Járványszerűen terjednek a zsarolóvírusok, és ezek is pánikvásárlást okoznak

külföld
2021 május 12., 22:03

Kedden Észak-Karolina benzinkútjainak 5 százalékából kifogyott az üzemanyag, Virginiában pedig ez az arány 7 százalék. Ebben a két államban és Floridában már vészhelyzetet is hirdettek. Amerika északkeleti részén máshol is rendkívül megugrott a kereslet, aminek köszönhetően a benzin ára 2014 óta a legmagasabbra szökött.

Hiába mondják az illetékesek, hogy nincs szükség pánikvásárlásra, az amerikai autósok ugyanúgy nem hallgatnak rájuk, mint a járvány 2020-as kezdetekor azok a vásárlók, akik mázsaszámra vitték haza a vécépapírt. Akárcsak egy éve, most is egy vírus a felelős: a Colonial Pipeline-t olajvezetékei lezárására kényszerítő zsarolóvírus.

Üres atlantai benzinkút
photo_camera Üres atlantai benzinkút Fotó: MEGAN VARNER/Getty Images via AFP

A texasi olajmezők és New York közötti olajvezetékek közül a legnagyobbakat üzemeltető Colonial Pipeline az ország keleti partvidékén felhasznált üzemanyag 45 százalékát szállítja. Közel 9 000 kilométeres vezetékhálózata 50 millió amerikai energiaigényeit szolgálja ki.

A Colonial számítógépes hálózatába a múlt héten sikerült behatolnia egy DarkSide nevű szervezett bűnözői csoportnak, akik néhány óra alatt 100 gigabyte adatot loptak el. A hackerek nem a vezetékhálózatot üzemeltető rendszerbe jutottak be, hanem a Colonial céges ügyeit intéző hálózatba, ennek ellenére a cég pénteken inkább lekapcsolta a legnagyobb vezetékeit. Bár a Colonial keveset árul el arról, hogy miért kényszerültek erre a lépésre, több lap is arról írt, hogy a cég nem fér hozzá a számlázási rendszeréhez, és enélkül lehetetlen lenne nyilvántartani, hogy melyik vásárlójának mennyi üzemanyagot adott el vagy kellene átadnia.

Annyit szombatra a Colonial is elismert, hogy a cég hálózatát zsarolóvírusos támadás érte. A Washington Post szerint az ilyen típusú támadások az utóbbi három évben lettek népszerűek, miután a WannaCry és a NotPetya zsarolóvírusok felnyitották a bűnözők szemét az ezekben rejlő lehetőségekre.

A zsarolóvírusok segítéségével a támadók megbénítanak egy számítógépes hálózatot, és csak akkor oldják fel a zárat, ha a hálózat tulajdonosa fizet nekik. Nem véletlenül nevezik ezt digitális túszejtésnek is, hiszen maga a bűncselekmény és a váltságdíj megfizetése is éppen úgy működik, mint amikor egy hús-vér embert rabolnak el, csak itt az áldozatok jellemzően cégek és azok számítógépes rendszerei.

A zsarolóvírusokkal támadók arra is gyorsan rájöttek, hogy azok a cégek hajlamosak sokat és gyorsan fizetni hálózatuk zárjának feloldásáért, amelyek kulcsfontosságú, stratégiailag fontos üzletágakban működnek. Ennek köszönhetően az utóbbi években különösen sok ilyen támadás ért energiaszolgáltatókat, bankokat, de kormányzati intézményeket is. Csak 2020-ban, csak Amerikában 2400 áldozata volt a zsarolóvírusoknak, de szakértők szerint a valódi szám ennél akár jóval magasabb is lehet, mert – akárcsak a valódi túszejtés esetében – az áldozatok kiszabadításáért fizetőknek is az az érdekük, hogy az ügy titokban maradjon

A Financial Times összefoglalója szerint a zsarolóvírusoknak a járvány is segített. 2020-ban azért is növekedhettek 62 százalékkal az ilyen támadások, mert sokan otthonról dolgoznak. Ehhez biztosítani kell, hogy a bonyolult számítógépes rendszerekhez sok helyről hozzá lehessen férni, ami a trehány munkavállalóknak köszönhetően sok könnyen kitalálható-feltörhető jelszót eredményez.

2020 legsúlyosabb hackje, a Solarwinds támadás például annak is köszönhető, hogy egy gyakornok egyszerűen solarwinds123-ra állított egy fontos jelszót a cégnél.

