A kiber- és nemzetbiztonsági szakma szerte a világban, egy páratlan méretű (és egyelőre beláthatatlan horderejű) hackertámadás híreitől hangos ezen a héten. És a szakma biztosan az marad még jó ideig, majd akkor is, amikor a média-közvéleményben már régen elcsendesülnek az ügy most viharos hullámai. Hackertámadásról lévén szó, érthető, ha róluk szól a blogbejegyzés címe. De mit keresnek ott az „infoharcosok”? Az igazság az, hogy egyetlen eseménysor kapcsán ugyan, de két történet bontakozik ki a szemeink előtt. Az egyik a kiberterekben zajló küzdelemről szól és hackerek szerepelnek benne. A másik azon a szélesebb és egyben rétegzettebb hadszíntéren folyik, amit régebbi korokban propaganda háborúnak hívtak, és amelynek modern főszereplői az infoharcosok. A két történet persze, szorosan összekapcsolódik.
A tények
Bombaként robbant a hír december közepe táján, hogy ismeretlen kiberszereplők behatoltak az amerikai kormányzat több szervezetének és szereplőjének informatikai rendszereibe. Az ügy valójában néhány nappal korábban kezdett kibontakozni, amikor felröppent a hír, hogy hackertámadás áldozata lett egy jó nevű amerikai cég, a FireEye. A dolog pikantériája abban rejlett, hogy ez a kiterjedt vállalkozás (amit sokan már amolyan magán kiberhírszerző ügynökségként szerettek láttatni) annak köszönhette reputációját, és igen jövedelmező üzleti kapcsolatait, hogy a nemzetközi kormányzati- és cégvilág számos szereplőjét látta el – a kibertámadások kivédésére szolgáló eszközökkel és tanácsokkal. A jelentős presztízsvesztéssel járó eseményt követő kárelhárító munka derített aztán fényt az igazán nagy riadalomra okot adó felfedezésre. E szerint a meghekkelt kiberbiztonsági cég (amelytől egyébként nem csupán adatokat tulajdonítottak el, de a rendszereik tesztelésére kifejlesztett támadó szoftverüket is) valójában csak egyike volt az áldozatoknak. A támadás, amit a jelek szerint hosszú ideje, nagy körültekintéssel terveztek számtalan céget és szervezetet ért el a világban. Az akció célkeresztjében azonban egy nem különösebben ismert cég, a Texas államban székelő SolarWind állt. Nem különösebben ismert, de kulcsfontosságú vállalat. A SolarWind ugyanis számítástechnikai ipari és kormányzati beszállítóként működik, és ügyfélkörébe tartozik nem csupán az amerikai államigazgatás, hadvezetés, nemzetbiztonság, de a világ legjelentősebb vállalatainak a többsége is. A sajtóban terjedő híresztelésekkel ellentétben mindeddig nem azonosított támadók a SolarWind cég által forgalmazott, Orion nevű hálózatfelügyeleti szoftver frissítéseibe férkőztek be, és ezen keresztül hónapokon át tudtak hozzáférni mindazon kormányzati és nagyvállalati szereplők informatikai rendszereihez, amelyek ezt a rendszertámogató szoftvert használták. És ezek bizony sokan vannak. Köztük, egyebek mellett, az USA Hadügyminisztériuma, Pénzügyminisztériuma, és az Egyesült Államok atomfegyvereinek kezeléséért felelős kormányzati hivatal is. De világszerte összesen mintegy 300 000(!) ügyfél szerepel a listán, bár a támadás részleteit és következményeit kideríteni hivatott vizsgálat szerint ezeknek csak egy töredéke lehet érintett a támadásban. Ez a kisebb rész is legalább 18 000 kormányzati és vállalati ügyfelet jelenthet, amelyek rendszereiben hónapokon át szabadon közlekedhettek a támadók. Éppen a felhasználók között nagy számban megtalálható, nemzetbiztonsági szempontból különösen kritikus jelentőségű szervezetek érintettsége miatt az USA Nemzetbiztonsági Tanácsa is foglalkozott már az üggyel. December 18-ára ugyanakkor az FBI minősített (tehát nem nyilvános) meghallgatást szervezett a Kongresszus tagjainak számára. A károk felméréséig (ami óvatos becslések szerint is hónapokig eltarthat) a fontosabb amerikai kormányzati szervezetek nem titkos kommunikációs forgalmukat is olyan rendszerekre költöztették át, amelyeket nem érhetett el a hackertámadás.
