A nemzetközi kiberhelyzet nem fokozódott tovább – kiberfront összefoglaló

2022. április 21., 17:49

Az orosz – ukrán háború sajnos még mindig nem ért véget, a helyzet egyre összetettebb. Az oroszok támadnak, az ukránok védekeznek, és csak remélni tudjuk, hogy nem egy sohavégetnemérős történetről van szó.

A különféle érdekcsoportokhoz köthető kibertámadások továbbra is aktívan jelen vannak a kibertérben, a destruktív és dezinformációs kiberkampány nem ért véget, de a gépezet csúcsrajáratása valahogy még nem történt meg. Legalábbis az orosz fél és érdekcsoportjai részéről még nem. Pedig a legtöbb kiberbiztonsági szakértő arra számított, hogy az orosz–ukrán konfliktusban meghatározó szerepük lehet a nagy volumenű kibertámadásoknak, hiszen Oroszország korábban is elég aktívnak bizonyult ezen a téren. Ukrajnának is van / volt rutinja a védekezésben, elhárításban, mivel nem először kerültek az oroszokhoz ezer szállal kötődő hacker kollektívák célkeresztjébe.

Persze nem azt állítom, hogy nincsenek meghatározó és fájó kibertámadások: ezekről korábban már írtunk. Sőt az egyik meghatározó gyártónknak, a Bitdefendernek köszönhetően a háborús helyzetet meglovagoló online csalásokról is részletesen beszámoltunk, több alkalommal is (két kiadványt is készítettünk a témában, melyek itt és itt érhetőek el). Mindezek mellett a Trellix / FireEye-nak és a Mandiantnak hála egy csomó friss infót is közzétettünk. Tehát volt esemény bőven a kibertérben, de az a mindent elsöprő „wáó érzés”, a mindent elsöprő attack elmaradt. Természetesen: szerencsére. Ennek számos oka lehet. Például az, hogy az orosz fél még talonban tartja az igazán komoly kibertámadásokat, mivel nem akarták minden kiberporukat (köhöm, elnézést) ellőni. Ez mondjuk kicsit fura, mert a destruktív támadások és az információs műveletek közé pont, hogy befért volna már az elején is egy-két nagyobb kibertámadás, hogy a destabilizációt és pusztítást a legmagasabb fokra emeljék. De nem emelték. Másik magyarázat lehet, hogy inkább azok a kibertevékenységek vannak túlsúlyban, melyek annyira nem látványosak és kevésbé explicit rombolóak. Ilyen lehet az aktív kiberkémkedési tevékenység, amiről már szintén írtunk, sőt volt egy klassz online szakmai beszélgetésünk is a témában. Egyes szakértők szerint az is elképzelhető, hogy az orosz hackereknek nem volt idejük felkészülni a háborúra, mert nem tudták, hogy lesz. Nem szóltak nekik. De persze az is benne van a pakliban, hogy a támadó fél abban a hitben élt, hogy simán „átveszi az uralmat” az ukrán kibertér, és ezáltal a létfontosságú ukrán informatikai rendszerek felett. Mert azt se felejtsük el, hogy Ukrajna korábban az EU-tól is segítséget kért – és kapott – informatikai rendszereik megvédéséhez, sőt, biztosra mentek: önkéntes hackereket kezdtek nyilvánosan toborozni. Erre egyenesen az ukrán digitalizációért felelős miniszter tett ki egy felhívást Twitteren. Szép számmal érkeztek is a jelentkezők, akik aztán egy saját dedikált Telegram-csatornán egyeztetnek egymással és koordinálják tevékenységüket. Persze pontos infónk nincs a létszámukról és összetételükről, de az biztos, hogy az Anonymous nevű kollektíva igen aktívan jelen van a történetben, akik még nyilvánosan kampányoltak is azért, hogy más hackercsoportok is úgy támogassák Ukrajnát, hogy orosz szervezeteket vesznek célba támadásaik során.

Fontos megemlíteni, hogy a másik oldal is rendelkezik egy elég neves támogatóval: a Conti hackercsoporttal, akik arról ismertek, hogy különféle zsarolóvírusokat használnak támadásaik során. Na ők például nyíltan kiálltak Oroszország mellett. A Conti elég egyértelmű módon közölte, ha bárki úgy dönt, hogy kibertámadást vagy bármilyen más háborús tevékenységet indít Oroszország ellen, akkor ők minden lehetséges erőforrásukat be fogják vetni, hogy visszavágjanak bármely ellenség kritikus infrastruktúrájára. Az üzenet azon a dark webes oldalon jelent meg, amelyet a Conti használ fenyegetéseik és áldozataik adatainak közzétételére. A Trellix / FireEye jóvoltából mutatjuk az üzenetet:

A FBI, valamint az Egyesült Államok Kiberbiztonsági és Infrastruktúra-biztonsági Ügynöksége (CISA) szerint a Conti zsarolóvírus csoport tehető felelőssé a 2020 tavasza és 2021 tavasza között elkövetett több mint 400, főként amerikai célpontok elleni kibertámadásért. Szóval nem kispályásokról van szó.

