Attribúció
SolarWind, feltámad a NapSzél
Az elnökválasztáshoz kapcsolódó belpolitikai feszültségek, a hét közepén kirobbant véres zavargások most háttérbe szorítanak minden más hírt az Egyesült Államokban. Pedig az előző év végét még egyértelműen uralták azok a fejlemények, amelyek a nem sokkal korábban napvilágra került kiberincidenshez, a SolarWind-támadásként elhíresült hacker akcióhoz kapcsolódtak. Az előzményekről egy Karácsony előtti blogbejegyzésben számoltunk be, az azóta megindult széleskörű vizsgálatok, illetve a szakmai-politikai viták azonban újabb érdekes kérdéseket vetettek fel.
Mint ismeretes, a SolarWind nevű amerikai számítástechnikai cég Orion rendszerfelügyeleti szoftverén keresztül illetéktelenek több tízezer felhasználó informatikai rendszereibe tudtak észrevétlenül behatolni. A hosszú munkával előkészített, rendkívüli körültekintéssel és szakmai felkészültséggel kivitelezett akció során a támadók nem magát az Orion szoftvert, hanem annak rendszeres frissítéseit használták fel arra, hogy rosszindulatú programelemeket juttassanak el az érintett gépekre, illetve hálózataikba. Az így megnyitott hátsó ajtókon keresztül aztán lényegében szabad útjuk nyílt az érintett számítógépes rendszerekhez. Globálisan közel háromszázezer üzleti partnerhez jutnak el a SolarWind szoftverei, és a világ egyes számú hatalmaként számon tartott Egyesült Államok jó néhány fontos kormányszerve is a kiszolgáltatottá vált hálózatgazdák közé tartozik. A károk kiterjedtsége, mélysége vélhetően óriási, bár jelen pillanatban még azt sem lehet pontosan tudni, hogy az illetéktelen behatolók milyen rendszerrészekhez, adatbázisokhoz férhettek hozzá. Sőt, még az akció célja sem egyértelműen tisztázott. És persze tisztázatlan még a támadók kiléte.
Noha a vizsgálatok éppen csak elindultak, a tömegtájékoztatás és a politika köreiben a botrány kirobbanásával egy időben megjelentek az első gyanúsítások. Az akció kiterjedtségére, magas szakmai színvonalára hivatkozva bizonyosan állami szereplőnek tulajdonították a behatolásokat, és az orosz titkosszolgálat, az SzVR korábbról ismert kibercsoportjait nevezték meg támadóként. Az egészen konkrét szereplőket megnevező attribúció alátámasztására a megszólalók egymásra kölcsönösen utaló kereszthivatkozásokkal szolgáltattak „bizonyítékot”. Az információ kiinduló forrásának minden honnét elindulva a The Washington Post című napilap egy, bármilyen bizonyítékot nélkülöző, állítása szolgált. A kiberbiztonsági szakma képviselői már jóval óvatosabban fogalmaztak: a szakterület közmondásosan legnehezebb, leginkább problémás mozzanata ugyanis éppen az attribúció, az egyes kiberakciók elkövetőinek azonosítása. Egy ilyen hatalmas kiterjedésű, szokatlan mélységű kiberincidense esetében pedig hónapokat vehet igénybe a részletek tisztázása. A felfedezést követő napokban tehát még aligha állapítható meg felelősséggel az elkövetők kiléte.
Már csak azért is, mert a kibervilág „szürke zónájában” mozgó egyének, csoportok, állami szervezetek anyagi, emberi és időbeli erőforrásaik egy számottevő részét a nyomaik elfedésére, az illegális műveletek álcázására fordítják. Amiben tulajdonképpen nincs is igazi újdonság: a titkosszolgálatok világa, már jóval a digitális kor előtti időkben is, kifinomult technikákkal igyekezett akcióit álcázni. Ennek egyik koránt sem szokatlan gyakorlata mások (többnyire harmadik felek) felhasználása a saját műveletek fedésére. Ez az angolszász szakmai körökben „idegen zászló alatti” hadműveletnek nevezett eljárás a kiberakciók szférájában sem ismeretlen: más országok hackeralakulatainak ismertté vált módszereit, eljárásait, vagy akár (korábban kompromittálódott, esetleg tőlük illegálisan megszerzett) támadó szoftvereit felhasználva álcázzák magukat valaki másnak az elkövetők. Az egyik ilyen utóbb ismerté vált esetben például, 2019 őszén, éppen orosz hackerek „öltötték fel” mások, egy iráni kibercsoport identitását, hogy egy tucatnyi ország kormányzati és gazdasági szereplőjének hálózataiba férkőzzenek be. Amerikai szakértők szerint egyébként (amit megerősíteni látszanak a Snowden-kiszivárogtatással, illetve a WikiLeaks révén nyilvánosságra került információk) az USA jelfelderítő és kiberakciókra szakosodott ügynöksége, az NSA is előszeretettel (és nagy szakmai-technikai felkészültséggel) használja az ilyen módszereket akcióinak fedésére.
