A SolarWinds-ügyként, illetve Sunburst/Solorigate kódnevű incidensként is emlegetett támadás több okból tartja lázban a kiberbiztonsági szakembereket. Egy internetes beszélgetés keretében Dr. Krasznay Csaba, a Nemzeti Közszolgálati Egyetem Kiberbiztonsági Kutatóintézetének vezetője Nemes Dániellel, a FireEye magyarországi forgalmazását bonyolító Biztributor elnökével boncolgatta az eset hátterét.
Krasznay szerint már most kijelenthető, hogy a támadás olyan mérföldkövet, fordulópontot jelent a kiberbiztonság történetében, mint amilyet a WannaCry zsarolóvírus 2016-os elterjedése, vagy a kétezres évek végén nagy riadalmat okozó, ipari folyamatirányító rendszerek ellen kifejlesztett Stuxnet féreg jelentett. Szinte napról napra derülnek ki újabb információk a támadásról. Ennek ellenére bőven vannak még válaszra váró kérdések, egyebek mellett az, hogy mi lehetett a támadók eredeti célja, miért hajtották végre a nagyszabású akciót.
Hogyan történt a betörés?
Az esetre úgy derült fény, hogy az amerikai kormányzat egyik legfőbb kibervédelmi partnere, a FireEye biztonsági cég december nyolcadikán jelentette, hogy támadást észlelt saját hálózatának azon részén, ahol a szakembereik támadásokat szimulálnak az ügyfeleik biztonságának tesztelésére. A cég több célból is végez támadásokat: ügyfelek hálózatait vizsgálják, hogy azok kellően biztonságosak-e, vagy ha valakit már támadás ért, akkor azt utánozni tudják, így vonva le hasznos következtetéseket. Erre a területre jutottak be azok a feltételezhetően titkosszolgálati támadók, akik aztán ellopták a FireEye által fejlesztett támadófegyvereket (Red Team Tools). Így sikerült a biztonsági szakembereknek visszavezetniük a támadást SolarWinds nevű szoftverhez, aminek az egyik sérülékenységét használták ki a – feltételezhetően orosz – kiberbűnözők, ezen keresztül férkőztek be a megtámadott cégekhez és az amerikai kormányhoz.
A FireEye eszközei arra adnak lehetőséget, hogy a már ismert sérülékenységeket új módokon, gyorsabban használhassanak ki a támadók. A FireEye annak érdekében, hogy megvédje a közösséget, a közleménnyel egyidejűleg megosztotta a saját fegyverei ellen fejlesztett védekező kódokat is. Nemes kiemelte: ez hősies gesztus volt a cég részéről, és sikerként könyvelhető el, hogy a világon elsőként és gyorsan fedezték fel a rendkívül fejlett támadást.
Kik érintettek?
Az amerikai kormányt is a SolarWinds nevű szolgáltató Orion nevű szoftverén keresztül támadták meg. A SolarWinds ügyfelei között megtalálható 425 Fortune 500-as cég, köztük a legnagyobb könyvvizsgálók, védelmi ipari cégek, a Cisco, az Eriscsson, a Microsoft, a Federal Express, a Comcast, továbbá olyan kormányzati és nemzetvédelmi szereplők, mint az amerikai elnöki hivatal, a pénzügyminisztérium, a kibervédelem, sőt a hadsereg is. A támadók 18 ezer Orion-felhasználóhoz szerezhettek hozzáférést, és legalább 40 olyan támadási célpont volt, amelynél a sebezhetőséget aktívan ki is használták.
A hackerek az Orion szoftverek frissítésébe ágyaztak be egy olyan hátsó ajtót (backdoor), ami képes kommunikálni internettel, és azon keresztül a támadókkal. Így végül a Sunburst/Solorigate névre keresztelt malware-rel ellátott csomagok a rendszeres frissítési csatornákon keresztül jutottak el az ügyfelekhez. A szakértők eddigi tudása szerint márciustól jelentek meg azok a frissítések, amik tartalmazták a sebezhetőséget, és
Nemes megjegyezte, hogy a SolarWinds mintegy 300 ezer Oriont használó ügyfeléből mindössze 18 ezren töltötték le a Sunburst malware-rel megfertőzött verziót. Ez rávilágít arra is, hogy sokan nem frissítenek. A szakértők ezzel kapcsolatban megjegyezték, hogy ettől függetlenül érvényben van az a szabály, hogy érdemes folyamatosan frissíteni, hiszen sokkal több pozitív hozománya van a naprakész szoftvereknek, mint amennyi potenciális kockázatot jelenthetnek.
