Karácsonyi kibertámadás New Orleans: a szakértő válaszol
2019 / 12 / 18 / justin.viktor
Karácsonyi kibertámadás New Orleans: a szakértő válaszol
Tegnap részletesen beszámoltunk a New Orleans városát ért kibertámadásról, és mindarról, amit eddig tudni lehet róla. Ma Keleti Arthur az Önkéntes Kibervédelmi Összefogás elnöke gondolataival folytatjuk az események és a felmerült kérdések vizsgálatát.

A múlt heti attak nem egyedi eset, de egy jól észlelhető trend része, melynek során a kiberbűnözők a védtelenebb régiós és helyi önkormányzatokat, kormányzati központokat támadják.

Ez a tendencia Magyarországot vagy az EU bármely más tagállamát is bármikor elérheti, hiszen az eddig feltárt kiváltó okok sajnos hiánytalanul fennállnak az Atlanti-óceántól keletre is.  Ma Keleti Arthurral az Önkéntes Kibervédelmi Összefogás (KIBEV) elnökével folytatjuk az események és a felmerült kérdések vizsgálatát.

Rakéta: Ki/kik állhatnak a New Orleanst sújtó kibertámadás mögött?

KA: Hogy pontosan ki áll egy-egy ilyen támadás hátterében azt nehéz megállapítani. A zsarolóvírusok és más kártevők esetén is azonban egyre gyakoribb a kiberbűnözői csoportok megjelenése, amelyek természetesen rendelkezhetnek állami hátterű támogatással is. Az Atlanta városa ellen intézett tavalyi zsarolóvírus támadás tetteseit az FBI iráni származású elkövetőkhöz és a SamSam vírushoz kötötte.

Rakéta: Milyen eszközöket használhattak az elkövetők a támadás során?

KA: A csoportban elkövetett kibertámadások esetében munkamegosztás van, mivel egy-egy ilyen művelet igényelhet különböző szakértelmet és eltérőek a munkafolyamatok is. New Orleans esetében például (a BleepingComputer és a hozzá beérkezett információk elemzése után) valószínűleg egy Ryuk zsarolóvírus családdal állunk szemben, ezek mögött pedig általában komolyabb információszerző tevékenységet végző csoport áll. Vagyis feltételezhető, hogy a támadók már korábban is a rendszerben jártak és onnan adatokat, információkat másoltak ki. Elképzelhető, hogy ezek az adatok már a feketepiacon vagy a darkneten eladásra is kerülnek.

Rakéta: Hogyan dolgoznak az elkövetők, miképp támadnak meg egy egész várost?

KA: Külön érdekesség, hogy a zsarolóvírussal kapcsolatos részletesebb információt a kiberbiztonsági szakértők egy New Orleanshoz köthető adatcsomagból egy nyilvános vírusanalizáló rendszer adatainak elemzéséből fejtették meg. Ebből az is feltételezhető, hogy a város "Szerződések és Bevételek" nevű könyvtárát titkosította a vírus.

Továbbá valószínűsítik, hogy jelen lehetnek az Emotet and Trickbot nevű kórokozók is, amelyek a belső rendszerek manipulációjával állandó kapcsolatot tudnak létesíteni az elkövetők és a város számítógépei között. Így tudnak folyamatosan információhoz jutni a rosszindulatú hackerek valamint akár irányítani is tudják a város rendszereit. Ennek lehetett a folyománya az is, hogy a város a gépek és rendszerek lekapcsolása mellett döntött.

Rakéta: Mi segített New Orleansban az igazi katasztrófa elkerülésében?

KA: Jó hír és egyben komoly tanulság is, hogy New Orleans nemrég éppen biztonsági megfontolásokból a pénzügyi rendszereit a felhőbe költöztette és ezért azok most nem érintettek a támadásban, a pénzügyi igazgató szerint pedig továbbra is teljes funkcionalitásukban működnek.

Rakéta: A támadáshoz használt, azonosított eszközökből lehet következtetni az elkövetők személyére?

KA: A Ryuk zsarolóvírust a kutatók korábban Észak Koreához kötötték, mert a kódjában a Hermes zsarolóvirus nyomaira bukkantak, amit egy Taiwani bank támadása ellen használtak a komoly valószínűséggel Észak Koreához köthető elkövetők.

Sajnos azonban a "attribució" vagyis az elkövetőhöz kapcsolás a szakmánk egy legnehezebb és legillékonyabb területe, vagyis ezen ponton még nem lehetünk biztosak benne, hogy:

  1. Állami támogatás van-e a háttérben (pl. szabotázs, megfélemlítés, tesztelés, destabilizáció vagy információszerzés)
  2. Az elkövetők melyik országhoz vagy bűnözői csoporthoz köthetőek
  3. Mit kezdenek a már valószínűleg megszerzett pénzügyi és egyéb adatokkal.

Rakéta: Másoknak is reményt adhat New Orleans helytállása?

KA: Sajnos azt kell mondjam, hogy ilyen gyakorlata a legtöbb városnak nincsen, hasonló helyzetben nem tudnának ilyen összeszedetten cselekedni. De ugyanakkor az is igaz, hogy a számítógéprendszereik most nem használhatóak, amely a jelen okosodó városaiban nem opció.

A városoknak meg kell tanulniuk sokkal ellenállóbb rendszereket építeni és azokat pl. SOC központok segítségével biztonságosan üzemeltetniük.

Rakéta: Szakértőként mit emelnél ki New Orleans vezetőinek tevékenységéből, ami pozitív példaként egyfajta best practice-ként szolgálhat adott esetben a hasonló helyzetbe kerülő vezetők számára?

KA: Meg kell jegyeznem, hogy a New Orleans-i vezetők sajtótájékoztatója sokkal összeszedettebb volt, mint például az Atlanta városvezetése által tartott. A megszólalók egyes területeken (pl. rendőrség, katasztrófavédelem, városi funkciók, pénzügyek stb.) külön-külön bemutatták, hogy hogyan dolgoznak most, milyen konkrét lépéseket tettek, milyen telefonszámokon lehet elérni őket  valamint kérték a sajtó képviselőit a korrekt és informatív tájékoztatásra.

Látszik, hogy a városok tanulnak. Persze sajnos New Orleans tudja már, hogy miképpen kell krízisekben kommunikálni és megtanult papír alapon, kézi vezérlésű folyamatokkal is működni. Fontos kiemelni, hogy a kommunikációt is fent tudják tartani egy összetett mobiltelefon és rádiós rendszeren keresztül, amelyet éppen a katasztrófahelyzetek miatt üzemeltetnek.

(Kép: Unsplash)


Ezek is érdekelhetnek

Hírlevél feliratkozás

Ne maradj le a jövőről! Iratkozz fel a hírlevelünkre, és minden héten elküldjük neked a legfrissebb és legérdekesebb híreket a technológia és a tudomány világából.