A feltámadó digitális vihar: a kibertér a nemzetközi konfliktusok frontvonalává válik
Az elmúlt héten számoltunk be róla: az EU kiberbiztonsági kompetencia központot létesít Bukarestben, hogy a technológiák megosztásával, a kapacitások összehangolásával erősítse az Unió védelmét a kibertér növekvő fenyegetéseivel szemben. Az azóta eltelt napokban csak kapkodta a fejét az ember, mert a különböző jellegű és súlyosságú, de szinte mindig nemzetközi biztonsági dimenziókkal rendelkező incidensek látványos megsokasodása mintha csak a bizonyságot akarta volna szállítani az uniós törekvés igazolására.
Az oroszok – vagy valakik – az USA ellen
Kezdődött az ún. SolarWinds-üggyel, ami kétségtelenül az elmúlt időszak egyik legsúlyosabb (vagy, legalábbis horderejét tekintve a legsúlyosabb biztonsági fenyegetéssel járó) támadássorozatának látszik már a vizsgálat kezdeti fázisában is. Az amerikai kormányzati szereplők egész sorának informatikai rendszereit elérő titkos behatolás az, amit a nyugati fősodratú sajtó egy új, miden eddiginél veszélyesebb „orosz hacker-offenzívaként” mutatott be, valóban sok nyugtalanságra adhat okot, ha nem is azért, amit az iménti bombasztikus jelzők sugallnak.
December közepe táján robbant a hír, hogy ismeretlen kiberszereplők behatoltak az amerikai kormányzat több szervezetének és szereplőjének informatikai rendszereibe. Az ügy valójában néhány nappal korábban kezdett kibontakozni, amikor felröppent a hír, hogy hackertámadás áldozata lett egy jó nevű amerikai cég, a FireEye. A dolog pikantériája abban rejlett, hogy ez a kiterjedt vállalkozás (amit sokan már amolyan magán kiberhírszerző ügynökségként szerettek láttatni) annak köszönhette reputációját, és igen jövedelmező üzleti kapcsolatait, hogy a nemzetközi kormányzati- és cégvilág számos szereplőjét látta el – a kibertámadások kivédésére szolgáló eszközökkel és tanácsokkal. A jelentős presztízsvesztéssel járó eseményt követő kárelhárító munka derített aztán fényt az igazán nagy riadalomra okot adó felfedezésre. E szerint a meghekkelt kiberbiztonsági cég (amelytől egyébként nem csupán adatokat tulajdonítottak el, de a rendszereik tesztelésére kifejlesztett támadó szoftverüket is) valójában csak egyike volt az áldozatoknak. A támadás, amit a jelek szerint hosszú ideje, nagy körültekintéssel terveztek számtalan céget és szervezetet ért el a világban. Az akció célkeresztjében azonban egy nem különösebben ismert cég, a Texas államban székelő SolarWinds állt. Nem különösebben ismert – de kulcsfontosságú vállalat. A SolarWinds ugyanis számítástechnikai ipari és kormányzati beszállítóként működik, és ügyfélkörébe tartozik nem csupán az amerikai államigazgatás, hadvezetés, nemzetbiztonság, de a világ legjelentősebb vállalatainak a többsége is. A sajtóban terjedő híresztelésekkel ellentétben mindeddig nem azonosított támadók a SolarWinds cég által forgalmazott, Orion nevű hálózatfelügyeleti szoftver frissítéseibe férkőztek be, és ezen keresztül hónapokon át tudtak hozzáférni mindazon kormányzati és nagyvállalati szereplők informatikai rendszereihez, amelyek ezt a rendszertámogató szoftvert használták. És ezek bizony sokan vannak. Köztük, egyebek mellett, az USA Hadügyminisztériuma, Pénzügyminisztériuma mellett az Egyesült Államok atomfegyvereinek kezeléséért felelős kormányzati hivatal is. De, világszerte összesen mintegy 300 000 (!) ügyfél szerepel a listán, bár a támadás részleteit és következményeit kideríteni hivatott vizsgálat szerint ezeknek csak egy töredéke lehet érintett a támadásban. Ez a kisebb rész is legalább 18 000 kormányzati és vállalati ügyfelet jelenthet, amelyek rendszereiben hónapokon át szabadon közlekedhettek a támadók. Éppen a felhasználók között nagy számban megtalálható, nemzetbiztonsági szempontból különösen kritikus jelentőségű szervezetek érintettsége miatt az USA Nemzetbiztonsági Tanácsa is foglalkozott már az üggyel. December 18-ára ugyanakkor az FBI minősített (tehát nem nyilvános) meghallgatást szervez a Kongresszus tagjainak számára. A károk felméréséig (ami óvatos becslések szerint is hónapokig eltarthat) a fontosabb amerikai kormányzati szervezetek nem titkos kommunikációs forgalmukat is olyan rendszerekre költöztették át, amelyeket nem érhetett el a hackertámadás.