Az érintettekkel kapcsolatban vélhetően újabb fejlemények várhatók a következő hetekben. Az amerikai kormány mellett eddig főleg telekommunikációs, informatikai, energetikai cégekről tudni, hogy megtámadták őket. Krasznay feltételezi, hogy bőven vannak még rejtett történetek, így a szakértők kíváncsiak, mik kerülnek nyilvánosságra a jövőben. Egyelőre csak megbecsülni lehet a támadás kiterjedtséget, arról is csak pár napja érkeztek információk, hogy nemcsak amerikai szervezetek érintettek, hanem más országok ügyfelei is. Nemes nem zárja ki azt sem, hogy a támadók célja további támadási vektorok, lehetőségek felderítése lehetett. Erre utalhat az is, hogy az állami szereplők mellett a célpontok nagy része IT biztonsági cég.
A Microsoft az elmúlt napokban közölte, hogy eddig több mint negyven olyan ügyfelét azonosította, amelynek a rendszerébe behatolhattak a hackerek. Az amerikaiakon kívül kanadai, mexikói, belga, spanyol, brit, izraeli és egyesült arab emírségekbeli érintettek vannak. Több mint 44 százalékuk az IT-szektorban tevékenykedik, 18 százalék kormányzati szereplő.
December 22-én jelentek meg hírek arról, hogy mely szervezetekhez juthattak el a problémás Orion-verziók, több biztonsági szakértő is közzétett listákat, melyek mintegy 280 szervezet nevét tartalmazzák. A nagyvállalati szegmensben többek közt a Cisco, az Intel, az Nvidia, a Fujitsu, a Belkin, az SAP, a Deloitte és a Check Point is érintett.
A magyar érintettséggel kapcsolatban Nemes elmondta: hazai forrásból ilyen eszközt nem adtak el, de az lehetséges, hogy külföldi szürke csatornákon keresztül több magyar felhasználója is lehet a problémás Orion-szoftvernek. Ami biztos, hogy magyar kormányzati szerv nem érintett.
A szakember szerint a teljes kiterjedtségre nagy eséllyel soha nem is derül fény, hiszen itt már nemzetbiztonsági érdekekről van szó, továbbá attól függetlenül, hogy egy cég nem talál bizonyítékot rá, még lehet érintett – hiszen pont az észrevétlenség volt az elkövetők célja.
Biztos, hogy az oroszok voltak?
Nemes szerint biztosat még nem lehet kijelenteni, de az eddigi információk alapján erősen feltételezhető, hogy egy komoly titkosszolgálati akcióról van szó. Ki kell emelni, hogy minden ilyen esetben csak valószínűsíteni lehet. A titkosszolgálati háttérre utal az is, hogy az ügyfeleknek csak pici töredékét célozták meg, a támadók igencsak válogatósak voltak, hogy kihez „mennek be”, hiszen minden támadás egyben növeli a lebukás esélyét. Ez a lebukás meg is történt, amikor a FireEye detektálta a támadást.
A támadók aktivitásának felgöngyölítését nehezíti, hogy minden megtámadott céghez más backdoort nyitottak, és lezárták a SolarWindsen keresztül nyitott „ajtót.” Károkat nem okoztak, és kínosan ügyeltek arra, hogy semmilyen nyomot ne hagyjanak maguk után. Összességében elmondható, hogy a támadás egy lassú és megfontolt munka, egyben hosszú folyamat volt.
Az USA határozottan Oroszországra mutogat (a Kreml szóvivője a vádakat elutasította), pontosabban az APT29 (Cozy Bear) állami hackercsoportot sejtik a háttérben. Donald Trump nemrég pedig már a kínaiakat vádolta meg az oroszok helyett – ami tőle annyira nem meglepő. Nemes elmondása szerint még egy folyamatban lévő vizsgálatról van szó, ezért a FireEye több részletet még nem oszthat meg ezzel kapcsolatban. Nagy kérdés még továbbá, hogy ha a támadás tisztán hírszerzési jellegű, akkor mi volt a pontos célja. A Cozy Bear korábbi tevékenységeinél minden esetben jól meghatározott céllal történt az információszerzés.
Krasznay szerint az időzítés azért izgalmas, mert a támadás két nagy horderejű világpolitikai eseményhez közel történt: a még mindig tomboló koronavírus-járvány mellett novemberben zajlott az amerikai elnökválasztás. Kérdés még a jövőre nézve, hogy mi volt a valós műveleti cél, ami mentén történt a támadás. Az oroszok esetében korábbi támadások alapján elmondható, ha nem pusztán az információszerzés a cél, akkor tipikusan úgy építik fel a malware-jeiket, hogy az információgyűjtés után további fázisok is vannak.
Összességében most csak egy erős sejtés van arról, hogy oroszok a támadók. A későbbiekben arra lehet számítani, hogy a műszaki bizonyítékok ezt nem nagyon fogják alátámasztani, de a hírszerzési forrásoknak lesz róla tudomásuk.