A kiberbiztonsági szakemberek nemzetközi közössége napok óta megfeszített erővel dolgozik a behatolások részleteinek megállapításán, a támadás visszafejtésén és ártalmatlanná tételén. Ezzel párhuzamosan folyik a kárbecslés is, tehát annak a megállapítása, hogy milyen információkhoz férhettek hozzá az illetéktelen behatolók. A védekező munkába bekapcsolódott Microsoft szakemberei a hírek szerint sikeresen átvették az irányítást az egyik olyan domén felett, amit a támadók az akciók során megfertőzött gépekkel való kommunikációra használtak. A Microsoft részvétele azért is említésre méltó, mert a legfrissebb információk szerint az – ugyancsak Orion rendszerfelügyeleti szoftvert használó – óriáscég rendszereit is elérték a hackerek által alkalmazott rosszindulatú szoftverkártevők. A világban mindenütt megtalálható Microsoft-felhasználók megnyugtatására azt is elmondták: a szoftvergyártó óriáscég valószínűleg nem esett bele a hackertámadás fő csapásirányába.
Az álcázóköd
A minket körülvevő valóság egyik legegyértelműbb ténye az, hogy a globális és regionális hatalmi pozíciók újraosztásáért folyó geopolitikai küzdelem folyamatosan erősödik. Ez a szembenállás, amelynek központi frontját az USA és Kína konfliktusa jelenti, tovább erősödött a koronajárvány világméretű elterjedésével. Miközben Kína fenyegetésének érzete egyértelműen növekszik a nyugati világban, Oroszország is tartja kiemelt pozícióját az ellenségek listáján. Ennek a háborúságnak a hadszínterei a számítógépes hálózatok – és egyre inkább a közösségi média, az online sajtó platformjai és szereplői. Ennek megfelelően a fősodratú közsajtóban (de a szakmai kiadványok egy részében is) szinte kezdettől központi szerepet kapott ebben a történetben az „ellenséges orosz állam”.
Érdemes az ügy bőségesen kavargó nemzetközi sajtóját figyelmesen szemlézni, mert rögtön szembe ötlik egy mozzanat. A leginkább szakmainak, tárgyszerűnek tekintett megszólalók, illetve tájékoztató csatornák nagyon óvatosan bánnak az ügy kapcsán az oroszok gyanúba hozásával. Pontosítsunk: bárki meggyanúsításától tartózkodnak a vizsgálatnak ebben a korai fázisában. Ahol például a legfrissebb fejleményeket, a Microsoft erős érintettségét taglaló cikkben tekinti át a mértékadónak tekintett Reuters, ott az a szó, hogy „orosz”, vagy „Oroszország” egyetlen pillanatra sem tűnik fel. Az egyébként oroszbarátsággal aligha vádolható, elismert közpolitikai magazin, a Politico legfrissebb, átfogó ügyismertetésében sem tűnnek fel a rettegett ellenségek. Ami nem véletlen. A kiberbiztonsággal foglalkozó szakmai körökben ugyanis az egyik legnagyobb konszenzussal kísért téma az ún. attribúció nehézsége. Ebben a különleges közegben jelenleg az incidensek, akciók elkövetői körének egyértelmű – bizonyítható – azonosítása a leginkább problematikus feladat. A mostani ügyben megszólaló (valódi) szakemberek is hangsúlyozzák: az már most látszik, hogy a támadássorozat elkövetői nem csak rendkívül kifinomult módszereket használtak, de stratégiai értelemben is abszolút gondossággal megtervezett, hatalmas (emberi, időbeli) erőráfordítással előkészített akciót indítottak. A precízen tervezett, koncepciózusan felépített, türelmes aprómunkával kivitelezett művelet, ebben szintén egyetértenek a mértékadó szakemberek, jó eséllyel utal állami háttérre. Azonban azt, hogy melyik állam embereihez köthető az akció, arra egyelőre aligha lehet megalapozott választ adni.