Szintén segíti a zsarolóvírusos támadásokat a bitcoin terjedése, mivel a digitális túszejtők rendre kriptovalutában kérik a váltságdíjat. A Washington Postnak nyilatkozó szakértő szerint egyébként egy ilyen támadás nem tartozik a különösebben szofisztikált, nagy technikai tudást igénylő kiberbűncselekmények közé. Vannak hackercsoportok, amik csak a rendszerek feltörésére specializálódtak, aztán eladják a hozzáférést más bűnözői csoportoknak, akik aztán lezárják a rendszert és követelik a váltságdíjat. A zsarolás részeként pedig általában nemcsak lezárják a megtámadott hálózatot, hanem annak tulajdonosát azzal is fenyegetik, hogy ha nem fizet gyorsan, közkinccsé teszik az összes onnan megszerzett adatot.

A Colonial Pipeline egyik texasi telephelye.
photo_camera A Colonial Pipeline egyik texasi telephelye Fotó: FRANCOIS PICARD/AFP

A szakmában viszonylag új szereplőnek számító, 2020 augusztusában felbukkant DarkSide az utóbbi kategóriába tartozik, ők zsarolással foglalkoznak. Szakértői becslések szerint korábbi támadásaik eredményeként, amikben például brazil energiaszolgáltatókat zsaroltak meg, 200 ezer és 2 millió dollár közötti váltságdíjakat sikerült bezsebelniük. Ez annak fényében nem is sok, hogy ebben a szakmában az átlagosan követelt váltságdíj 850 ezer dollár szokott lenni, és volt már 50 milliós összeg is.

A DarkSide-hoz hasonló bűnözői csoportok ha technológiailag nem is jelentik a csúcsot, ügyfélszolgálatban elég jók. Gyakorlatilag helpdeskeket üzemeltetnek, hogy a megzsarolt áldozatok ezeken keresztül egyeztethessék a váltságdíj megfizetésének részleteit. Akárcsak a hackerek általában, ezek a csoportok egy része is igyekszik egyfajta Robin Hood-i szerepben tetszelegni, mintha valami jobb ügyet szolgálnának. Volt olyan eset, amikor a DarkSide a zsarolóvírussal szerzett váltságdíjból nagyvonalúan támogatott mindenféle civil szervezeteket.

A DarkSide-nak még egyfajta etikai kódexe is van, amely szerint ők nem támadnak meg kórházakat, iskolákat, nonprofit és kormányzati intézményeket. A Colonial elleni támadás után kvázi elnézést kértek azért, mert „társadalmi problémákat” is okoztak, miközben ők csak pénzt akartak szerezni. A Financial Times által megszólaltatott szakértő szerint elképzelhető, hogy a DarkSide-nak nem jön jól a globális médiafigyelem, hiszen ez növelheti a lebukás veszélyét. Mások szerint viszont az ilyen csoportoknak kifejezetten jól jön a hírhedtség, hiszen segítheti őket abban, hogy következő támadásaik áldozatai kifizessék a váltságdíjat egy ilyen rettegett hírnevű csoportnak.

Bár a DarkSide mögött álló valódi nevek nem ismertek, azt tudni, hogy legalábbis részben Oroszországban élő hackerekről van szó. Vlagyimir Putyin Oroszországa évek óta közismert arról, hogy a világon máshol körözött kiberbűnözőknek ad otthont, hogy a nemzetközi bűnüldöző szervektől védve dolgozhassanak.

A Colonial és a DarkSide kapcsán még nem merült fel, hogy a támadásban az orosz állam is érintett lenne, de vannak olyan szakértők, akik erősen ezt sugalmazzák. Az is biztos, hogy az amerikai kormányzat szerint korábban már sikerült bizonyítani, hogy van kapcsolat orosz titkosszolgálatok és zsarolóvírussal dolgozó bűnözői csoportok között.

A gond az, hogy az olyan pénzhajhász szabadcsapatok esetében, mint a DarkSide, egy latin-amerikai kartell vagy egy közel-keleti milícia, mindig nagyon nehéz feltárni, hogy valójában éppen milyen állami szereplő érdekei szerint mozognak, és hogy ez az együtt mozgás szándékos összehangolás eredménye, vagy csak véletlen.

Az mindenesetre biztos, hogy a DarkSide, akárcsak sok hasonló csoportosulás, nem támad orosz célpontokat. A zsarolóvírusuk nem is telepíti magát olyan hálózatokban, ahol cirillbetűs klaviatúrákat használnak vagy ilyen programok futnak. Vannak biztonságtechnikai szakértők, akik szerint egész hatékony védekezési forma az ilyen támadások ellen a cirill betűs programok installálása, még ha azokat nem is használják semmire a hackerek becsapásán kívül.

