Orosz-ukrán kiberfenyegetések: mit tanulhatok ebből?

Destabilizáló túlterheléses támadások (DDoS)

A legkorábbi ismert tevékenység 2007. április 26-ra datálható, amikor az észt kormány egy kevésbé prominens helyszínre helyeztetett át egy szobrot, amelyet Észtország Szovjetunió általi, náciktól való felszabadításának emlékére állítottak. Ez a lépés feldühítette Észtország orosz ajkú lakosságát és destabilizálta a Moszkvával való kapcsolatokat. Röviddel ezt követően zavargások törtek ki az utcákon, tiltakozások folytak a moszkvai észt nagykövetség előtt és bénító erejű DDoS támadások hulláma ment végbe az észt kormány és pénzügyi szolgáltatások weboldalai ellen.

A szobor áthelyezése után szinten azonnal megjelentek az orosz fórumokon a teljesen előkészített eszközök és útmutatások a DDoS támadásban való részvételhez. Ezek a támadások az elnökhöz, a parlamenthez, rendőrséghez, politikai pártokhoz és nagyobb média platformokhoz tartozó webhelyeket céloztak meg.

Miközben az “orosz hazafiakat” szólította fel Észtország megbüntetésének segítésére, nem valószínű, hogy ez egy alulról építkező mozgalom volt, amely nulláról indult ki kész eszközökkel és a célpontok listájával. Ugyanezt a taktikát alkalmazta később az Anonymous a Wikileaks védelmére egy “low orbit ion cannon” (“alacsony pályán keringő ionágyú”, LOIC) nevű eszköz segítségével.

2007. május 4-én a támadások intenzitása felerősödött és bankokat is célba vettek. Pontosan hét nappal később a támadások éjfélkor megszűntek, olyan hirtelenséggel, mint ahogy elkezdődtek.

Mindenki azonnal Oroszországot vádolta, de az elosztott szolgáltatásmegtagadási támadásokat természetükből fakadóan szinte lehetetlen visszakövetni a felelősökhöz. Manapság széles körben úgy tartják, hogy ezekért a DDoS-támadásokért a Russian Business Network (RBN) felelős, egy hírhedt szervezett bűnözői csoport Oroszországban, amely spamhez, botnetekhez és kétes gyógyszeripari partner tevékenységekhez köthető. Úgy tűnik, hogy szolgáltatásaikat pontosan egy hétre “vették igénybe” a támadások végrehajtására.

2008. július 19-én a DDoS támadások új hulláma indult meg a híroldalak és kormányzati webhelyek ellen Grúziában. Ezek a támadások 2008. augusztus 8-án rejtélyes módon drámai mértékben felerősödtek, amikor orosz csapatok megszállták a szeparatista Dél-Oszétia tartományt. Kezdetben grúz hír- és kormányzati oldalakat céloztak meg, majd pénzügyi intézményeket, cégeket, az oktatásügyet, a nyugati médiát és egy grúz hacker webhelyet.

Az Észtország elleni korábbi támadásokhoz hasonlóan megjelent egy webhely, amely a célpontok listáját, valamint egy eszközkészletet és az annak használatára vonatkozó útmutatásokat tartalmazta. Ez a trükk is megpróbálta a grúz agresszióval szemben védekező “hazafiaknak” tulajdonítani a támadásokat, ám a tényleges támadó forgalom nagy része egy ismert nagy botnetből származott, amelyet feltehetőleg az RBN irányít.

Digitális rongálás és levélszemét

A Grúzia elleni támadások részét képezték a weboldalak megrongálása és a hatalmas spam kampányok is, amelyek célja a grúzok digitális postaládáinak megtelítése volt. Úgy tűnt, mindezt abból a célból tervezték, hogy megalapozza a bizalom hiányát Grúzia azon képessége kapcsán, hogy megvédje és kormányozza magát, és hogy megakadályozza a kormányt a polgáraival és a külvilággal való hatékony kommunikációban.

Nem egészen egy évvel később, 2009. januárjában újabb DDoS-támadássorozat vette kezdetét Kirgizisztánban. Ez egybeesett a kirgizisztáni kormány azon döntéshozatali folyamatával, amelybe a területükön lévő amerikai légibázisra vonatkozó bérleti szerződés megújításáról döntött. Véletlen egybeesés volna? A jelek szerint a támadást ismét az RBN intézte, de ezúttal elmaradt a trükk a “hazafiak” digitális véleményének kifejezése kapcsán.

Ezzel elérkeztünk a legutóbbi hadi konfliktushoz, a Krím 2014-es inváziójához.

