoftverfejlesztők ki tudják adni a megfelelő biztonsági javításokat.  A tény, hogy ezeket a biztonsági réseket többnyire oroszbarát hackercsoportok használják ki, alátámasztja a feltételezést, miszerint a későbbiekben növekvő intenzitással éri támadás a nyugati szervereket is.

„Régebben a leghatékonyabb kiberbűnözők minden idejüket annak szentelték, hogy az USA pénzügyi szektorát támadják, de napjainkban az SSH használatával ez alig vesz el tőlük öt óránál többet”

tette hozzá Kellerman.

A politika viszonyrendszerében

Bár az amerikai sajtóból úgy tűnhet, hogy az áramszolgáltatás ellen intézett támadásnak nincs politikai vetülete, logikai úton mégis párhuzamot lehet vonni. Hiszen ha az orosz kormány képes kezelni az áramkimaradásokat a Krím-félszigeten, azzal a saját malmára hajtja a vizet, az ukrán kormányt pedig lejáratja.

Ez az egy hónappal korábbi Krími-félszigeti áramkimaradásra is igaz. Akkor Vlagyimir Putyin orosz elnök ígéretet tett a Krím energiaellátásának helyreállítására, nem sokkal később pedig az orosz sajtó arról számolt be, hogy a kormány szerződést kötött a német Siemens vállalattal gázturbinás meghajtású áramfejlesztők beszerzéséről, melyek Szevasztopol és Szimferopol városaiban kerülnének telepítésre. A hír cáfolatát követően a Siemens az Ukrajnát érintő áramkimaradás fő célpontjává vált.

A támadás eszközei

A DHS és az ESET állításai szerint egy BlackEnergy fantázianévre hallgató trójai vírus okozhatta az áramkimaradást, amit fertőzött e-mailek Microsoft Office csatolmányaival juttattak célba. A vírussal először José Nazairo foglalkozott 2007-ben, aki egy internet-alapú adathalászatra alkalmas programnak definiálta a BlackEnergy-t. 2014-ig valóban információszerzésre használták a programot, mostanában fedezték fel csupán, hogy a vírus képes megfertőzni az ipari vezérlőrendszert is.

„Úgy gondoljuk, hogy ez az igen kifinomult vírus volt az, amely megcélozta az ipari létesítményt annak ellenére, hogy egy teljesen hétköznapi vírusról beszélhetünk” – nyilatkozta a Tripwire egyik munkatársa, David Meltzer. „A BlackEnergy még mindig jelen lehet, bár önmagában nem lenne képes tönkretenni egy ipari létesítményt, de ha a felhasználó átírja a programot, és különleges módon képes azt továbbítani, akár a Siemens erőmű vezérlőpultját is képes megtámadni. A BlackEnergy önmagában nem bonyolult, de nagyon gyorsan azzá tehető a különböző pluginekkel.”

Tom Fanning, a Southern Company és az ESCC vezetője azonban úgy gondolja, a BlackEnergy önmagában még nem okozhatta az áramkimaradást.

„Ahogy 2014-ben megkaptuk a hírt a BlackEnergy-ről, azonnal hozzákezdtünk a védelem kiépítéséhez, hogy egy esetleges támadás esetén a vállalatunk készen álljon rá” – foglalta össze a közelmúltban megrendezésre került New America konferencián.

Az USA-t érő kibertámadások azonban általában sokkal kifinomultabbak, mint a mostani, Ukrajnát érintő támadás. Fanning ezzel a 2015 márciusában történt esetre utalt, mikor is a támadók először fizikailag hatástalanították a felügyeleti ellenőrző, avagy SCADA rendszert, és csak ezen lépések után kezdték meg a károkozást az energiaszolgáltató állomáson.

„Az a tény, hogy valaki képes volt kárt okozni a vezérlő- és a SCADA rendszerben, hatalmas jelentőséggel bír” – nyilatkozta az eset kapcsán Mark Weatherford, a Chertoff Coport vezetője egy energetikai kutatócégnek, az SNL-nek.

„Amennyiben mégis szabotálnák a SCADA, vagy egyéb rendszerek működését, még mindig ott van a lehetőség, hogy manuálisan kezeljük a rendszert” – tette hozzá Fanning.

Egy lehetséges forgatókönyv

Egy, az ukrajnaihoz hasonló kibertámadás okozhat további problémákat is. Az alábbiakban megnézzük, hogyan.

„Mindhárom vállalat jelezte, hogy az elkövetők a kibertámadás során egy úgynevezett KillDisk programot is használtak, ami  a kijelölt fájlokon és dokumentumokon túl akár a szoftver patríciós szektorát is képes kitörölni” – nyilatkozta a DHS.

Összehasonlítva a jelenlegi támadás során használt BlackEnergy és a KillDisk programokat, az utóbbi sokkal vészjóslóbb következményekkel is járhat.

„A BlackEnergy egy moduláris felépítésű program, amit  fel lehet fejleszteni olyan pluginekkel, amely képes arra, hogy működésképtelenné tegye a megfertőzött rendszereket. De vajon miért tesz bárki is ilyet? Az egyik cél annak megakadályozása lehet, hogy visszakövessék a támadás forrását, de a fő szándék arra irányul, hogy megrongálják a kijelölt rendszert” – mondta Meltzer.

Az önmegsemmisítő csapdák alkalmazása a legfőbb különbség az országok többsége által folytatott hírszerzési tevékenységekhez képest, ami nemzetközi szankciókat vagy az USA Kiber Parancsnokságának beavatkozását vonhatja maga után.

Amennyiben a jogalkotás úgy dönt, hogy a KillDisk program ilyesfajta felhasználása háborús cselekménynek minősül, az jócskán megváltoztatja a jelenlegi pozíciókat. Michael Rogers Admirális, a Kiber Parancsnokság vezetője még a tavalyi évben fejtette ki nézeteit arról, hogy a számítógépes fegyverek használata arányosan fog változni az elkövetkezendő konfliktusok szabályaival.