Ez azonban nem változtat azon a tényen, hogy az új hidegháború nagy lendülettel folytatódik, és ebben a mostani hackertámadás is megkapja a maga helyét és funkcióját. A témát felkaroló nyugati sajtó egy része az „orosz hackerek” támadását hirdeti – természetesen bármiféle, akár egyetlen morzsányi tényszerű hivatkozás nélkül. A harci elvet jól példázza az ügy „orosz vonulatát” legerőteljesebben és legkorábban felkaroló The Washington Post által követett taktika. Első megszólalásban „állítólagosként” említették az orosz hátteret, és forrásként „az ügyet jól ismerő személyek”-et tüntettek fel. Ez a formula még a korábban általános „magukat megnevezni nem kívánó kormányzati források”-nál is képlékenyebb, semmitmondóbb, bizonyíthatatlanabb. Néhány nappal később a The Washington Post visszatérve a témára immár a címben harsogott az „orosz állami hackerek” támadásáról, tényként említve ezt a kapcsolódást. A szövegben pedig részletesen is kitértek az „orosz elkövetőkre”, amikre állításuk szerint „források” utalnak. Ha a szövegben szereplő hiperlinkre lép az ember, akkor azonban forrásként – ugyanazon újság, ugyanazon szerzőjének korábbi (és az orosz szálat még feltételezésként említő) cikkéhez juthat el. Ez a kereszthivatkozási taktika jellemzi egyébként a témáról író sajtó jó részét is: a szövegbeli hivatkozásokat lépésről lépésre követve egy (esetleg kettő) eredeti közlőhöz (azaz a The Washington Posthoz) jut el mindenhonnan az érdeklődő, ahonnan aztán már valódi forrásokhoz nem vezet tovább lépcső (legfeljebb „az ügyben tájékozott emberek” névtelen fikciójához).
Aki az infoháborús csatározásokról, a médiában zajló lélektani hadviselés szabvány módszertanáról szeretne többet tudni, annak bőven akad olvasnivalója. Aki azonban a „másik” történetről, tehát az amerikai kormányzati hálózatok elleni (valójában inkább „Sunburst”-nak nevezendő) SolarWind-támadásról szeretne többet megtudni annak már sokkal nehezebb a dolga. Olyan, mintha szénakazalban keresné a tűt az, aki valami tényleges információt szeretne kibogarászni. Az egyik ilyen „tű” a Cyberscoop nevű rangos kiberbiztonsági portál írása. Cikkükben (amely természetesen kitér a kibertámadással kapcsolatos találgatásokra és feltételezésekre is) nem politikai publicistákat, hanem kiberbiztonsági szakembereket igyekeznek megszólaltani. Részletesen idézi a régiónkban is mértékadó ESET kiberbiztonsági cég embereit, kiemelve azt is: a CozyBear-témát jól ismerő szakemberek óvakodnak attól, hogy az orosz hackercsoportot bármi módon összekapcsolják a mostani SolarWind-esettel. Az írás idézi a támadás részleteinek kiderítésén dolgozó biztonsági cégek jó néhányát (Huntress Labs, Fidelis, Volexity), hangsúlyozva, hogy ezek egyike sem lát jelen pillanatban bármiféle kapcsolódást a hírhedt orosz kiberegységek, és a mostani, Amerika elleni támadás-sorozat között. Alapos módon megszólaltatják a védelmi szakma egyik csúcsát, az F-Secure céget is, amely az eddigi legteljesebb elemzésben mutatta be az orosz állami hackercsoportok működését. Aligha kerülheti el az ember figyelmét, hogy ezt a témát talán mindenki másnál alaposabban ismerő, valóban szakmai autoritás egyetlen szóval sem utal arra, hogy az orosz kiberhírszerzéshez lehetne kötni a mostani akciót.