UCG, megalakul a hivatalos tényfeltáró munkacsoport
Az elmúlt napok legfontosabb fejleményeként, az amerikai Nemzetbiztonsági Tanács megalakította a Kíber Koordinációs Egyesített Munkacsoportot (UCG). Az FBI, a CSISA (az amerikai kiberbiztonsági szövetségi hivatal), valamint az ODNI (az amerikai hírszerző szervezetek legmagasabb szintű koordinációs szerve) és az NSA szakértőiből alakult szervezet kapta feladatul, hogy felgöngyölítse az amerikai szövetségi intézményeket ért hackertámadás részleteit, illetve kidolgozza a hasonló esetek megelőzését szolgáló szabályokat és eljárásokat. A szakértői csoport január 5-én rövid nyilatkozatot adott ki. A szervezet feladatait és munkamegosztását bemutató rövid szöveg néhány nagyon fontos megállapítással szolgált.
Mindjárt az elején leszögezi, hogy az már az előzetes vizsgálódás során kiderült, hogy a kormányzati intézményeket, gazdálkodó szervezeteket és civil szereplőket ért, a közelmúltban felfedezett, és most is zajló kiberakcióért (hálózati „kompromittálódásért”) egy APT (advanced persistent threat), tehát lényegében egy állami hacker csoport a felelős. A közlés több fontos és érdekes tényt, illetve mozzanatot is tartalmaz:
- Megemlíti, hogy a rendkívül kiterjedt akció, amelynek nyomán állami és magán intézmények hálózatainak tízezrei váltak hozzáférhetővé, koránt sem ért véget az incidens felfedezésével. Ez a részlet többnyire elsikkadt az eddigi közlésekből, pedig ez jelentősen aláhúzza az ügy (elhúzódó) súlyosságát.
- Hivatalosan is leszögezi, hogy az akció hátterében egy állami hacker szervezet állhat. Az APT elnevezéssel ugyanis ilyen kiberoperátorokat szokás megjelölni.
- Ugyanakkor a felelősnek tekintett APT specifikálására azt a kitételt tartalmazza a szöveg: „likely Russian in origin”. Ami két szempontból is figyelemre méltó. A „likely”, azaz „valószínűleg” szócska elárulja, hogy nem bizonyosságról, hanem csupán feltételezésről van ebben az esetben szó. Külön furcsaság: nem is „feltételezett oroszokat” nevez meg elkövetőként a szöveg, hanem, „feltételezhetően orosz eredetű” kivitelezőket említ.
- A legkülönösebb részlet, amiről ráadásul eddig sehol nem történt még említés sem, tovább homályosítja az eddig sem túl erős képet: a szöveg ugyanis azt állítja, hogy a most felfedezett és jelenleg is zajló kiberincidensek „többségéért, vagy egy részéért” felelős a „valószínűleg orosz eredetű” állami hackercsoport. Amiből következik, hogy egy részéért valaki más felel.
- A fentebb ismertetett, felettébb gyenge lábakon álló „attribúció” erősen fiktív jellegét maga a bizottsági nyilatkozat húzza alá ezt követően azzal, hogy a csoportot alkotó egyes szervezetek hatásköreinek részletezésénél az FBI-nak rendelve előírja, mint közvetlen feladatot, hogy „gyűjtsön bizonyítékokat, majd a begyűjtött bizonyítékokat elemezze, végül pedig ennek alapján állapítsa meg a további támadók kilétét”. Azaz, nyomozati munkával begyűjtendő bizonyítékok alapján – majd a jövőben – végezze el az attribúciót.
A nyilatkozat tehát hivatalosan is megerősíti, hogy a politika, és a (titkosszolgálati kiszivárogtatásoknál máskor is „kapunak” használt) The Washington Post által lényegében az első pillanatban megfogalmazott és hangoztatott „orosz háttér” inkább tartozik az USA átfogó Oroszország-ellenes geopolitikai stratégiájának szférájába, semmint a tények szikár világába. A valóságos szakmai attribúció, a kibertámadók kilétének felderítése kemény dió.
Források:
Explainer – US Government Hack: Espionage or Act of War? (2020). https://www.reuters.com/article/global-cyber-legal/explainer-us-government-hack-espionage-or-act-of-war-idUSL1N2IY3EH
Hacking the Hackers: Russian Group Hijacked Iranian Spying Operation, Officials Say (2019). https://www.reuters.com/article/us-russia-cyber-idUSKBN1X00AK
Joint Statement by the Federal Bureau of Investigation (FBI), the Cybersecurity and Infrastructure Security Agency (CISA), the Office of the Director of National Intelligence (ODNI), and the National Security Agency (NSA) (2021). https://www.cisa.gov/news/2021/01/05/joint-statement-federal-bureau-investigation-fbi-cybersecurity-and-infrastructure
Latest of the SVR’s SolarWind Hacks (2021). https://www.schneier.com/blog/archives/2021/01/latest-on-the-svrs-solarwinds-hack.html
Russia’s SolarWind Attacks (2020). https://www.schneier.com/blog/archives/2020/12/russias-solarwinds-attack.html
Russian Cyber Units. US Congressional Research Service (2020). https://crsreports.congress.gov/product/pdf/IF/IF11718
Schneier, Bruce (2018): Click Here to Kill Everybody. Security and Survival in a Hyper-connected World. New York, W.W. Norton and Company.
With Hacking, the United States Needs to Stop Playing the Victim (2020). https://www.nytimes.com/2020/12/23/opinion/russia-united-states-hack.html