A világ kiberbiztonsági szakértőit, és immár az idei év jelentős volumenű kibertámadásai nyomán a nagypolitika formálóit is kiemelten aggasztó zsarolóvírus-probléma a héten „bekopogtatott” a mi világunkba is. A szakemberek az ilyen támadások koncepcionális alapjait, valamint a napvilágra került akciók trendjeit elemezve éppen ezt hangsúlyozták az év kezdete óta: bár a téli és tavaszi szezon látványos támadásai (elsőként persze az amerikai Colonial energiahálózat, majd néhány bankhálózat, később egy jelentősebb élelmiszeripari multi kiberzsarolása) az erőcsoportjában is az élen álló USA közvéleményét rázták meg a legjobban, ez a támadásfajta szinte bizonyosan eléri a globalizált világ minden jelentősebb gazdaságát és társadalmát. Ennek következtében a zsarolóvírusok terjedése nem csupán abban az értelemben tekinthető geopolitikai fenyegetésnek, hogy a világ gazdasági és politikai-katonai dominanciájáért küzdő nagyok vetélkedésében jelenik meg egyfajta „hibrid” fegyverként, de azt is jelenti ez, hogy – részben az ellátási láncok végtelen és összefüggő fonalán keresztül – az ilyen akciók gyorsan végiggyűrűznek a Föld egészén, veszélyeztetve lényegében az egész világrend normális működési rendjét is.
Az elmúlt héten ugyanis (pontosabban, az erre utaló legelső híradások már a megelőző vasárnapon felbukkantak a kiberbiztonsági riasztási rendszerekben) egy súlyosságát tekintve is jelentősnek látszó támadás érte a nemzetközi MediaMarkt áruházlánc informatikai rendszereit. A védelemért felelős személyek a Hive-csoportként ismert, a világban már számos sikeresen kivitelezett kibertámadásban alkalmazott zsarolóeszköz csomagot nevezték meg a mostani zsarolóvírusos támadás „fegyvereként”. A Hive néven klasszifikált zsarolóvírus 2021 nyarának „sztárja” lett: júniusban robbant be a hírekbe azzal, hogy az amerikai Memorial Health Systems nevű szolgáltató által működtetett kórházak szervereit támadta meg, elsősorban Nyugat-Virginia és Ohió államok területén. Bizonyos értelemben már a célpont is megkülönböztette ezt az akciót a korábbi trendektől: bár eddig sem volt ismeretlen az egészségügy informatikai veszélyeztetése (a koronavírus világjárvánnyal párhuzamosan például hamarosan megjelentek a gyógyszerkutató laboratóriumok, de később a páciensek tényleges kezelését, ellátását végző intézmények elleni támadások is), a zsarolóvírusos kiberbűnözői közeg egy részében mindeddig érvényesült egyfajta zsiványbecsületként az, hogy a társadalmak működésében kulcsfontosságú egyes alrendszerektől távol tartották magukat.