A Trellix / FireEye információi szerint a Conti csapat legalább egy jó nagy része oroszországi székhelyű, és az onnan tevékenykedő bűnözők egy része már dokumentáltan is kapcsolatban áll az orosz hírszerző apparátussal, leginkább az FSZB-vel (Szövetségi Biztonsági Szolgálat). Mindezt azért írom le, mert elég jelen összefoglaló írásába főleg azért kezdtem, hogy bemutassuk az elmúlt hetek háborúhoz kapcsolódó legfontosabb kiberbiztonsági híreit. És a Contival történt eset eléggé idekívánkozik. Meg amúgy is: fontos megemlíteni a kibertér főszereplőit. Szóval történt, hogy a Conti nyíltan állástfoglalt a szimpátiájukat illetően, amire – és a jelenlegi konfliktusra reagálva – egy ukrán biztonsági kutató, akihez a @contileaks nevű Twitter fiók is kapcsolódik, úgy döntött, hogy közzéteszi a Conti több éves belső Jabber beszélgetéseit az interneten. A konverzációk több évet ölelnek fel, és több ezer üzenetből állnak, így gyakorlatilag ez lett a zsarolóvírus kollektívák / zsarolóprogramok „Panama papírja” . A Trellix / FireEye gyorsan megszerezte az adathalmazt, majd rájött, hogy talán ez lehet a szféra egyik valaha volt legnagyobb volumenű hacker kollektívákhoz kapcsolódó adatszivárgása. Spoiler következik: ilyen kiadvánnyal is készülünk. Mármint Trellix / FireEye-ossal, ami az előbb említett Conti-leaks néven ismertté vált esetet mutatja be. Már csak párat kell aludni a publikáláshoz.

Ahhoz, hogy valamilyen kontinuitás (ez csak egy koincidens, mármint a szóhasználat) legyen az írásban – és így értelmet is nyerjen az átadni kívánt információ -, az eseményeket megpróbáljuk kronológiai sorrendben feltűntetni úgy, hogy először az orosz félhez kötődő akciókat mutatjuk be, másodszor pedig az ukrán félhez kapcsolódó támadásokat ismertetjük. A teljesség igénye nélkül.

