Szerdán számoltunk be róla, hogy a 168 Óra értesülése szerint nulláról kénytelen újjászervezni adminisztrációját a Magyar Fejlesztési Központ, miután júliusban egy hackertámadás megsemmisítette a teljes digitális adatbázisát. A portál informátorának elmondása alapján a 2014 óta működő kormányzati szervnél azt a szervert érte észak-koreai eredetű támadás, amin a teljes hivatali dokumentációt, a szerződéseket, a számlákat, a vállalati szoftvereket tárolták, ezt pedig a Magyar Rögbi Szövetség is megerősítette érintettként. A sportszövetség adatait ugyanis szintén a központ szerverein tárolták, azaz ők is elvesztették dokumentumaik jelentős részét.
A külügyminisztérium annyiban cáfolta a hírt, hogy bár a központot tényleg kibertámadás érte, „a korai és szakszerű beavatkozásnak köszönhetően a cég adatállománya nem veszett el”, és adatszivárgás sem történt, a hivatal offline hozzáférhető biztonsági mentései is megvannak. A hatályos rendelkezések alapján eljárva a vírustámadás észlelése után azonnal leállították rendszereiket. A Népszava szerdai cikkében már arról ír, hogy az MFK honlapjára rövid időre egy részletesebb magyarázat is felkerült, de ez a nyilatkozat már nem elérhető. Eszerint az MFK szerverét július 10-én éjjel támadta meg a Dharma nevű zsarolóvírus egy típusa.
Az eset kapcsán két, névtelenségét kérő kiberbiztonsági szakértőt kérdeztünk, hogy általánosságban miként és miért eshet zsarolóvírusos támadás áldozatává egy kormányzati szervezet, és milyen lehetőségei vannak a probléma kezelésére.
Mire képes egy zsarolóvírus?
A zsarolóvírus (ransomware) lényege, hogy zárolja a számítógépeken található dokumentumokat, így az áldozat nem tudja használni az eszközt és nem fér hozzá fájljaihoz. A támadásért felelős kiberbűnöző a feloldásért cserébe váltságdíjat követel, jellemzően bitcoinban. A titkosított, lekódolt fájlok csak akkor fejthetők vissza és férhetők hozzá ismét, ha megvan a dekódolást végző feloldókulcs. Tehát fizikailag még ott vannak az adathordozókon, de nem lehet hozzájuk férni.
A Dharma néven emlegetett ransomware-t 2016 novemberében fedeztek fel a kutatók, és azóta a legelterjedtebb kártevő, rengeteg módosult változattal. Azt nem tudni, hogy eredetileg kik készítették. Mivel rengeteg változata van, ezért előfordulhat, hogy a naprakész szoftverek sem tudják felismerni az egyes variánsokat.
Mit lehet tenni, ha megtörtént a baj?
Szakértőink szerint a váltságdíj megfizetése nélkül, külső segítséggel az adatok feloldása nem lehetséges, mert a mai fejlett kártevők olyan erős titkosítást használnak, hogy nincs annyi számítási kapacitás és nincs meg az eljárás, amivel ez megkerülhető lenne. Hozzá kell tenni: a kért váltságdíj kifizetése után sem biztos, hogy a kiberbűnözők teljesítik az ígéretüket, és elküldik az ígért feloldókulcsot, ezért általában nem javasolják, hogy a kért összeget elutalja a kétségbeesett károsult.
A másolatokat a bűnözők nem tudják megtámadni, mert nem csatlakoznak a netre, ideális esetben páncélszekrényben vannak elrejtve, akár teljesen másik épületben, helyen. Előírás továbbá, hogy a másolatokat tartalmazó meghajtók csak akkor legyenek felcsatolva, amikor a mentés készül. Így egy támadás esetén a vezetés által jóváhagyott dátumra visszaállíthatók a fájlok, de az már üzleti döntés, hogy milyen rendszerességgel készítenek másolatokat, nem az üzemeltetőké.
Az észak-koreaiak küldték?
A 168 Óra úgy értesült, hogy észak-koreai eredetű volt a hackertámadás, csütörtökön Szijjártó Péter külügyminiszter is ezt az országot nevezte meg.