Ami tehát biztosan látható: az USA (és kisebb mértékben néhány más állam) rendszereit elérő, valóban szinte felmérhetetlen következményekkel járó kibertámadást, a kibertérben zajló háborút tehát folyamatosan kíséri ez a másik küzdelem is: az információs háború.
Néhány lehetséges következtetés
Az elkövetők személyén (a vizsgálat korai szakaszában, ráadásul a kellő rálátás, bizalmas információk hiányában) felesleges spekulálni. És tulajdonképpen különösebb jelentősége sincsen. A világban az ellenségeskedés geopolitikai jelegű és szintű, ennek ténye (valamint a szemben állók kiléte) tökéletesen ismert. Ahogy az is ismert – legalábbis a témát figyelő szakemberek előtt –, hogy a fenti geopolitikai ellenfelek mindegyike rendelkezik offenzív kiberkapacitásokkal: tervszerűen építi az erre szolgáló szervezeteket, fejleszti a kiberháborús fegyverrendszereket – és használja is ezeket. Néhányukról – például éppen az USÁ-ról, vagy Nagy-Britanniáról – biztosan tudjuk, mert sajtónyilvános információban számoltak be róla. De józan mérlegeléssel a többiek aktivitása felől sem lehet kétségünk. Kína és Oroszország biztosan ott mozog a kiberháború frontjain, de számos regionális hatalom is osztja ezt a terepet. Izrael legendás aktora ennek a hadszíntérnek, ahogy Irán és Észak-Korea is. De szinte biztosan ott találjuk ma már Indiát, Pakisztánt is.
A mostani ügyben tehát nem az az érdekes, hogy ki az elkövető. Ugyanakkor talán leszűrhető az esetből néhány figyelemre méltó tanulság. Az egyik következtetés (amit egy a témáról szokatlan higgadtsággal, tárgyszerűséggel író szakember vet fel) arra irányítja a figyelmet: az Egyesült Államokat ért botrányosan kiterjedt, botrányosan hosszan tartó és drámai következményekhez vezethető akció mögött egy stratégiai hiba állhat. Az Egyesült Államok (különösen az új Kiberparancsnokságot vezető Nakasone tábornok harcias vezetésével) túlságosan is a kibertér offenzív műveleteire fókuszálta erőit, és egyszerűen elhanyagolta a kibervédelem megfelelő mértékű fejlesztését. Bár ebben van igazság, ugyanakkor ellentmondani látszik neki az, hogy éppen a most lezárult elnökválasztási kampány kapcsán emelte ki minden érintett vezető (így az éppen e nyilatkozatáért most elbocsátott Christopher Krebs kibervédelmi főnök is), hogy az elmúlt évek koncentrált kibervédelmi fókusza és fejlesztései következtében vált lehetségessé a szavazás „kiberesemény-mentes” lebonyolítása.
Ugyanakkor létezhet egy másik tanulság: az, ami éppen a hackerek és az infokatonák látszólag külön haladó harci ösvényeinek összekapcsolódására figyelmeztet. Röviden arról van szó, hogy a (bel- és külpolitikai csatározásokban) az oroszellenesség kártyáját ismét elővarázsoló amerikai tisztviselők, politikusok, médiaemberek erre a témára koncentrálták az utóbbi négy évben az ország elhárítási erőforrásainak és közfigyelmének zömét. Az ország látványosan növekedő problémáinak okát – a faji feszültségektől kezdve, a politikai polarizáción át a külföldi tekintélyvesztésig – nem belső tényezőkben, hanem egy kívülről jövő fenyegető erőben látták, illetve láttatták. Úgy gondolták, hogy az ellenféltől eredő, az ő céljait szolgáló információ a legfőbb veszélyforrás, és ezért orosz tévécsatornák, Facebookon vett reklámok, Twitter-en működő oroszbarát trollok ellen kell hadat viselni. A lélektani hadviselés nagy veszélye nem abban áll, hogy hamis eszközökkel operál, hanem abban, hogy egy idő után megalkotói is elhiszik az általuk terjesztett valótlanságokat. Miközben Amerika éveken át roppant intellektuális és anyagi erőforrásaival harcolt egy sok szempontból „fabrikált”, nagymértékben irreleváns „fenyegetés” ellen – aközben a kiberhadszíntér csendes frontjain beszivárgott a soraikba az igazi ellenfél. Lehet, hogy drága lesz a tanulópénz.