1.  Az orosz félhez köthető kiberhírek

  • Trellix / FireEye információi szerint Oroszország kritikus informatikai tárolási válsággal nézhet szembe, miután a nyugati felhőszolgáltatók kivonultak az országból, így Oroszország akár hetek alatt kifogyhat a tárhelyekeből. A bevezetett szankciók miatt valamennyi orosz cég kénytelen volt a hazai felhőalapú tárhelyszolgáltatók felé fordulni, miután a nyugati felhőalapú tárhelyszolgáltatók megszakították üzleti kapcsolataikat az országgal. Viszont Oroszországban nincs elég adatközpont a helyi szolgáltatók igényeinek kielégítésére.  Az orosz kormány különböző megoldásokat vizsgál az informatikai tárolási probléma megoldására, kezdve az összes rendelkezésre álló hazai adattároló igénybevételétől, az országból kivonult vállalkozások által hátrahagyott informatikai erőforrások lefoglalásáig. Vagy éppen a Kínától való tárhely bérlés lehetősége.
  • Az ukrán CERT-UA egy olyan spear-phishing kampányt detektált, amelyet az Oroszországhoz kötődő Armageddon nevű APT csoport folytatott helyi, ukrán állami szervezetek ellen. Az eshetőségről a Mandiant pár nappal korábban már beszámolt a Mandiant Threat Intelligence nevű platformján is. Az Oroszországhoz kötődő Armageddon APT csoport (más néven Gamaredon, Primitive Bear, Armageddon, Winterflounder vagy Iron Tilden) által végrehajtott, helyi állami szervezeteket célzó spear-phishing üzeneteket a “vadim_melnik88@i[.]ua” címről küldték, a kampány célja a célrendszerek rosszindulatú szoftverekkel való megfertőzése. Az ukrán kormányzati szerveknek küldött e-mailek tárgymezőjében “Az Orosz Föderáció háborús bűnözőiről szóló információk” mondat szerepel, amit a bűnözők kvázi csaliként használnak. Az esetről mi is beszámoltunk a „Mandiant figyelmeztetett, és igaza lett” c. cikkünkben.
  • A már említett Sandworm APT csoport sikertelen kibertámadást hajtott végre egy ukrán energiaszolgáltató ellen. Tette mindezt az ipari vezérlőrendszerekre (ICS) specializált Industroyer malware, és a CaddyWiper adattörlő új verzióival. Az Industroyert kifejezetten ICS rendszerek ellen készítették, és már 2016-ban is bevetették, aminek következtében Kijev egyötöde maradt áram nélkül egy órán keresztül. Az elkövetők célja több kritikus infrastruktúra leállítása volt. Az Industroyer rosszindulatú program új verziójával (Industroyer2) a nagyfeszültségű villamoshálózati alállomásokat célozták, míg a CaddyWiperrel – és a támadás során bevetett további adattörlő programokkal – a helyreállítás megnehezítését, valamint a támadás nyomainak eltüntetését kísérleték meg.
  • Képekbe rejtett káros kódokat és a Zimbra sérülékenységét is kihasználón kibertámadást lepleztek le, mely során ukrán kormányzati szervezeteket céloztak olyan adathalász levelekkel, amelyek azt állították, hogy az ukrán elnök által kiosztott „Arany csillag” érdemrendi kitüntetésről közölnek képeket. A képfájlok azonban olyan Javascript fájlokat tartalmaztak, amelyek a Zimbra Collaboration Suite XSS-sebezhetőségét kihasználásával módosításokat hajtanak végre az áldozat e-mail fiókában, és bármilyen elküldött e-mailt továbbítanak a támadónak. Az ukrán CERT, a CERT-UA ki is adott egy figyelmeztetést ezzel kapcsolatosan, és azt javasolta, hogy a Zimbrát használó ukrán szervezetek végezzék el a legújabb verzióra történő frissítést.
  • Fenyegetettségi szereplők ukrán kormányzati szervezeteket céloztak az IceID nevű banki trójaival. Teszik mindezt egy olyan adathalász-kampány részeként, melynek során egy “Mobilizációs nyilvántartás.xls” nevű Excel-dokumentumot használtak fegyverként. Az IcedID banki trójai 2017-ben jelent meg először a fenyegetések között, és hasonló képességekkel rendelkezik, mint más pénzügyi malwarek, például a Gozi, a Zeus. A kártevő leginkább a pénzügyi adatokra és a hitelesítési adatokra pályázik.