Félreinformálás és elszigetelés

Alacsony szintű információs hadviselés 2009 óta folyik Ukrajna ellen. Sok támadás egybeesett olyan, az orosz érdekeket veszélyeztető eseményekkel, mint például egy NATO-csúccsal, valamint az Ukrajna és az EU közötti együttműködési megállapodásról szóló tárgyalásokkal.

2014. márciusában a New York Times arról számolt be, hogy a “Snake” malware behatolt az ukrán miniszterelnöki hivatalba és több távoli nagykövetségre, egy időben azzal, amikor Ukrajnában kormányellenes tüntetések kezdődtek. 2013 végén és 2014-ben az ESET olyan kutatásokat is publikáltak, amelyek katonai célpontok és média platformok elleni támadásokat dokumentáltak - ezeket “Operation Potao Express” névvel illették.

Ahogy korábban, a “Cyber Berkut” néven ismert ukrán kibercsoport hajtott végre DDoS támadásokat és rongált meg webhelyeket anélkül, hogy komoly valós károkat okozott volna. Ám ezzel jelentős zűrzavart keltett és ez önmagában is hatással bír a konfliktusok idején.

A konfliktus elején azonosító jelölések nélküli katonák átvették az irányítást a krími távközlési hálózatok és a térség egyetlen internetes központja felett, ezzel információs kiesést okozva. A támadók visszaéltek a mobiltelefon-hálózathoz való hozzáférésükkel, hogy azonosítsák az oroszellenes tüntetőket és SMS-üzenetet küldjenek nekik, mely ezt tartalmazta: “Kedves előfizető, Ön tömeges rendbontás résztvevőjeként került nyilvántartásba.”

Miután a támadók elszigetelték a Krím-félsziget kommunikációs lehetőségeit, az ukrán parlamenti képviselők mobiltelefonjait is szabotálták,  megakadályozva őket abban, hogy hatékonyan reagáljanak az invázióra. Amint a Military Cyber Affairs anyagában is megjegyzésre került, a félreinformáló kampányok teljes lendülettel indultak meg:

“Egy esetben Oroszország egyetlen személynek fizetett, hogy több különböző webes identitást tartson fenn. Egy szentpétervári résztvevő elmondta, hogy három különböző bloggernek adta ki magát tíz blogon, miközben más oldalakon is kommentelt. Egy másik személyt azzal a feladattal bíztak meg, hogy 12 óránként 126-szor csak kommenteljen a híreknél és a közösségi médiában.”

Az energiaforrások megbénítása

2015. december 23-án az ukrajnai Ivano-Frankivszk lakóinak körülbelül felénél hirtelen lekapcsolták az áramellátást. Az általános vélekedés szerint ez államilag támogatott orosz hackerek műve volt. A kezdeti támadások több, mint 6 hónappal azelőtt kezdődtek, hogy az áramellátás megszakadt volna, amikor három áramelosztó központ munkatársai megnyitottak egy ártalmas Microsoft Office dokumentumot, amelyet a BlackEnergy nevű malware telepítésére terveztek.

A támadók képesek voltak távoli hozzáférési belépési adatokat szerezni felügyeleti vezérlő és adatgyűjtő (“Supervisory Control and Data Acquisition”, SCADA) hálózathoz és átvették az irányítást az alállomás vezérlése felett, hogy megkezdhessék a megszakítók aktiválását. Ezután a támadók szabotálták a távvezérlőket, hogy megakadályozzák a megszakítók távoli deaktiválását az áramellátás helyreállítása érdekében. Ezenkívül a támadók egy “törlő” programot is bevetettek a hálózat vezérlésére használt számítógépek szabotálására és ezzel egyidőben telefonos szolgáltatásmegtagadási támadást (TDoS) is végrehajtottak az ügyfélszolgáltati számok túlterhelésével, frusztrálva az ügyfeleket, akik a kimaradásokat próbálták bejelenteni.

Közel egy évvel később, 2016. december 17-én a fények ismét kialudtak Kijevben. Véletlen egybeesés? Valószínűleg nem.

Ezúttal a felelős az Industroyer/CrashOverride nevű malware volt és rendkívüli mértékben kifinomultabb volt. A malware-t moduláris komponensekkel tervezték, amelyek képesek voltak szkennelni a hálózatot, hogy SCADA vezérlőket találjanak és azok nyelvén is kommunikált. Abban is volt egy törlő komponens a rendszer törlésére. Úgy tűnt, hogy a támadás nem kapcsolódik a BlackEnergyhez vagy az ismert törlő eszközhöz, a KillDiskhez, ám nem volt kétség, ki állt mögötte.