Magyarország nem célpont, és a támadás sem jelent akkora csapást, hogy ebből hasznuk legyen a támadóknak. Másrészt az államok által szponzorált kibertámadások célja jellemzően az, hogy láthatatlanul kémkedhessenek, szerezzenek információkat más országok adatállományában rejtőzve. Pusztán törlés céljával nincs értelme a támadásnak, az elkövetők inkább ellopják az adatokat és zsarolják az áldozatot, haszon reményében. Ettől függetlenül lehetséges, hogy egy észak-koreai csoport indította a fertőzést haszonszerzési céllal, de a politikai motiváció nem reális a szakértők szerint.
Hogyan juthattak be a rendszerbe?
Ahogy szakértőnk is folytatta gondolatmenetét, a célzott támadás helyett az tűnik a legvalószínűbbnek, hogy a támadók az úgynevezett géppuskamódszert alkalmazták. Ez azt jelenti, hogy a vírus fertőzött honlapokról próbál bejutni eszközökre, és bárhol „elsülhet”, ahol sérülékenység van a rendszeren – nem válogat, hogy szervezetről van szó vagy egy magánember gépéről.
Hogy a kártevő bejusson a rendszerbe, ahhoz elég egyetlen belsős alkalmazott, akit manipulatív e-maillel vesznek rá arra, hogy kattintson fertőző oldalra, vagy töltsön le kártékony tartalmat, ehhez elég akár egy chatüzenet. Amint ez megtörténik, a kártevő elkezd terjedni a hálózaton megfelelő védelem hiányában. Ez megelőzhető azzal, ha a cégnél hatékonyan szűrik az olyan URL-címeket, amik veszélyt jelenthetnek, és ha kellően naprakész a vírusvédelem.
Általánosságban kijelenthető, hogy ha vírus fertőzte meg a rendszert (legyen az kormányzati szervé, cégé vagy átlagfelhasználóé), annak az oka valamilyen hanyagság, általában emberi, vagy üzemeltetői oldalról.
Szakértőnk elmondása szerint ügyfelei közt sok olyan nagyobb céget tudna említeni, akik váltak már ilyen típusú támadás áldozatává, bárkivel megeshet a dolog és naponta több magyar cég is szembesül a problémával. Általánosságban nem lehet kijelenteni, hogy a fertőzés kizárólag a napi üzemeltetés hibája lenne. A vírusokat ráadásul csak akkor lehet azonosítani, ha már bekerültek az antivírus-megoldások adatbázisába, így a még fel nem fedezett, fejlett kártevőket különösebb mulasztás vagy hanyagság nélkül is észrevétlenül a hálózatra juthatnak.
Amennyiben a szervezet vírusvédelme felismeri a kártevőt, akkor még időben el tudják kapni a folyamat elején. Ha az üzemeltetők arra lesznek figyelmesek, hogy átneveződnek és zárolódnak a fájlok, akkor már csak arra van lehetőség, hogy izolálják a kártevőt a hálózaton, miután kiderítették, hogy hol tart, melyik kiszolgálón vagy munkaállomáson halad. Ebben az esetben még sikeresen szeparálható és megmenthető az adatok egy része.
Hogyan tűnik el az adat, ha nem zsarolóvírus?
Szakértőinkkel alternatív forgatókönyveket is boncolgattunk, hogyan tűnhetnek el adatok ilyen nagy mennyiségben, ha nem zsarolóvírus tesz azokat hozzáférhetetlenné. Ha ezt a lehetőséget kizárjuk, elképzelhető, hogy egy adminjoggal rendelkező személy, akinek teljes körű hozzáférése és jogosultsága van a hálózati eszközökhöz, maga törölte a dokumentumokat. Emögött a személyes bosszú motivációja húzódhat, de az ilyen esetek rendkívül ritkák és nem jellemzők, ugyanis még az adminisztrátor sem tudja maga után eltüntetni a nyomokat.
A másik lehetőség, hogy maguk a hardvereszközök nem korszerűek, valamilyen üzemeltetési hiba, karbantartási elmaradások okozzák az adatvesztést. Ahogy egyik szakértőnk kiemelte, a folyamat nem csak az üzemeltetésnél csúszhat el, már beszállítói szinten alaposan meg kell vizsgálni, hogy milyen eszközökkel dolgozik a cég, milyen a hálózati kapcsolat, a felépült struktúra, kellően korszerű-e a berendezés.