Az elmúlt öt évben az orosz állam által támogatott hackerek nem tétlenkedtek: áramszünetet okoztak Ukrajnában, elkészítették a történelem legpusztítóbb számítógépes vírusát, a NotPetyát, valamint feltörték és kiszivárogtatták Hillary Clinton e-mailjeit Donald Trump megválasztásának elősegítése érdekében – olvashattunk erről a Wired több cikkében is. A tényleges akciók mellett a Dühöngő Medve fedőnevű hackercsoport azonban egészen másféle módszereket is használ: a legagyafúrtabb megoldásokkal, a legnehezebben feltörhető rendszereket is átverve fért hozzá az Egyesült Államok kritikus infrastruktúráit érintő rendszerekhez, és mégsem indított semmilyen támadást, csak „éreztette a hatalmát”.

Minderről az Egyesült Államok Belbiztonsági Minisztériumának kiberbiztonsági és infrastrukturális részlege a sajtóhoz is eljuttatott jelentést tett közzé, felhívva a figyelmet az említett Dühöngő Medve néven ismert kiberbűnözőkből álló csoportra (mely olyan alternatív neveket is használ, mint az Energetikai Medve, a TEMP.Isotope és a Szitakötő). A csoport ugyanis széles körű hackerakciót hajtott végre az Egyesült Államok állami, helyi és területi kormányzati szervei, valamint a légi közlekedés ellen.

E behatolások híre megalapozhatja azt az eddig sejtett nyugtalanító, de meg nem erősített lehetőséget, hogy Oroszország ismét megpróbálja megzavarni az amerikai elnökválasztást, oly módon, hogy hozzáférkőzik a választásokkal szomszédos kormányzati informatikai rendszerekhez.

Nem most kezdték az ipart

A Dühöngő Medve amerikai akcióinak hosszú története kapcsán azonban sokkal nehezebb felmérni az általuk jelentett tényleges fenyegetést. A Wired szerint a kiberbiztonsági kutatók már 2012 óta nyomon követik a csoport munkáját az egész világon keresztül, a különféle országok elektromos elosztó közműveitől egészen az atomerőművekig. Ugyanakkor ezek a kutatók azt is mondják, azt viszont sohasem tapasztalták, hogy a Medvék ezt a hozzáférést arra használták volna ki, hogy tényleges kárt okozzanak.

A csoport munkája tehát kissé hasonlít Csehov fegyveréhez, amely fenyegetően ott lóg a falon az első felvonásban, anélkül, hogy elsütötték volna, viszont azt az állandó fenyegetettséget jelenti az Egyesült Államokra, hogy a kritikus pillanatban húzzák majd meg a ravaszt. (Vagy, aki jobban szereti a görög drámákat: olyan ez, mint Damoklész kardja.)

Attól különleges ez a csoport, hogy kifejezetten az infrastruktúrára összpontosítanak, legyen szó bányászatról, kőolajról és földgázról a különböző országokban, vagy az informatikai hálózatokról

– hangsúlyozza Vikram Thakur, a Symantec biztonsági cég kutatója, aki régóta foglakozik a csoport tevékenységével.

Thakur mégis megjegyzi, hogy ennyi idő alatt csak azt látta, hogy a hackerek felderítő műveleteket hajtanak végre. Hozzáférnek és ellopják az adatokat, de – bár erre lenne lehetőségük – mégsem használják ki a behatolásokat áramszünet előidézésére, adatromboló rosszindulatú programok telepítésére vagy bármilyen másfajta, tényleges károkozásra. Ehelyett a betolakodók megelégednek azzal, hogy egyszerűen megmutatják, ha akarnák, bármikor megbéníthatnák az amerikai infrastruktúrákat.

A témában megkerestük Keleti Arthur kiberbiztonsági szakértőt is, és az orosz hackermedvékkel kapcsolatos ismereteiről faggattuk.

Index: Legalább 2012 óta létezik a Dühöngő Medvék orosz hackercsoport, mit tudhatunk róla?

Keleti Arthur: A csapatot több csoporttal hozzák összefüggésbe a kiberbiztonsági elemzők: Energetic Bear, Berserk Bear, DYMALLOY, Dragonfly, Dragonfly 2.0, Crouching Yeti, Koala Team, Group 24. Fontos megjegyezni, hogy a megtámadott célpontok, módszerek, technikák és a használt eszközök adják az alapját a következtetéseknek. Ezeken keresztül próbálják összekapcsolni a támadókat egymással és az őket támogató háttérrel.

Ennek a csoportnak az esetében három jellemző dolgot elég biztosra mondanak a kutatók.

1. A csoport az orosz titkosszolgálat (az FSB) irányítása vagy befolyása alatt működik (ez a kiszemelt célpontokból is látható, mivel a hadsereggel ellentétben akár orosz belső célpontjai is lehetnek).
2. Elsősorban kritikus infrastruktúrákat támadnak meg (energiaipar jellemzően).
3. A megtámadott rendszereket nem állítják le, de a nyomaik láthatók (és ezzel igen jelentős erőforrásokat kötnek le a védekezés oldalán).

Két másik csoporttal is összefüggésbe hozták már ezt a csapatot. A RASPITE és ALLANITE támadók módszerei hasonlók a Dühöngő Medvék által használtakhoz. A RASPITE 2017 óta hajt végre támadásokat a Közel-Keleten, de ezek a támadások a pénzügyi, kormányzati, petrokémiai és szállítmányozói ipart célozták. Az ALLANITE ügyesen vadássza össze a kiszemelt rendszerekben dolgozó emberek vagy a rendszerrel kapcsolatos adatokat (pl. célzott adathalászattal). Őket már az amerikai DHS is összekapcsolta a Dühöngő Medvékkel.