Az ilyen attitűd mögött azonban – a vélt romantikus mozgatórugók helyett – nyilván racionális megfon tolások álltak. A zsarolóvírusos támadásokra szakosodott bűnözői csoportok (nyugodtan nevezhetjük egyébként immár bűnözői iparágnak is ezt a területet) egyik legfontosabb jellemzője a magas szintű professzionizmus. A kiberbiztonsággal foglalkozó elemzők határozottan és egybehangzóan állítják: a zsarolóvírusos támadásokért az esetek túlnyomó részben magasan képzett, jelentős információtechnológiai szakismerettel és tapasztalatokkal rendelkező, ráadásul szakszerűen megszervezett és működtetett csoportok (esetleg afféle bűnözői társulások) állnak. A zsarolóvírus fenyegetése részben ebből fakad: ez nem a kisstílű bűnözők terepe, akikkel a védelmi rendszerek felelősei, illetve a bűnüldözés kiberrészlegei könnyen elbánhatnak. A szervezettség és szakszerűség egyik fontos jeleként jól érzékelhető, hogy az egyes csoportok szoros figyelemmel kísérik a világban indított hasonló akciók lefolyását. Ez a felderítési tevékenység azt is jelenti, hogy az ellenakciók figyelembe vételével tervezik a jövendő támadásokat, ami nyilván felöleli a célpontok kiválasztását is. Sőt, nyugodtan kijelenthető, hogy a szakmailag magasan képzett bűnözői csoportok által indított kiberakcióknál (akár csak az állami intézményekhez kapcsolódó kiberaktorok esetében) a célpontok gondos azonosítása, kiválasztása, előzetes felderítése különösen nagy hangsúlyt kap. Ennek során tehát megfontolják nyilván azt is, hogy az ellenfél (a kiberbiztonsági védelmi szektor, de főleg a kiberügyekre szakosodott állami jogérvényesítő szervezetek) milyen területeket tekintenek különösen érzékenynek, ami azt jelenti, hogy az ilyen szektorokat érő támadások elhárítására, a mögöttük álló bűnözői csoportok felfedésére, semlegesítésére koncentrált erőfeszítéseket fordítanak, és ez adott esetben egy ország jelentős bűnüldöző kapacitásainak „kihívását” jelenti. A támadó csoportok nyilván szeretnék elkerülni, hogy ilyen koncentrált ellencsapásokkal kelljen szembe nézniük, hiszen ez nyilvánvalóan veszélyeztetné a zsaroló akció sikerét. A helyzet (mondhatni, a bűnözői műfaj) paradoxona azonban éppen ez: a támadási profil egyre növekvő népszerűségét is tulajdonképpen az okozza, hogy a modern társadalmak működéséhez szükséges alapvető intézmények, tehát a tulajdonképpeni társadalmi infrastruktúra fenyegetése jelenthet olyan érzékeny pontot, ami szinte habozás nélkül a zsarolók követelésének teljesítésére ösztönzi a megtámadott intézményeket. Inkább, minthogy a társadalmak működésében kulcsfontosságú adatok elvesztését (vagy akár időleges elérhetetlenségét) kockáztassák. A jelentős szereplőként elkönyvelhető aktorok vélhetően alapos felderítés után, gondos elemzéssel mérlegelik, hogy kire csapjanak le legközelebbi akciójukkal.
Szakemberek a zsarolóvírus-járvány terjedésével, a támadás típus veszélyességét elemezve szinte mindig kiemelik: az alkalmazott kiberfegyverek egy része az Internet sötét zugaiban relatíve könnyen megszerezhetők (megvásárolhatók, sőt, hovatovább esetleg bérbe vehetők), illetve relatíve kevés szakismerettel egyediesíthetők, az adott akció specifikumaihoz igazíthatók. Ez a jelleg mindenképpen a zsarolóvírus-alapú kiberbűnözés egyfajta „demokratizálódásához” vezet, ami az ilyen fenyegetések számának exponenciális üzemű növekedését eredményezheti. Technikai értelemben egyébként az is jelentősen segíti az ilyen akciók rohamos terjedését, hogy egyfajta „diszkrét háttérbűn cselekményként”, tulajdonképpen nagyobb hírverés nélkül is lebonyolíthatók (amikor persze a bűnözőknek ez a kiválasztott érdeke). Az elmúlt évek eseteinek elemzése jól mutatja, hogy a megtámadott intézmények egy része inkább csendben megegyezik a támadókkal, ezzel elkerülve a nyilvános társadalmi bizalom- és hitelvesztést. Nem véletlen: a leginkább érintett országok politikai körei, elsősorban az Egyesült Államok kormányzata részben az ilyen támadások kötelező nyilvánosságával (a megtámadott cégeket terhelő bejelentési kötelezettséggel) szeretné meg nehezíteni a bűnözök dolgát. A bűncselekmény típus technikájának része továbbá az is, hogy az akció realizálása (a váltságdíj megszerzése) valamilyen elektronikus rendszerben (kriptovaluta formájában) történik, ami jelentősen megnehezíti az elkövetők felderítését. Az igazság azonban az, hogy a célpontok jellege (az érzékeny társadalmi infrastruktúra támadása) jelenti a zsarolóvírusos támadásmód legnagyobb fenyegetését. E bűncselekmény kategória rohamos terjedése a modern társadalmak pilléreit rendítheti meg.