Benzinért sorakozás Atlantanában
photo_camera Benzinért sorakozás Atlantában Fotó: MEGAN VARNER/Getty Images via AFP

A Colonial vasárnap azt állította, hogy a hálózatuk kisebb részeit már újra üzembe tudták helyezni. Terveik szerint szerdán közlik, hogy a hét végéig sikerül-e teljesen helyreállítani a rendszert. Ha a cég nem fizet váltságdíjat, és saját biztonságtechnikai szakembereik nem találnak valami megoldást az üzemanyag-szállítmányok újraindítására, még nagyobb lehet a baj, mint amit az eddigi pánikvásárlások okoztak a benzinkutaknál.

Texasban egyre több olajkitermelő nem tudja célba juttatni az üzemanyagát, amit ráadásul folyamatosan mozgatni kell a tározókban, hogy megelőzzék annak ülepedését és az ezzel járó minőségromlást. Vészmegoldásként a washingtoni kormány ideiglenesen hatályon kívül helyezett olyan intézkedéseket, amik korlátozzák, hogy maximálisan mennyit dolgozhatnak az amerikai kamionsofőrök. Abban bíznak, hogy tankerkamionokkal legalább a felgyülemlett üzemanyag egy részét sikerül közelebb szállítani a fogyasztókhoz.

Ez azonban nyilvánvalóan csak vészmegoldás. A Colonial vezetékhálózatát előbb-utóbb sikerül majd újraindítani, az igazi kérdés, hogy mit lehetne tenni a zsarolóvírusok ellen, hogy az ezeket felhasználó bűnözők csak nehezebben tudjanak váltságdíj reményében lezárni komplett hálózatokat. Ha egy DarkSide-jellegű csoportocska ilyen kárt tud okozni, könnyű elképzelni, hogy mekkora pusztításra lenne képes egy technikailag jóval képzettebb, valamilyen állam által támogatott hackercsapat.

Hogy ez mennyire reális veszély, az is jelzi, hogy Washingtonban már jóval a Colonial elleni támadás ellen megindult a gondolkodás a védekezés lehetséges módjairól. Egy több tucat szakértőből álló munkacsoport már áprilisban javaslatcsomagot fogalmazott meg a zsarolóvírusok elleni hatékony küzdelemhez. Ebben többek közt azt javasolták, hogy kötelezzék a magáncégeket bejelentésre, ha ilyen támadás éri őket, és egyúttal kényszerítsék őket arra, hogy bármiféle váltságdíj megfizetése előtt próbáljanak más megoldásokat találni. A kormánynak pedig az lenne a dolga, hogy segítsen a cégeknek időt húzni – hasonlóan ahhoz, ahogy a valódi túszejtéseknél csinálják a profi rendőrségi tárgyalók.

A Biden-kormányzat a következő hetekre tervezte egy, a zsarolóvírusokkal foglalkozó elnöki rendelet kiadását, de lehet, hogy a DarkSide támadásának hatására ennyit sem kell várni. Ebben többek közt szigorú biztonságtechnikai szabályok betartására köteleznék a kormányzati szerveket, valamint arra, hogy csak olyan magáncégekkel kössenek szerződést, amelyek szintén tartják magukat ezekhez a szigorú szabályokhoz. Ez gyakorlatilag az Amerikában elfogadott módja a piac megregulázásának, mivel nem avatkozik bele közvetlenül a magáncégek működésébe, mégis arra készteti azokat, hogy igazodjanak a kormányzati szabályozáshoz.

A munkacsoport javaslatcsomagja azt is tartalmazza, hogy létesüljön globális együttműködés a zsarolóvírusok ellen az egyes országok bűnüldöző szervei közt. Ennek része lenne annak elérése, hogy egy ország se nyújtson védelmet zsarolóvírusokkal dolgozó csoportoknak. Az amerikai igazságügyi minisztérium és a főügyészség is azt igyekszik elérni, hogy az ilyen típusú bűnözőket védő országokat további szankciókkal, utazási tilalmakkal lehessen sújtani Washingtonból. A nyilvánvalóan az oroszok és a kínaiak ellen irányuló intézkedés kisebb bűnözői csoportok kiiktatására valóban alkalmas lehet, de nyilvánvaló, hogy az ezek érdekeit szolgáló digitális túszejtők ellen hatástalan.

Az amerikai köz- és magánszférában is magas rangú biztonságpolitikai posztokat betöltő Phil Reitinger szerint a Colonial elleni digitális túszejtés annak eredménye, hogy a felelősök 25 éve csak a szundigombra csapnak a hasonló támadásoknál. Szerinte az ilyen kiberveszélyeket már rég úgy kellene kezelni, mint minden egyéb nemzetbiztonsági veszélyt: törvényekkel és sok pénzzel. Ha Amerika most is csak a szundigombra csap, a jövőben nem csak pánikvásárlások miatt alakulhat ki üzemanyaghiány, hanem mert egy, a DarkSide-nál ügyesebb és gonoszabb csoport tényleg képes lesz azt előidézni.