Az elmúlt héten felröppent, majd az információs hadviselés hálózatos jellegének köszönhetően futótűzként terjedt a nyugati világ médiaköreiben a vád: az USA kormányzati rendszereibe behatoló, ott egyelőre felbecsülhetetlen károkat is okozható támadás – „csakis az oroszok műve lehetett”. Érdemes azonban felfigyelni rá, hogy a leginkább szakmainak, tárgyszerűnek tekintett megszólalók nagyon óvatosan bánnak az ügy kapcsán az oroszok gyanúba hozásával. Pontosítsunk: bárki meggyanúsításától tartózkodnak a vizsgálatnak ebben a korai fázisában, ami nem véletlen. A kiberbiztonsággal foglalkozó szakmai körökben ugyanis az egyik legnagyobb konszenzussal kísért téma az ún. attribúció nehézsége. Ebben a különleges közegben jelenleg az incidensek, akciók elkövetői körének egyértelmű – bizonyítható – azonosítása a leginkább problematikus feladat. A mostani ügyben megszólaló (valódi) szakemberek is hangsúlyozzák egyébként: az már most látszik, hogy a támadássorozat elkövetői nem csak rendkívül kifinomult módszereket használtak, de stratégiai értelemben is abszolút gondossággal megtervezett, hatalmas (emberi, időbeli) erőráfordítással előkészített akciót indítottak. A precízen tervezett, koncepciózusan felépített, türelmes aprómunkával kivitelezett művelet, ebben szintén egyetértenek a mértékadó szakemberek, jó eséllyel utal állami háttérre. Azonban azt, hogy melyik állam embereihez köthető az akció, arra egyelőre aligha lehet megalapozott választ adni. Amerikának ugyanis meglepő gyorsasággal sokasodnak az ellenfelei a világban.
Ami tehát biztosan látható: az USA (és kisebb mértékben néhány más állam) rendszereit elérő, valóban szinte felmérhetetlen következményekkel járó kibertámadást, a kibertérben zajló háborút folyamatosan kíséri egy másik küzdelem is: az információs háború. Harcosai a nyugati világ fő sajtóorgánumai, amelyek egymásra hivatkozva „hitelesítik” az alapállítást – ami az egyik legnagyobb hatalmú lapóriástól, a The Washinton Posttól ered. Az orosz szál itt bukkant fel, innét terjedt egymás közléseit továbbadva. És lényegében nincsen semmiféle megfogható alapja, forrása. A taktika a következő. A Washington Postnál először még „állítólagosként” említették az orosz hátteret, és forrásként (arcpirítóan semmitmondó módon) „az ügyet jól ismerő személyek”-et tüntettek fel. Néhány nappal később az újság visszatérve a témára, immár a címben harsogott az „orosz állami hackerek” támadásáról, amit a szöveg szerint „források” bizonyítanak. Az ott szereplő hiperlinkre lépve azonban az ember –az újság saját korábbi cikkéhez juthat el. Ez a kereszthivatkozási taktika jellemzi egyébként a témáról író sajtó jó részét is: a szövegbeli hivatkozásokat lépésről lépésre követve egy eredeti közlőhöz (azaz a The Washington Posthoz) jut el minden honnét az érdeklődő, ahonnét aztán már valódi forrásokhoz nem vezet tovább lépcső (legfeljebb „az ügyben tájékozott emberek” névtelen fikciójához).
A propaganda szénakazlában tűként megbújó szakszerű elemzésekre példa a Cyberscoop kiberbiztonsági portál írása. Részletesen idézi a régiónkban is mértékadó ESET kiberbiztonsági cég embereit, kiemelve azt is: a CozyBear-témát jól ismerő szakemberek óvakodnak attól, hogy az orosz hackercsoportot bármi módon összekapcsolják a mostani SolarWinds-esettel. Az írás idézi a támadás részleteinek kiderítésén dolgozó biztonsági cégek jó néhányát (Huntress Labs, Fidelis, Volexity), hangsúlyozva, hogy ezek egyike sem lát jelen pillanatban bármiféle kapcsolódást a hírhedt orosz kiberegységek, és a mostani, Amerika elleni támadás sorozat között. Alapos módon megszólaltatják a védelmi szakma egyik csúcsát, az F-Secure céget is, amely az eddigi legteljesebb elemzésben mutatta be az orosz állami hackercsoportok működését. Aligha kerülheti el az ember figyelmét, hogy ez a témát talán mindenki másnál alaposabban ismerő, valóban szakmai autoritás egyetlen szóval sem utal arra, hogy az orosz kiberhírszerzéshez lehetne kötni a mostani akciót.