2. Az ukrán félhez köthető kiberhírek

  • Az Anonymous az orosz hadsereget és az állami médiát is célba vette úgy, hogy a Buchában állomásozó egyik katonai állományról közölt szenzitív adatokat (név, rendfokozat, útlevélszám), valamint az orosz állami médiáról szóló érzékeny információkat tartalmazó dokumentumokat – köztük 900.000 elektronikus levelezést – hozott nyilvánosságra.
  • Az Anonymous és az ukrán szimpatizáns „IT ARMY” tovább folytatta az orosz kormányzati és magánszervezetek elleni támadásokat. A legutóbbi áldozatai a Forest, az Aerogas, és a Petrofort nevű orosz cégek. Jól látható, hogy már nem csak az orosz állami szervezetek vannak a célpontban, hanem egyes kibertámadások orosz gazdasági társaságokat is fókuszba helyezhetnek. A Mandiant és a Bitdefender mindenesetre erre hívta fel a figyelmet. Az előbb említett támadások következtében összesen több, mint 400.000 belsős levelezés vált nyilvánossá. A cégek stratégiai szempontból fontosak lehetnek az orosz kormánynak. A Forest egy fakitermeléssel foglalkozó faipari cég (innen 37.500 e-mailt szivárogtattak ki), az Aerogas egy mérnöki cég, amely az olaj- és gáziparra összpontosít (kb. 100.000 e-mailt szivárogtattak ki a cégtől), a Petrofort Szentpétervár egyik legnagyobb irodaterülete és üzleti központja (nagyságrendileg 300.000 e-mailt szivárogtattak ki a Petroforttól).
  • Az NB65 nevű hackercsoport a Conti ransomware módosított verziójával támadott orosz szervezeteket, úgy, hogy a Conti ransomware korábban kiszivárgott forráskódját használva hozta létre saját ransomware-ét. A megtámadott orosz szervezetek közé tartozik a Tensor dokumentumkezelő szolgáltató, az Roszkozmosz nevű orosz űrügynökség és a VGTRK, az az állami tulajdonú orosz televíziós és rádiós műsorszolgáltató. A VGTRK elleni támadás különösen jelentős volt, mivel 786,2 GB adat állítólagos ellopásához vezetett, beleértve 900.000 e-mailt és 4000 fájlt. A Conti forráskódja azután szivárgott ki, hogy az Ukrajna elleni támadás után Oroszország oldalára álltak, és kiszivárogtak az üzeneteik (ezt az írás első felében már említettük).
  • Az Anonymous csoport feltörte az orosz kulturális minisztériumot, és 700 GB adatot (köztük 500.000 e-mailt) szivárogtatott ki. Tették ezt három adathalmazban, melynek legnagyobb állománya 446 GB- os volt.
  • Az Anonymous kollektíva és szimpatizáns hackerek több gigabájtnyi adatot tettek közzé, amelyek – állításuk szerint – orosz szervezetektől származnak. A legújabb áldozatok között található a legnagyobb orosz utazási iroda, a Continent Express (400GB), a gázipari technológiai óriás Gazprom Linde Engineering (728 GB-nyi belső adat, 768.000 e-mail), illetve a több orosz olaj- és gázipari céghez is kapcsolódó Technotec (495.000 e-mail).
  • Az Anonymous feltörte GUOV i GS – General Dept. of Troops and Civil Construction nevű orosz építőipari vállalat informatikai rendszerét, és kb. 10 GB adatot (köztük 15.600 e-mailt) szivárogtatott ki. A cég általában az orosz védelmi minisztérium tendereinek, projektjeinek egyik legfőbb nyertese, annál is inkább, mivel a tulajdonosi jogokat egy az egyben a minisztérium gyakorolja felette.
  • Az Amerikai Egyesült Államok felszámolta az Oroszországhoz kötődő Cyclops Blink botnetet. Az Egyesült Államok Igazságügyi Minisztériuma bejelentette az Oroszországhoz kötődő Sandworm APT csoport által üzemeltetett Cyclops Blink botnet hatástalanítását, amelyet a fenyegetettségi szereplő korábban consumer Asus routerek ellen is bevetett. A Sandworm egy 2000 óta aktív hackercsoport, ami erősen kötődik az orosz katonai felderítéshez, az az a GRU-hoz. Nevükkel 2017-ben már találkozhattatok, hiszen a NotPetya zsarolóprogram atyjai is ők voltak. A Cyclops Blink pedig vélhetően a VPNFilter botnet utódja, amely először 2018-ban került napvilágra – 2019 júniusa óta aktív -, és akkoriban több mint 500.000 kompromittált routerből és hálózati tárolóeszközből (NAS) állt. A Cyclops Blink egy kifinomult, moduláris felépítésű malware. Támogatta az új modulok futásidőben történő hozzáadására szolgáló funkciókat, amelyek lehetővé tették a Sandworm üzemeltetői számára, hogy igény szerint további képességeket implementáljanak. Többek között a Watchguard tűzfal termékeket (WatchGuard Firebox és XTM) is ezzel a botnettel támadták. Erről is írtunk.

Itt tartunk most.

“Várjuk” a fejleményeket (#bárnelennének). Mert abban biztosak lehetünk, hogy lesz folytatás. A volumen a kérdés, és az eszköztár. Jól látható, hogy míg az egyik fél kritikus infrastruktúrákat támad és fejlett káros kódokat használva próbálja destabilizálni az ukrán állami szervezeteket, addig a másik leginkább adatszivárgásokkal operál, és célpontjai között már nem csak állami szervezetek, rendvédelmi szervek lehetnek, hanem piaci szereplők is. Persze olyan gazdasági társaságokat igyekeznek targetálni, akik valamilyen úton-módon kapcsolódnak a kormányzathoz.

Mindeközben a háború és a kiberfront meghatározó „eszköze” lett a Telegram, amelynek esetleges  kockázataira egyébiránt biztonsági szakértők és a Signal (nem, nem a fogkrém) alapítója nem is olyan régen felhívta a figyelmet, mivel szerintük nem annyira frankó és nem annyira biztonságos az alkalmazás, mint amennyire azt az emberek hiszik. Az aggályok szerint az app minden kommunikációt és kapcsolatot egy olyan adatbázisban tárol, melyet Oroszország könnyen célba vehet, illetve a Telegram oroszországi alkalmazottjai is könnyen célpontok lehetnek. A cég természetesen cáfol, sőt Bug Bounty programot is indított: akár 100.000 dollár is ütheti annak a markát, aki bármiféle kihasználható hibára akad.