A múlt heti attak nem egyedi eset, de egy jól észlelhető trend része, melynek során a kiberbűnözők a védtelenebb régiós és helyi önkormányzatokat, kormányzati központokat támadják.
Ez a tendencia Magyarországot vagy az EU bármely más tagállamát is bármikor elérheti, hiszen az eddig feltárt kiváltó okok sajnos hiánytalanul fennállnak az Atlanti-óceántól keletre is. Ma Keleti Arthurral az Önkéntes Kibervédelmi Összefogás (KIBEV) elnökével folytatjuk az események és a felmerült kérdések vizsgálatát.
KA: Hogy pontosan ki áll egy-egy ilyen támadás hátterében azt nehéz megállapítani. A zsarolóvírusok és más kártevők esetén is azonban egyre gyakoribb a kiberbűnözői csoportok megjelenése, amelyek természetesen rendelkezhetnek állami hátterű támogatással is. Az Atlanta városa ellen intézett tavalyi zsarolóvírus támadás tetteseit az FBI iráni származású elkövetőkhöz és a SamSam vírushoz kötötte.
KA: A csoportban elkövetett kibertámadások esetében munkamegosztás van, mivel egy-egy ilyen művelet igényelhet különböző szakértelmet és eltérőek a munkafolyamatok is. New Orleans esetében például (a BleepingComputer és a hozzá beérkezett információk elemzése után) valószínűleg egy Ryuk zsarolóvírus családdal állunk szemben, ezek mögött pedig általában komolyabb információszerző tevékenységet végző csoport áll. Vagyis feltételezhető, hogy a támadók már korábban is a rendszerben jártak és onnan adatokat, információkat másoltak ki. Elképzelhető, hogy ezek az adatok már a feketepiacon vagy a darkneten eladásra is kerülnek.
KA: Külön érdekesség, hogy a zsarolóvírussal kapcsolatos részletesebb információt a kiberbiztonsági szakértők egy New Orleanshoz köthető adatcsomagból egy nyilvános vírusanalizáló rendszer adatainak elemzéséből fejtették meg. Ebből az is feltételezhető, hogy a város "Szerződések és Bevételek" nevű könyvtárát titkosította a vírus.
Továbbá valószínűsítik, hogy jelen lehetnek az Emotet and Trickbot nevű kórokozók is, amelyek a belső rendszerek manipulációjával állandó kapcsolatot tudnak létesíteni az elkövetők és a város számítógépei között. Így tudnak folyamatosan információhoz jutni a rosszindulatú hackerek valamint akár irányítani is tudják a város rendszereit. Ennek lehetett a folyománya az is, hogy a város a gépek és rendszerek lekapcsolása mellett döntött.
KA: Jó hír és egyben komoly tanulság is, hogy New Orleans nemrég éppen biztonsági megfontolásokból a pénzügyi rendszereit a felhőbe költöztette és ezért azok most nem érintettek a támadásban, a pénzügyi igazgató szerint pedig továbbra is teljes funkcionalitásukban működnek.
KA: A Ryuk zsarolóvírust a kutatók korábban Észak Koreához kötötték, mert a kódjában a Hermes zsarolóvirus nyomaira bukkantak, amit egy Taiwani bank támadása ellen használtak a komoly valószínűséggel Észak Koreához köthető elkövetők.
Sajnos azonban a "attribució" vagyis az elkövetőhöz kapcsolás a szakmánk egy legnehezebb és legillékonyabb területe, vagyis ezen ponton még nem lehetünk biztosak benne, hogy:
KA: Sajnos azt kell mondjam, hogy ilyen gyakorlata a legtöbb városnak nincsen, hasonló helyzetben nem tudnának ilyen összeszedetten cselekedni. De ugyanakkor az is igaz, hogy a számítógéprendszereik most nem használhatóak, amely a jelen okosodó városaiban nem opció.
A városoknak meg kell tanulniuk sokkal ellenállóbb rendszereket építeni és azokat pl. SOC központok segítségével biztonságosan üzemeltetniük.
KA: Meg kell jegyeznem, hogy a New Orleans-i vezetők sajtótájékoztatója sokkal összeszedettebb volt, mint például az Atlanta városvezetése által tartott. A megszólalók egyes területeken (pl. rendőrség, katasztrófavédelem, városi funkciók, pénzügyek stb.) külön-külön bemutatták, hogy hogyan dolgoznak most, milyen konkrét lépéseket tettek, milyen telefonszámokon lehet elérni őket valamint kérték a sajtó képviselőit a korrekt és informatív tájékoztatásra.
Látszik, hogy a városok tanulnak. Persze sajnos New Orleans tudja már, hogy miképpen kell krízisekben kommunikálni és megtanult papír alapon, kézi vezérlésű folyamatokkal is működni. Fontos kiemelni, hogy a kommunikációt is fent tudják tartani egy összetett mobiltelefon és rádiós rendszeren keresztül, amelyet éppen a katasztrófahelyzetek miatt üzemeltetnek.
(Kép: Unsplash)