A tisztánlátás persze, az ügy körül kavargó, zavaros álcázóköd ellenére sem olyan nehéz. A világban az ellenségeskedés geopolitikai jelegű és szintű, ennek ténye (valamint a szemben állók kiléte) tökéletesen ismert. Ahogy az is ismert – legalábbis a témát figyelő szakemberek előtt – hogy a fenti geopolitikai ellenfelek mindegyike rendelkezik offenzív kiberkapacitásokkal: tervszerűen építi az erre szolgáló szervezeteket, fejleszti a kiberháborús fegyverrendszereket – és használja is ezeket. Néhányukról – például éppen az USÁ-ról, vagy Nagy-Britanniáról – biztosan tudjuk, mert sajtónyilvános információban számoltak be róla. De, józan mérlegeléssel a többiek aktivitása felől sem lehet kétségünk. Kína és Oroszország biztosan ott mozog a kiberháború frontjain, de számos regionális hatalom is osztja ezt a terepet. Izrael legendás aktora ennek a hadszíntérnek, ahogy Irán, és Észak-Korea is. De szinte biztosan ott találjuk ma már Indiát, Pakisztánt is.
Az izraeliek – az arab világ ellen
A kibertér harctérré változtatására utaló bevezető mondatunk bizonyságára egyre-másra sorjáztak a héten a hírek. Aki az elmúlt évek nemzetközi informatikai támadásairól szóló történeteket figyelte, az nem lepődik meg: az izraeli kiberharcosok most sem maradtak ki az eseményekből. A közelmúltban több elektronikus megfigyelési üggyel, kémszoftverek nemzetközi forgalmazásával kapcsolatba hozott izraeli biztonsági vállalat, az NSO csoport megint a figyelem középpontjába került. A kanadai Citizenlab felderítése szerint a vállalatcsoport egyik fejlesztését, az elektronikus megfigyelésre és lehallgatásra készült Pegasus szoftvert használták egész sor arab újságíró, a nemzetközi tömegtájékoztatásban fontos szerepet játszó Al Dzsazíra, illetve a közel-keleti térségben fontos hírforrás Al Arabíja tévétársaságok riportereinek, producereinek a lehallgatására. A lehallgatási akciósorozat elkövetői nem izraeliek voltak – ők „csupán” a fejlett technológiát biztosították az akcióhoz. A tényleges kivitelezők vélhetően Szaúd-Arábia és az Egyesült Arab Emírségek autoriter rezsimjeinek biztonsági szolgálatai lehettek.
Az irániak – az izraeliek ellen
A hét végén újabb hírek borzolták az amúgy is nyugtalan nemzetközi kiberbiztonsági szakmát. Egy korábban alig ismert iráni hackercsoport, a Pay2Key vasárnap sikeresen tört be az izraeli védelmi ipar számos kulcsszereplőjének informatikai rendszereibe. A meglepetés oka elsődlegesen az, hogy ezek a hálózatok vélhetően a világ legjobban védett, leginkább biztonságos számítógépes rendszerei közé számítanak. Köztük is kiemelkedik, tevékenységének központi szerepe révén is, az IAI, az izraeli katonai repülőgépipar óriásvállalata, ami meghatározó szerepet játszik az ország védelmi technológiájának fejlesztésében és gyártásában. A hackercsoport által nyilvánosságra hozott dokumentumok arra engednek következtetni, hogy az iráni kiberalakulat eredményesen törte fel az IAI rendszereit, hozzáférést szerezve a vállalat hálózatának törzskönyvtárához. Ugyanakkor a hadiipari cég rendszerén keresztül, az irániak vélhetően hozzáfértek több hadiipari alvállalkozó, például az Elta System informatikai hálózataihoz is. Az eset vizsgálata természetesen még csak most kezdődött, ugyanakkor a támadás világosan mutatja, hogy a geopolitikai konfrontáció kiberfrontján ma már korántsem csak a hagyományos értelemben vett nagyhatalmak képesek komoly támadó (vagy védekező) hadműveletekre, digitális csapásmérésre. A korszerű IKT-fejlesztések a középhatalmak erőpotenciálját is drámaian képesek felerősíteni.