A MediaMarkt elleni mostani támadás nagyon gyorsan végiggyűrűzött a nemzetközi kiskereskedelmi áruházlánc szinte teljes struktúráján. A támadást jól láthatóan elérte az összesen 13 országban jelen lévő vállalat szinte minden érdekeltségét, bár hatása eltérő volt. Egyes nemzeti cégeik lényegében hírt sem adtak az akcióról, esetleg csupán technikai nehézségekkel magyarázták online rendszereik akadozását, máshol azonban jelentős módon érintette az akció az egyes weboldalak működését. A magyarországi webshop volt az egyetlen, amelyet egy időre teljesen lekapcsoltak az üzemeltetők. Ez nyilvánvalóan súlyosan érintette a vevőszolgálati folyamatokat (például a garanciális ügyek intézését, esetleges áruvisszaváltásokat stb.) A kibertámadás természetesen nem hagyta érintetlenül a rendelés feldolgozó rendszereket sem, ami a támadást megelőzően rögzített és akár már visszaigazolt rendelések feldolgozását is megakasztotta. Ez – ha tekintetbe vesszük, hogy a nagy leárazások időszakában vagyunk, a MediaMarktnál éppen az ilyen kedvezmény-akció végére esett a támadás kezdete – akkor könnyű belátni, hogy az online vírus jelentősen megakasztotta az üzleti forgalmat. Nem véletlenül a nagy veszteségekkel fenyegető forgalomkieséshez méretezték a támadók a váltságdíjat: az első hírek szerint gigantikus, 240 millió dolláros összeget követeltek a rendszerek feloldásáért cserébe, ám ezt (a zsarolóvírusos támadások szokványos koreográfiájának megfelelően) nagyon hamar a töredékére csökkentették a tárgyalások első szakaszában.
A Hive zsarolóeszköz-család egyébként – összevetve más, primitívebb szoftveres zsarolóeszközökkel, amelyek a lehető legtöbb érintett rendszerrész gyors zárolására törekednek – ez a zsarolófegyver sokkal kifinomultabb, agyafúrtabb. Egyfajta kétlépcsős zsarolás keretében igyekszik maximalizálni a bűnözők kezében összpontosuló adukat – hiszen a zsarolóvírusos támadások célja a tárgyalás, és a váltságdíj kikényszerítése. A Hive első lépcsőben lementi a megtámadott rendszer értékes adatkészleteinek egy részét, majd csak ezután zárolja az érintett rendszereket. Így tulajdonképpen a későbbi alkuhoz biztosítanak maguknak hathatós eszközkészletet a bűnözők.
A védekezés esélyeiről gondolkodva érdemes szem előtt tartani: a Hive, minden szofisztikáltsága ellenére, a legközönségesebb, szinte már minden civil felhasználó előtt is jól ismert phishing akcióval indít, és egy ártatlannak tűnő, de azért elgondolkodtató e-mail üzenettel kopogtat be a kiválasztott célpontokhoz.
A MediaMarkt magyar webhelye egyébként azóta újra online és üzemel.
Forások:
Frissítve: Kibertámadás miatt áll a MediaMarkt weboldala; Koi Tamás; HWSW.hu; 2021. november 9.
Hive Ransomware: Actively Targeting Hospitals; Gustavo Palazolo; Netskope; 2021. szeptember 10.
Hive Ransomware: How to Limit its Sting and Protect Your Organization; Raghu Nandakumara; Illumio; 2021. szeptember 29.
Hospitals hamstrung by ransomware are turning away patients; Dan Goodin; Ars Technica; 2021. augusztus 16.
Az ismertetés dr. Nyáry Gábor munkája.