Az Ukrajnában zajló „sokterű háború”, tehát az a modern, 21. századi küzdelem, amelyben a technológiailag fejlett hagyományos fegyverzetek (rakéta sorozatvetők, közepes hatótávolságú ballisztikus rakéták, nagy erejű páncélelhárító eszközök) mellett közvetlen háborús eszközként működnek a kibertér sokszor képlékeny fegyverei (rosszindulatú szoftverek, vagy hálózatok, számítógépek megbénítására szolgáló, informatikai alapú támadások), tehát ez a már így is kombinált harc további csapásmérő technológiákkal egészül ki. Miközben a hagyományos fegyverekkel végrehajtott hadműveletekben az elmúlt napokban nem történt jelentősebb elmozdulás, az információs harc eszközei (a korszerű IT eszközökkel előállított és terjesztett manipulatív, félrevezető, vagy megtévesztő „értesülések”) továbbra is a háború legfontosabb fegyvereinek látszanak. A több körben bevezetett gazdasági és pénzügyi szankciók (amelyeket a társadalmi és kulturális szféra szinte minden szegmensére kiterjedő korlátozások, tiltások kísérnek) szintén teljes súlyával látszik csatlakozni a hibrid fegyvertárhoz. Talán ez az a szelet, az a háborús domén, ahol a nyugat és Oroszország párharca a leginkább egyoldalú, ám a kezdetben elsöprő erejűnek látszó amerikai és európai szankciós intézkedésekre néhány váratlan orosz ellencsapás született az elmúlt héten. Összességében ez a furcsa háború, amely hivatalosan „korlátozott”, ám egyre inkább a világháborúk valamennyi fontos jegyét kezdi magán mutatni (amit jól illusztrál az is, hogy a nyugati szakértői és politikai körökben egyre-másra tűnik fel a „globális, totális háború” klasszifikáció a most folyó összecsapásra) változatlan hevességgel látszik folyni, és egyelőre nem látszik a diplomáciai áttörés esélye.
Ahogy a bevezetőben említettük, a fegyvernemek, vagy hadszínterek, még inkább talán konfliktus mezők között továbbra is a kibertér látszik a legcsendesebbnek. Persze, a zaj formálisan ezen a téren sem kicsi, sőt kifejezetten erőteljes a kiberfegyverek csörgése. A megfigyelő benyomása azonban csak erősödik az előző héthez képest is: az elmúlt években előre jelzett, várt, megjósolt „nagy támadás” továbbra sem csapott le a szemben álló felek informatikai rendszereire, polgári és katonai hálózataira, számítógépes köz- és magánszféráira. A kibervédelemmel foglakozó szakemberek, állami hivatalnokok veszélyérzete azonban jottányit sem csökkent, sőt. Ezen a ponton mi is álljunk meg egy figyelmeztetés erejéig: miközben a hagyományos fegyverzettel vívott küzdelem Ukrajna területére korlátozódik, a kombinált „totális háború” más hadszínterei elérik a nyugati világ nagy részét, sőt bizonyos mértékben a földgolyó egészét. A gazdasági szankciókról is tudott ma már, hogy kétélű fegyverek, ahogy az információs hadviselés is kifejezett célpontnak tekint olyan társadalmakat, közvéleményeket, amelyek a fizikai harcokból szerencsére kimaradnak. És, ha van olyan terület, ahol ennek a furcsa új „világháborúnak” a globális jellege ténylegesen megmutatkozik, az éppen a kiberdomén, a kibertér, amely bizonyos értelemben korlátok nélküli hadszínterévé vált ezeknek az összetűzéseknek. A nem kis mértékben Nyugat-Kelet, és tulajdonképpen Oroszország-USA hatalmi összecsapásban alapvetően érintett Egyesült Államok legfontosabb kibervédelmi koordináló szervezete, állami intézménye, a CISA (Cybersecurity and Infrastructure Security Agency) vezetője már az Ukrajna elleni fizikai támadással egy időben kiadta az ország valamennyi polgári (vállalati) felhasználójának szóló figyelmeztetést: Shileds up!, azaz Sisakrostélyt leengedni!! A szervezet tavaly kinevezett, energikus vezetője, Jen Easterly ugyanis nem rejtette véka alá, hogy miközben a kormányzati, illetve általában a közszférában a nagy zsarolóvírusos támadások tavalyi sokkja nyomán (hála egy egész sor gyorsan meghozott szervezeti-, jogszabályi és eljárásrendi átalakításnak és újításnak) jelentősen javult az informatikai rendszerek biztonsága, addig a magánszektor gyakorlatilag védtelen a professzionálisan megtervezett és kivitelezett, ellenséges állami szereplők (és szerződöttjeik) által esetlegesen indított támadásokkal szemben. Miközben tehát a szakma gyakorlati és tudományos szereplői közül egyre többen osztják azt a vélekedést, hogy a korábban feltételezett „nagy háború” a kibertérben aligha várható, inkább az ellenséget nyugtalanító, zaklató kisegítő támadások színtere lehet csupán a kibertér – a védelemért felelős állami vezetők (helyesen) a legrosszabb eshetőségre is igyekeznek felkészíteni a magánszektor valamennyi szereplőjét. Elsősorban természetesen azokat a vállalatokat, amelyek a társadalom működése szempontjából nélkülözhetetlen kritikus infrastruktúrákat működtetik.