A britek – az oroszok és a kínaiak ellen
A brit hadsereg az oroszok és a kínaiak „saját kiberharcmezején” kívánja felvenni a küzdelmet ezekkel az ellenségekkel – nyilatkozta a héten Nick Carter tábornok, a szigetország hadseregének vezérkari főnöke (azaz a katonai alakulatok tényleges szakmai parancsnoka). A magas rangú katonai vezető a digitális megfigyelés, az aszimmetrikus konfliktusokat, és mindenekelőtt a kiberhadviselést nevezte meg az elkövetkező időszak legfőbb fenyegetéseiként. A lehetséges ellenségeket is világosan megnevezte: szerint az egyre „asszertívebb” Oroszország és Kína jelenti azt a két erőcsoportot, amely a brit hadsereg számára az első számú kihívást jelenti. Érdekes megkülönböztetést tett ugyanakkor a két „ellenséges” hatalom tekintetében. Az orosz államot „akut fenyegetésnek” nevezte, miközben Kínára „hosszú távú kihívásként” utalt. Ez a megfogalmazás bizonyos mértékben megvilágítja azt, hogy az utóbbi hónapok kicsúcsosodó információs hadviselési offenzíváiban miért Oroszország áll a nyugati (sejtések szerint elsősorban brit) támadások célkeresztjében, a potenciálisan sokkal nagyobb fenyegetést jelentő Kína helyett. A tábornok szerint a két ellenséges hatalommal való sikeres konfrontáció feltételezi egy teljesen új stratégia kidolgozását: olyan cél- és eszközrendszer kialakítását szorgalmazta, ami a „nyílt háborús konfliktus-küszöb” alatti, egyre inkább jellemző hadműveletekhez igazodik.
A tábornok éppen a kiberháború-információs háború kontinuum vonatkozásában figyelemre méltó új megközelítést szorgalmazott: szerinte a brit védelmi erőknek eszkalálniuk kellene a fellépésüket a kibertér frontján, miközben visszafogottabb műveleti szerepre kellene törekedniük az információs hadviselés területén (azaz a propaganda hadszíntéren). Ez a koncepció nagyban összecseng a brit hadügyi és hírszerzési vezetés közelmúltbeli törekvéseivel, amelyek Nagy-Britannia offenzív kiberhadviselési potenciáljának számottevő erősítését tűzték ki célul.
És az oroszok
A téma végére érdemes beszúrni az orosz elnök hétvégi nyilatkozatát. Vlagyimir Putyin, aki az orosz hírszerző szolgálat megalapításának 100. évfordulóján rendezett ünnepségen mondott beszédet hangsúlyozta: az információbiztonság, a számítógépes rendszerek védelme a hírszerző- és elhárító szolgálatok kiemelt feladata ebben a mostani világban. Senkinek nem lehet kétsége: a konkrétumok hiányában is biztos, hogy Oroszország a kiberháború frontján is (ésszerűen feltételezve a védelemben éppen úgy, mint az offenzívában) a nagyhatalmak között kíván szerepelni.
New Cybersecurity Competence Centre and network: informal agreement with the European Parliament; Európai Unió Tanácsa; 2020. december 11.
How the Russian hacking group Cozy Bear, suspected in the SolarWinds breach, plays the long game; Shannon Vavra; Cyberscoop; 2020. december 18.
Spies with Russia’s foreign intelligence service believed to have hacked a top American cybersecurity firm and stolen its sensitive tools; Ellen Nakashima; The Washington Post; 2020. december 8.
Russian government hackers are behind a broad espionage campaign that has compromised US agencies, including Treasury and Commerce; Ellen Nakashima; The Washington Post; 2020. december 13.
The Great iPwn. Journalists Hacked with Suspected NSO Group iMessage Zero-Click Exploit; Bill Marczak; Citizenlab; 2020.december 20.
Cyber-war on Israel? Iran-linked hacker group claims to have bereached Israel Aeroscace Industries’ servers; RT.com; 2020. december 20.
General Sir Nick Carter: To Win against Russia and China we must beat them at their own game; Ed Lucas; The Times; 2020. december 19.
Összeállította és szemlézte: dr. Nyáry Gábor
One Comment