Nyilvánosságra hozott emailek

2016 júniusában, a Hillary Clinton és Donald Trump közötti szoros elnökválasztási kampány során egy Guccifer 2.0 nevű új szereplő jelent meg a színen, aki állítása szerint meghackelte a Demokrata Nemzeti Bizottságot, majd átadta az emailjeiket a Wikileaksnek. Bár hivatalosan nem Oroszországnak tulajdonítják, ez további dezinformációs kampányok mellett jelent meg a 2016-os választások során és széles körben úgy tartják, hogy ez a Kreml műve volt.

Támadások az ellátási lánc ellen: NotPetya (“supply chain attack”)

Oroszország kitartó támadási Ukrajna ellen nem értek véget és 2017. június 27-én intenzívebbé váltak, amikor elszabadítottak egy új kártevőt, amelyet ma NotPetya névvel illetünk.

A NotPetyát a zsarolóvírusok egy új törzsének álcázták, és egy ukrán számviteli szoftverszolgáltató meghackelt ellátási láncán keresztül telepítették. Valójában egyáltalán nem volt ransomware. Habár titkosította a számítógépek tartalmát, a titkosítást lehetetlen volt visszafordítani, így gyakorlatilag letörölte az eszközt és használhatatlanná tette azt.

Az áldozatok nem korlátozódtak ukrán cégekre. A malware órákon belül elterjedt az egész világon, leginkább olyan szervezeteket érintve, amelyek Ukrajnában lévő műveletekkel rendelkeztek, ahol a csapdával ellátott könyvelő szoftvert használták.

A NotPetya a becslések szerint legalább 10 milliárd USD kárt okozott világszerte.

Hamis nyomok

Amikor 2018. február 9-én Phjongcshangban megnyíltak a téli olimpiai játékok, egy újabb támadás volt előkészületben a világ ellen. A malware leállította az összes domainvezérlőt a teljes olimpiai hálózaton, így megakadályozta a megfelelő működést a wifitől a jegykapukig. Csodával határos módon az IT csapat képes volt elszigetelni a hálózatot, újraépíteni azt, illetve eltávolítani a malware-t a rendszerekről, és másnap reggelre mindent úgy üzembe helyezni, hogy alig történt fennakadás.

Ezután eljött a malware elemzésének ideje, hogy megkíséreljék meghatározni, ki akarta volna megtámadni és leállítani a teljes olimpiai hálózatot? A rosszindulatú programok mögött álló felelősök meghatározása nehézkes, de maradt néhány nyom, amely segíthet vagy épp hamis bizonyítékként egy nem érintett harmadik félre próbálja hárítani a felelősséget.

A “bizonyítékok” látszólag Észak-Koreára és Kínára mutattak, de szinte túl nyilvánvalóak voltak ahhoz, hogy Észak-Koreát hibáztassák. Végül a Igor Soumenkov, a Kaspersky Lab munkatársa zseniális nyomozómunkával megtalálta a füstölgő pisztolycsövet, amely közvetlenül Moszkvát hozta gyanúba.

Néhány évvel később, közvetlenül a 2020 végén esedékes ünnepi időszak előtt elterjedt a hír arról az ellátási lánc támadásról, amely a SolarWinds szoftvert célozta meg. A SolarWindset nagy és közepes méretű szervezetek hálózati infrastruktúrájának kezelésére használják világszerte, köztük számos számos szövetségi kormányhivatalt az USÁ-ban. A szoftverfrissítési mechanizmusokba betelepedtek és ezt egy hátsó ajtó, egy “backdoor” telepítésére használták fel.

Az áldozatok jelentősége és a lopva elhelyezett backdooron keresztül megszerzett hozzáférés a modern történelem egyik legnagyobb és legkárosabb kiberkémkedési támadásává teheti ezt az incidenst.

Az Egyesült Államok szövetségi nyomozóirodája (FBI), a kiberbiztonsági és infrastruktúra biztonsági ügynöksége (CISA), az országos hírszerzési igazgatósága (ODNI) és a nemzetbiztonsági ügynökség (NSA) közös közleményt adott ki, amely szerint a nyomozásuk a következőt jelezte:

“…egy valószínűleg orosz származású Advanced Persistent Threat actor felelős a kormányzati és nem kormányzati hálózatok közelmúltban felfedezett, folyamatban lévő kibervisszaéléseinek többségéért vagy mindegyikéért. Jelenleg úgy gondoljuk, hogy ez egy hírszerzési célú művelet volt, illetve továbbra is az.”

Az orosz kiberkonfliktus 2022-ben

2022-ben a kiberpolitikai feszültségek ismét erősödnek, és a törésponthoz közelednek. 2022. január 13-án és 14-én számos ukrán kormányzati webhelyet megrongáltak és ransomware támadásnak álcázott malware-rel fertőztek meg rendszereket.

