Egyre több a koronavírus-járványt kihasználó internetes támadás, a hekkerek még ebben a helyzetben sem kímélik a kórházakat, de a korábbinál szélesebb körben elterjedt távmunka is új visszaélésekre ad lehetőséget. A Kaspersky alapítója és kutatói egy virtuális sajtóbeszélgetésen meséltek a legújabb trendekről, illetve hogy mi várható a járvány után. Magyar adatokat is mutattak.
Az egészségügyi intézmények, kórházak elleni kibertámadások egyenlőek a terrortámadással
– mondta Eugene Kaspersky (Jevgenyij Kaszperszkij), a róla elnevezett kiberbiztonsági cég alapító-vezérigazgatója egy újságíróknak szervezett online beszélgetésen.
Kaspersky és a cég más vezető szakértői a koronavírus-járvány alatt tapasztalt kiberbiztonsági trendekről beszéltek, és mint általában, amikor ez a téma felmerül, rövid úton eljutottak oda, hogy bár a kórházakat korábban is érték hasonló támadások, a járvány elleni harc frontvonalában teljesítő intézmények célba vétele a szokásosnál is komolyabb válaszlépést fog maga után vonni.
A járvánnyal kapcsolatos kibertámadásokról korábban mi is részletesen írtunk. Már abból a cikkünkből is kiderült, hogy a biztonsági szakma egyként háborodott fel azon, hogy a hekkerek még most sem tartják távol magukat a kórházaktól, és az egészségügyi intézmények védelmére több önkéntes szakértői összefogás is alakult.
Ennek szellemében üzent a hekkereknek Costin Raiu, a Kaspersky globális kutatási-elemzési csapatának (GReAT) igazgatója is:
Ha kórházakat támadsz, le fogunk vadászni minden eszközzel, ha ennek vége, és a hatóságok is, szóval ez a legnagyobb hiba, amit életedben elkövettél.
Raiu felidézte, hogy több csehországi egészségügyi intézményt is ért támadás, de amerikai és párizsi kórházak, hatóságok, illetve az Egészségügyi Világszervezet (WHO) is a célpontok között volt. A kórházak békeidőben is népszerű célpontok, mert nehéz lépést tartaniuk ezekkel a fenyegetésekkel, el vannak foglalva az emberek gyógyításával. “A kórházi rendszerek komplexek, és nehéz kérdés, hogy mire költesz, új gyógyítóeszközökre vagy kiberbiztonságra” – mondta.
Hogy ki állhatott e támadások mögött, azt kellő mennyiségű információ hiányában nehéz biztosan meghatározni, de Jurij Namesztnyikov, a GReAT orosz részlegének vezetője szerint feltűnt néhány ismert elkövető, például a DarkHotel nevű dél-koreai kötődésű hekkercsoport, illetve az orosz hátterű Cloud Atlas. A támadások célja az ő esetükben a páciensadatok és a járvánnyal kapcsolatos kutatási információ megszerzése lehetett. (Arról korábban írtunk, hogy a támadások egy részében feltehetően egyszerű anyagi haszonszerzés lehetett a motiváció.)
A járvány alatt a koronavírusos tematikát felhasználó adathalász támadások száma is jelentősen megnőtt. Costin Raiu szerint a DarkHotel mellett ilyen támadásokat sikerült kötni olyan jól ismert csoportokhoz, mint a kínai IronHusky (más néven Vicious Panda), a pakisztáni Transparent Tribe (Mythic Leopard) vagy a szintén kínai LuckyMouse. Jurij Namesztnyikov a koronavírus témáját használták fel több zsarolóvírus célba juttatásához is, például a TA505 nevű csoport, amely többek között a Locky nevű ismert zsarolóvírus mögött is áll.
Azt nem nagyon tudják megmondani, hogy melyik országokból érkezik a legtöbb járvánnyal kapcsolatos támadás, de az biztos, hogy ezek száma március óta jelentősen növekszik. Raiu szerint az jobban látszik, hogy kik az áldozatok. A cseheknél például feltűnően sok támadás történt, de ez szerinte inkább azért lehet, mert a támadók olyan cégeket keresnek, ahol viszonylag nagy anyagi haszon remélhető viszonylag alacsony biztonsági szint mellett. Namesztnyikov szerint nem is az a fontos, hogy egy-egy támadástípus honnan indult, mert az látszik, hogy ahogy a hekkerek rájöttek, hogy a kijárási korlátozások miatt felpörgő távmunka világszerte kinyitotta a céges infrastruktúrákat, a támadási trendek is globálissá váltak.
Eugene Kaspersky szerint azért is nehéz konkrétumot mondani az megjelent új kártevőkről, mert egyszerűen túl sok van ezekből. Csak ők minden nap több millió gyanús fájlt gyűjtenek be, de ezek 99,9 százaléka automatikus gépi elemzések esik át, mert nincs kapacitás mindet egyesével megvizsgálni.