A figyelmeztetések pedig, különböző amerikai állami szereplőktől, egyre-másra követik egymást az elmúlt napokban. Még az előző hét híre volt, hogy az FBI megszellőzette – éppen a kritikus infrastruktúra üzemeltetőknek címezve -, hogy szakemberei a nagy energiahálózatok rendszerei körül ólálkodó, puhatolózó hackereket azonosítottak. Az ilyen vállalatok tehát készüljenek egy lehetséges támadásra. A hír – ebben a formában – természetesen megmosolyogtató nonszensz. Több oknál fogva is. Egy plasztikus metaforát használva úgy mondhatnánk: a kibertámadás nem kurucportya! Tehát, ha valahol ténylegesen a rendszerek körülményeit, esetleges sérülékenységeit, behatolási pontjait kutató hackerek nyomára bukkantak volna, akkor az ilyen támadások nem holnap lennének várhatóak. Hanem jó néhány hónap, de inkább év múlva. Egy komoly támadás előkészítésének pontos lépéssora van, ami nagy felkészültséget, komoly technikai erőforrásokat, jelentős pénzügyi kereteket – és különösen sok-sok időt tételez fel. A sekélyes hollywoodi filmekben, a szobájuk félhomályában az otthoni számítógépük előtt gépelő „hackerek” (természetesen szigorúan a szemükbe húzott kapucnijú pulóverben) valóban pillanatok alatt „benn vannak” egy kiterjedt, sok rétegű, komoly biztonsági szervezet és szoftverrendszerek által védett idegen rendszerben. Az élet azonban szerencsére nem B-mozi. Az FBI figyelmeztetése azonban szokatlan, ez rendesen nem az ő reszortjuk.
Általában nem vagyunk hívei a spekulálgatásnak – van abból úgy is bőven a modern világ média tereiben. Ebben az esetben azonban egy feltételezés (a meglehetősen komoly vonzatai okán is) kínálja magát. 2020 decemberében ugyanis kipattant – ahogy akkor fogalmaztak – minden idők legkiterjedtebb legjelentősebb kiberkémkedési ügye. A SolarWinds akció során pedig a feltételezések szerint (egy szoftveres frissítés biztonsági réseit kihasználva) számítógépes rendszerek és hálózatok ezrei, ha nem tízezrei kompromittálódtak a világban. Köztük az amerikai közszféra, államigazgatás több tucatnyi fontos intézményének számítógépei. És az USA komoly magánvállalatainak jelentős szegmense is ebbe a körbe csúszott. Az attribúció jellemzően komoly nehézségei ellenére az amerikai biztonsági közösség vizsgálattal megbízott szervezetei (köztük a CIA, a NASA és a CISA mellett éppen az FBI) orosz állami kiberaktorokat azonosítottak a kiterjedt akció elkövetőiként. Az ügy nyomán elnöki rendeletek, belső utasítások, eljárási szabályok egész sora született a hasonló vészhelyzetek minimalizálására. Természetesen azonnal megkezdődött a kármentés, tehát a rendszerek átvizsgálása, a behatolás és kémkedés eszközeinek, eljárásainak pontos feltérképezése, a sérülések befoltozása, a kártevők eltávolítása, a rendszerek teljes szanitizálása. A szakma már akkor megjegyezte: ez hosszú hónapokat, de inkább éveket igénybe vevő folyamat lesz (és nyilván nem is derül majd fény minden behatolásra). Addig pedig a kompromittált rendszerekben ott ketyeg egy időzített bomba. Ami például éppen olyan pillanatokra várhat, mint ez a mostani.