Ezen támadások több összetevője is a múltat visszhangozza.

A malware valójában nem zsarolóprogram volt, hanem csak egy kifinomult törlő eszköz, amint azt a NotPetya támadásoknál is megfigyelhető volt.

Ezenkívül sok hamis nyom maradt hátra, amelyek arra utaltak, hogy az incidens ukrán disszidensek vagy lengyel partizánok műve lehet.

A figyelemelterelés, a zavarkeltés, a tagadás és megosztásra tett kísérlet az általános forgatókönyvnek tűnik most.

2022. február 15-én, kedden egy sor bénító erejű DDoS-támadást indítottak az ukrán kormányzati és katonai webhelyek, valamint Ukrajna három legnagyobb bankja ellen. Példátlan lépésként a Fehér Ház már feloldotta a titkosszolgálati adatok egy részét, a támadások felelőseként pedig az orosz GRU-t határozták meg.

Az orosz forgatókönyv a kiberháborúhoz

És most? Függetlenül attól, hogy a dolgok tovább eszkalálódnak e, a kiberműveletek biztosan folytatódni fognak. Ukrajnát Viktor Janukovics 2014-es leváltása óta folyamatosan támadások özöne éri, amelyek mértéke változik.

Oroszország hivatalos dokumentuma, az “Az Orosz Föderáció katonai doktrínája” 2010-ből kimondja:

“...az információs hadviselés intézkedéseinek előzetes végrehajtása a politikai célok katonai erő alkalmazása nélkül történő elérése érdekében, és ezt követően azért, hogy a katonai erő alkalmazására a világ közösségétől kedvező választ formáljon.”

Ez egy konfliktus előtti cselekedetek folytatódására utal és a DDoS-támadásokat egy küszöbön álló hadi válasz lehetséges jelévé teszi.

Az információs hadviselés az, ahogyan a Kremlin megpróbálja irányítani a világ többi részének az ukrajnai műveletekre adott reakcióját vagy egy támadás bármely más célpontja kapcsán.

A hamis nyomok, a felelősség másra hárítása, a megszakított kommunikáció és a közösségi média manipulációja mind kulcsfontosságú elemei Oroszország információs hadviselési forgatókönyvének. Nincs szükségük állandó álcát létrehozni a terepen és másutt végzett tevékenységeikhez, egyszerűen elegendő késedelmet, zűrzavart és ellentmondást kell okozniuk ahhoz, hogy lehetővé tegyék más, egy időben zajló műveleteik számára a céljaik elérését.

Felkészülni, védekezni

Érdekes módon az Egyesült Államok és az Egyesült Királyság megpróbálja megelőzni a félretájékoztató kampányok egy részét, és ez korlátozhatja a hatékonyságukat. Nem szabad azonban feltételeznünk, hogy a támadók feladják a próbálkozást, így felkészültnek és ébernek kell maradnunk.

Például az Ukrajnát körülvevő országok szervezeteinek fel kell készülnie arra, hogy bármilyen online bajba belekeveredhetnek, még akkor is, ha nem közvetlenül Ukrajnán belül működnek. A korábbi támadások és téves információk átszivárogtak Észtországba, Lengyelországba és más szomszédos államokba, még ha csak járulékos károkként is.

Globális szemszögből arra érdemes számítanunk, hogy számos “hazafias” szabadúszó - akik alatt ransomware bűnözőket, adathalász eszközöket készítőket és botnet operátorokat értek - a szokásosnál is nagyobb hévvel csap majd le az anyaország elleninek tekintett célpontokra.

Nem valószínű, hogy Oroszország közvetlenül NATO-tagokat támadna meg és megkockáztatná az 5. cikk alkalmazását. Azonban a közelmúltban tett gesztusai az Orosz Föderációból és a Független Államok Közösségének (FÁK, “CIS”) partnereiből származó bűnözők megfékezése kapcsán valószínűleg véget érnek, és ehelyett a fenyegetések számának növekedését fogjuk látni.

Míg a mélyreható védelemre mindig törekedni kell, ez különösen fontos, ha a támadások gyakoriságának és súlyosságának növekedésére számíthatunk. A félretájékoztatás és a propaganda hamarosan robbanásig feszül majd, de ügyelnünk kell a jelekre, meg kell erősítenünk a gyenge pontokat és figyelnünk kell, hogy nincs e semmi szokatlan a hálózatunkon, miközben a konfliktus ciklusai intenzívebbé vagy enyhébbé válnak és még akkor is, amikor / ha hamarosan véget érnek. Mert mint azt mindannyian tudjuk, hónapokba telhet, amíg az orosz-ukrán konfliktus miatti digitális behatolások bizonyítékai a felszínre kerülnek.