A távmunka és a távoktatás térnyerésével sokan új eszközök használatára is kényszerültek, ami a tapasztalatok szerint új típusú, vagy legalábbis az eddiginél jóval szélesebb körű adatvédelmi kockázatokat is hozott. Különösen nagy sikernek örvend, és ezzel párhuzamosan sok kritikát is kap a Zoom nevű videócsetplatform.
Az ezzel kapcsolatos kérdésre Jurij azt mondta, hogy a Zoom az elmúlt néhány hónapban rengeteget tett a biztonsága fejlesztésére a nagy figyelem és a sok kritika miatt, és most már többé-kevésbé rendben is van az alkalmazás ilyen szempontból, de nagyon fontos a rendes beállítások használata. Szerinte nem szupertitkos mítingekre, illetve iskolai felhasználásra most már teljesen jó, csak ne felejtsenek el a felhaszálók jelszót beállítani a beszélgetésekhez (elkerülendő a zoombombing nevű jelenséget, amikor hívatlan vendégek tudnak csatlakozni egy híváshoz, és nem oda való tartalmakkal sokkolni az egybegyűlteket). Namesztnyikov ingyenes és biztonságos alternatívaként említette a szintén népszerű Jitsit.
A távoktatás és a gyerekek védelme kapcsán felmerült a szülői felügyeleti eszközök használatának kérdése is, erről Eugene Kaspersky azt mondta, mielőtt ilyesmit használnánk, érdemes megbizonyosodni arról, hogy jobban értünk hozzá, mint a gyerek, különben inkább szülőfelügyelet lesz a dologból. Namesztnyikov személyes példát is hozott erre a problémára: egyszer azon kapta a saját gyerekeit, hogy épp egy ilyen szülői felügyeleti alkalmazást próbáltak feltörni a jelszó gépi kitalálására beizzított brute force támadással.
Vajon a mindennapok helyreállása után is tovább fog növekedni a támadások száma, vagy ez a trend a járvány leküzdése a rendes kerékvágás visszatérése után visszafordul?
Jurij Namesztnyikov szerint a válasz attól is függ, hogyan számolunk és mit. Az ő adataik szerint például január és március között 11 százalékos növekedés volt tapasztalható a webes támadások számában. Az emailes támadások, azaz a kártékony oldalra mutató linket vagy kártékony csatolmányt tartalmazó levelek száma 43 százalékkal nőtt ugyanebben az időszakban. A céges hálózatokon azonosított kártevőké viszont még csökkent is 1 százalékkal, köszönhetően a hirtelen átalakult munkavégzésnek.
A távmunka térnyerése miatt sok cég megnyitotta kifelé a szervereit, de ezek eléréséhez nem állított be a biztonságos eléréshez szükséges VPN-t, ami a hekkereknek is feltűnt, és elkezdtek próbálkozni a távoli elérést védő jelszavak feltörésével. Ennek hatására globálisan háromszoros növekedést mértek a távoli eléréshez használt jelszavak elleni brute force próbálkozásokban.
Kérésünkre a Kaspersky magyar adatokat is küldött. Ezekből az látszik, hogy a támadások száma itthon is nőtt mint a webes, mint a helyi szintű fenyegetések terén, bár mindkét kategóriában csak mérsékelt növekedést tapasztaltak. (A grafikonok persze nem az összes megtörtént támadást mutatják, hanem a Kaspersky kiterjedt biztonsági hálózatáról begyűjtött adatokat.)
Namesztnyikov szerint érdemes figyelni arra, hogy a dolgozók lehetőség szerint minél kevesebb fontos céges adatot tároljanak a magáneszközeiken, mert a járvány után meg fognak ezekről feledkezni, amiből később még komoly problémák adódhatnak.
A Kasperskynél arra számítanak, hogy a járvány után a webes és a cégeket célzó támadások visszatérnek a korábbi szintre, de a távoli elérésű szerverek elleni támadások száma kevésbé fog visszaesni, mert egyrészt időbe fog telni, amíg a cégek adminisztrátorai lezárják a járvány miatt kifelé megnyitott kapcsolatokat. Az is várható, hogy számos cég igyekszik majd profitálni abból, hogy a járvány alatt bebizonyosodott, hogy az alkalmazottai tudnak távolról is dolgozni, és a távmunka legalább részleges fenntartásával spórolni tudnak az irodai költségeken. Ezt azonban a támadók is megpróbálják majd kihasználni.
Eugene Kaspersky szerint a járvány lecsengése után az emberek az üzleti életben is vissza fognak térni a személyes találkozókhoz, mert ez a leghatékonyabb kommunikációs forma. Ugyanakkor szerinte is megmarad a most bejáratott online munkavégzés, de nem a hagyományos munkamód helyett, hanem mellette, mert sokan rájöttek, hogy még többet lehet így dolgozni. Saját példaként említette, hogy bár a Kasperskynél idén virtuális lesz a szokásos éves konferenciájuk, azt tervezik, hogy jövőre duplán megtartják: lesz egy hagyományos és egy online kiadás is, hogy még többen tudjanak részt venni.
(Borítókép: Eugene Kaspersky / Fotó: Gavriil Grigorov /TASS via Getty Images)