Látható tehát, hogy itt elég nehezen különíthetők el az egyes csoportok és azok tevékenységei.

Magára a tevékenység kezdetére sem tudunk 100 százalékos biztonságot mondani, de az valószínű, hogy a csoport 2010 óta működik.

Az attribúciót (azt, hogy ki lehet az elkövető – a szerk.) olyan nyomok feltárása segíti, mint például a használt eszközök fordítási ideje (amikor futtathatóvá teszik a programot), amely rendszeresen kelet-európai vagy orosz időzóna szerint reggel 9 és este 6 közé esik. Tehát feltételezhető, hogy a támadók „munkaidőben” és ebben a régióban dolgoznak.

Index: Miért jó nekik, hogy az amerikai infrastruktúrákba betörnek? Erőfitogtatás? Állandó fenyegetettség éreztetése? Egy esetleges felforrósodó hidegháború során tényleges akcióba lépés?

K. A.: Ennek több oka lehet.

1. Folyamatos hírszerzés a fejlesztésekről, a rendszerek változtatásáról, az alkalmazott védelmi technikákról.
2. A rendszerelemek állandó tesztelése és egyben a támadó eszközök folyamatos fejlesztése.
3. Ártalmas (de nem aktív) kódok elhelyezése az infrastruktúrában (egy esetleges összehangolt támadás esetén ezek élesített aknaként használhatók).
4. Védekezőerőforrás-lekötés, mivel a védekezőknek folyamatosan meg kell találni, felderíteni és hatástalanítani a támadó eszközöket.

Jó példa erre, hogy majdnem minden évben (2014, 2016, 2018, 2020) voltak olyan energiaszektort vagy más kritikus infrastruktúrát érintő támadásaik, amelyek jelentős port kavartak és sok erőforrást kötöttek le a védekezők oldalán.

Fontos hangsúlyozni, hogy nem csak amerikai célpontokat támadnak.

Index: Lehet-e arra számítani, hogy ismét megpróbálják (ők vagy más orosz hackercsoportok) megzavarni az elnökválasztást, mint 2016-ban?

K. A.: Természetesen. Az amerikai szolgálatok és néhány nagy technológiai cég szerint ez már most is történik.

Két célpont van:

1. A választáshoz köthető kampánygépezetek és azok szereplői (pl. tanácsadók, kampányirányítók), és természetesen maguk a jelöltek és közvetlen környezetük.
2. A választási rendszer technikai és kommunikációs háttere. Több amerikai választásirendszer-beszállítónál találtak befolyásolásra utaló betörési nyomokat, de nem ritka a zsarolóvírus jellegű támadás sem, amely nem kifinomult módszer, de segítheti a választási rendszerbe vetett bizalom megingását.

És közben más módszerek is léteznek az erőforrások korlátozására egy választási kampányban. Ezt a támadást még nem hozták összefüggésbe külföldi beavatkozással. De nem lehetetlen.

Index: Hogyan lehet, hogy nem képesek az amerikaiak olyan biztonsági rendszereket kiépíteni ilyen kulcsfontosságú infrastrukturális rendszerekhez, amelyek teljesen biztos, vagy legalább hackerek nem tudják ennyire könnyen feltörni?

K. A.: 2013-ban az akkori NSA- (National Security Agency, Nemzetbiztonsági Ügynökség az Amerikai Egyesült Államok rádióelektronikai, jelhírszerzéssel foglalkozó [SIGINT] hírszerző szervezete – a szerk.) vezetőt, Keith Alexandert megkérdezték egy szenátusi meghallgatáson arról, hogy már elköltött több milliárd dollárt, felvett több ezer embert, akkor most már, ugye, meg tudja védeni az USA kiberterét.

Erre azt válaszolta, hogy

Nem.

Ennek az az oka, hogy ezek a rendszerek nagyon összetettek, a támadások pedig nagyon sokrétűek.

A kritikus infrastruktúra egy jó része magánkézben van. Itt is lehet előírni, kötelezni, de nem lehet átfogóan állami feladatként megvédeni az összes szervezetet.

Az amerikaiak 16-17 szektort különböztetnek meg ezen a területen.

Nagyjából 50–65 millió amerikai (35–45 százaléka a dolgozóknak) dolgozik ezekben a szektorokban, ahol a Covid–19 most tovább nehezíti a védekezést a kibertérben, mert erőforrásokat von el a fizikai térben.

A kibertérben történő védekezésre csak a központi kormányzat már eddig is évente közel 20 milliárd dollárt költött el, évi sok tízezer ismert incidensre (nagyon sok lapul a szőnyeg alatt, ez csak a jéghegy csúcsa) a világon egyébként több mint 120 milliárd dollárt költenek erre a területre.

És van még egy faktor. Az ipari rendszerek elöregedtek, lassan, nehezen cserélik őket, ezért kiváló célpontjai a modern, rugalmas kiberfegyvereknek (sokoldalú rosszindulatú programok), amelyeket a Medvék rendszeresen használnak is.

Index: Volt-e már ismertebb akciója az orosz hackereknek Magyarországon, amelyről tudunk?

K. A.: A Wired írt egy aktuális eseményről, amely összeköti a fentieket Magyarországgal. Az egyik elemző a Dragosnál kiszúrta, hogy az amerikai infrastruktúrák ellen használt egyik támadó szerver Magyarországon működik.