A kiberbiztonsági igazgatás aggodalmát jól mutatja, hogy a vállalatoknak kiadott figyelmeztetés mellé a múlt hét végén újabb figyelemfelkeltő akció társult. Az amerikai Igazságügyi Minisztérium két vádiratot hozott nyilvánosságra, amelyek ez elmúlt években születtek, kibertámadásokkal összefüggésben. Mindkét esetben orosz állami aktorok szerepeltek az azonosított elkövetők sorában. Az első ügyben, amelyben 2021-ben született meg a vádirat, az orosz belső elhárítás, az FSzB embereit gyanúsították meg azzal, hogy a hírhedt Berserk Bear (Vad Medve) hackercsoport tagjaiként vettek részt támadásokban. A Dragonfly 2.0 néven (illetve Havex néven is) ismert csoport a világ több pontján intézett – az amerikai igazságügyi szervek szerint – támadásokat, jellemzően kritikus infrastruktúra üzemeltetők ellen.
Az ott vádba fogott három hírszerző tiszt azonban még csupán a kezdet ebben a mostani figyelemfelkeltő kampányban. A második most közzétett vádirat ugyanis egy sokkal veszélyesebb ügyre irányítja a figyelmet. A szintén tavaly nyáron megszületett jogi dokumentáció szerint a Triton csoport (más néven Trisis, vagy megint máskor Xenotime), amely ugyancsak az orosz hírszerző szervezetek hadműveleti alkalmazottaiból verbuválódott, nem egyszerűen kritikus infrastruktúra (az esetükben főleg energia hálózatok) üzemeltetőit vette célba. Ez a hacker csapat sikerrel szabotálta a szaúdi Petro Rebigh olajfinomító működését, még 2017-ben. A két – meglehetősen sok konkrétumot is tartalmazó – dokumentum nyilvánosságra hozatalával egyértelműen az lehetett az amerikai hatóságok célja, hogy valóságos súlyt adjanak az előző napokban kiadott figyelmeztetésüknek. A Triton csoport ugyanis jelenleg is aktív, és állandó fenyegetést jelent elsősorban az energia szektor intézményeire.
És ez még nem minden. Egyik figyelemfelkeltő akció a másikat érte, ugyanis a CISA (meglehetősen szokatlan, sőt, a mai világban talán kicsit ódivatú) módszerrel, az elmúlt héten végighívott mintegy 13 000 olyan vállalatot, amelyek a legfontosabb kritikus infrastruktúra rendszerek tulajdonosai, vagy üzemeltetői. A háromórás (!) tájékoztató során részletesen ismertették a szektorban működőkre leselkedő kiberfenyegetéseket, bemutatták a védekezés lehetséges és kívánatos lépéseit, eljárásait, az alkalmazandó eszközöket. A rögzített telefonos szövegben (amelyben a CISA helyettes vezetője mellett az FBI kiberbiztonsággal foglalkozó ágazatvezetője is megszólalt) az energiaszektor kitettsége mellett külön is említették a műholdas cégek fokozott veszélyeztetettségét.
A biztonságért felelős állami tisztviselők álláspontja nyilvánvaló: amíg a fegyveres küzdelmek tartanak, addig bármikor lehet számítani a kibertérben tett oldalcsapásra is. A pesszimistábbak szerint akár később is.
Feds allege destructive Russian hackers targated US oil refineries; Andy Greenberg; ArsTechnica; 2022. március 27.
FBI, CISA advise 13000 org to have low treshold for reporting cyberattacks; Jonathan Greig; The Record; 2022. március 23.
Shields Up!; CISA; 2022. március
Írta: dr. Nyáry Gábor