A cikk szerzőjével a Ludovika TV műsorában is beszélgettek az esetről.
Források:
5 wasy the Russians could wreak havoc on the 2020 election (2020). https://www.nbcnews.com/politics/2020-election/five-ways-russians-could-wreak-havoc-2020-election-n1245392
6 Russian military officers charged in vast hacking campaign (2020). https://www.politico.com/news/2020/10/20/russian-military-officers-charged-hacking-campaign-430280
A kiberháború zajlik és Oroszország épp ledobott egy atombombát (az is lehet, hogy az eddigi legnagyobbat) (2020). https://forbes.hu/uzlet/a-kiberhaboru-zajlik-es-oroszorszag-epp-ledobott-egy-bombat-az-is-lehet-hogy-az-eddigi-legnagyobbat/?fbclid=IwAR0T8fCrt-ERcd172lidxNtdCDxMQ1czZUVf0-ZVJf3IsGSNQjOBl5Cg2F4
How the Russian hacking group Cozy Bear, suspected in the SolarWind breach, plays the long game (2020). https://www.cyberscoop.com/cozy-bear-apt29-solarwinds-russia-persistent/
Microsoft says it found malicious software in its systems (2020). https://www.reuters.com/article/usa-cyber-breach-exclusive-int-idUSKBN28R3E2
Minden idők egyik legsúlyosabb kibertámadása rázza meg Amerikát (2020). https://telex.hu/tech/2020/12/17/minden-idok-egyik-legsulyosabb-kibertamadasa-razza-meg-amerikat?fbclid=IwAR3hfAxqfkOLiugRdlM4WI4XAP0VsKefzp0Emm96XVXuD97jIPDNDXHtABI
No one knows how deep Russia’s hacking rampages goes (2020). https://www.wired.com/story/russia-solarwinds-supply-chain-hack-commerce-treasury/
Nuclear weapons agency breached amid massive cyber onslaught (2020). https://www.politico.com/news/2020/12/17/nuclear-agency-hacked-officials-inform-congress-447855?fbclid=IwAR0YzkiWTgx_u_r2rt0Ki1vTynwpI6kA85dzwbA02c6TFlvze1lG60eO-Uw
Russia’s hacking frenzie is a reckoning (2020). https://www.wired.com/story/russia-hack-supply-chain-reckoning/
Russian cyberattack unit masqueraded as Iranian hackers, UK says (2020). https://www.ft.com/content/b947b46a-f342-11e9-a79c-bc9acae3b654
Russian government hackers are behind a broad espionage campaign that has compromised US agencies, including Treasury and Commerce (2020). https://www.washingtonpost.com/national-security/russian-government-spies-are-behind-a-broad-hacking-campaign-that-has-breached-us-agencies-and-a-top-cyber-firm/2020/12/13/d5a53b88-3d7d-11eb-9453-fc36ba051781_story.html
Suspected Russian hackers spied on US Treasury emails – sources (2020). https://www.reuters.com/article/us-usa-cyber-treasury-exclusive/suspected-russian-hackers-spied-on-u-s-treasury-emails-sources-idUSKBN28N0PG
Spies with Russia’s foreign intelligence service believed to have hacked a top American cybersecurity firm and stolen its sensitive tools (2020). https://www.washingtonpost.com/national-security/leading-cybersecurity-firm-fireeye-hacked/2020/12/08/a3369aaa-3988-11eb-98c4-25dc9f4987e8_story.html
The Dukes. 7 years of Russian cyberespionage (2015). Helsinki, F-Secure.
The return of Cozy Bear: Russian hackers in the crosshair of Western Intelligence agencies –again (2020). https://www.rferl.org/a/russia-cozy-bear-hackers-return-western-intelligence/30734514.html