Nehezen kezd bármit az USA az egyre gyakoribb zsarolóvírusos támadásokkal

július 9., péntek 8:21

"Választ fogok adni" - közölte a New York Times jelentése szerint nemzetbiztonsági tanácsadóival folytatott megbeszélése után Joe Biden, a múlt hét végi legújabb zsarolóvírusos támadássorozatra reagálva. Hogy pontosan mire gondolt, egy újabb rendkívül szigorú verbális ejnyebejnyére, mint három hete, amikor Genfben személyesen is találkozott Vlagyimir Putyinnal, vagy netán ennél konkrétabb válaszlépésre, az ott és akkor nem derült ki.

A július 4-i amerikai nemzeti ünnep hosszú hétvégéjén, péntek délután, amikor az amerikai cégek java már hazaengedte dolgozóit, a magát csak REvilnek (Ransomware Evil - Zsarolószoftver Gonosz) nevező orosz hekkercsoport feltörte egy floridai IT-szolgáltató, a Kaseya szervereit. A cég világszerte több tízezer céget és szervezetet szolgál, több ügyfelük pedig maga is szolgáltatóként látja el kisebb vállalatok kiberbiztonsági és tech support feladatait. Vagyis a Kaseyán keresztül a hekkerek potenciálisan cégek millióit érhetik el.

A hatás a Times beszámolója szerint valóban globális lett, Svédországban a Coop üzletlánc nyolcszáznál is több ábécéjét volt kénytelen bezárni szombaton, de egy svéd patikalánc és egy vasúti társaság is károsult.

Nehéz arányos választ adni

Ugyanezt a Revilt hibáztatja az FBI a világ legnagyobb húsfeldolgozója, az amerikai JBS elleni májusi zsarolóvírusos támadásért. A REvil esetében kétséget kizáróan nem bizonyított, hogy az orosz állammal és annak titkosszolgálataival együttműködő szervezett bűnözői csoportról van szó, de az amerikaiak mégis azt feltételezik, hogy Putyin és Oroszország oda tudna hatni, ha akarna. Más támadások esetén pedig már ennél nagyobb biztonsággal feltételezhető az orosz állam érintettsége, a Republikánus Párt nemzeti bizottsága (az amerikai pártstruktúrában ez a pártközpontnak feleltethető meg) elleni múlt heti kibertámadást, mely során egy alvállalkozójukhoz hatoltak be, a hatóságok az orosz hírszerzés, az SZVR munkájának tartják.

Putyin és az orosz államhatalom eddig rendre élt is a tagadhatóság lehetőségével. Három hete, Biden és Putyin genfi csúcstalálkozója a tervezetnél jóval hamarabb ért véget, a sajtótájékoztatókon elhangzottak alapján pont a kibertámadások ügye lehetett az, amiben teljesen értelmetlennek bizonyult a párbeszéd folytatása. Biden ezek során figyelmeztette Oroszországot az USA kiterjedt kiberképességeire, Putyin viszont szimplán csak tagadta, hogy bármihez is köze volna.

Biden a csúcstalálkozón amúgy azt próbálta kijárni, hogy legalább abban jussanak egyezségre, békeidőben mely célpontokat nem támadják semmilyen körülmények között. Biden a kritikus infrastruktúra elleni támadásokat akarja egyezményben korlátozni, vagyis azt elérni, hogy legalább a közműveket, atomerőműveket, ilyesmiket ne érhesse kibertámadás békeidőben.

Ez a józan ésszel is belátható érveken túl már csak azért is fontos lenne az amerikaiaknak, mert megteremthetné a retorziók kereteit is. Biden külpolitikájáról minap megjelent cikkemben is megemlítettem, hogy Biden az arányos válaszok híve, a fenyegetés mértékéhez igazodó ellencsapásokban gondolkodik. Egy sima ransomware-támadást, vagy akár a két nagy amerikai párt szerverei elleni támadásokat aligha lehet egzisztenciális fenyegetésként értékelni, de egyből más a helyzet, ha a támadók megbénítják egy ország áramellátását, vagy teszem azt, lekapcsolják a fél országot üzemanyaggal ellátó vezetékeket.

Ahogy a retorzió lehetőségét is erősen korlátozza, ha nincs határa az eszkalációnak. Bident szerdán a Fehér Ház műveleti szobájában pont a válaszcsapás lehetőségeiről is tájékoztatták. Például olyan lehetőségekről, melyekkel le lehetne rombolni az orosz bűnözői csoportok kiber-infrastruktúráját. Ám minden amerikai retorzió orosz ellencsapást provokálhat, márpedig, mint azt immár példák sora bizonyítja, az amerikai privát szektor, de még a szövetségi és tagállami intézmények rendszerei is igen sérülékenyek, amit a bűnözői csoportok akár az orosz államtól függetlenül is képesek lehetnek kihasználni.

Pénzt kérnek

Addig is ezernyi cég küzdhet meg most a károkkal, amit a REvil támadása okozott. A hekkerek a dark weben futó, Happy Blog nevű oldalukon még az elérhetőségüket is megadták, ahol a károsultak érdeklődhetnek a váltságdíj felől. Volt, akitől ötmillió dollárt kértek a Huntress Lab kiberbiztonsági cég szerint. Egy másik kiberbiztonsági vállalkozás, az Emsisoft elemzője úgy tudja, hogy minden egyes túszul ejtett rendszer feloldásáért 45 ezer dollárt kérnek. A REvil azt is közölte, hogy ha 70 millió dollárt fizetnek nekik, akkor nyilvánosságra hozzák a feloldókulcsot, amivel az összes túszul ejtett rendszer felszabadítható.

Az elérhetőség a New York Times beszámolója szerint él, a Krebs Tamos Group egyik biztonsági kutatója, Jack Cable állítása szerint a hétvégén kapcsolatba is lépett a hekkerekkel, és sikerült is 50 millióra lealkudnia a hetvenmilliós váltságdíjat. Ugyanakkor Jen Psaki, a Fehér Ház szóvivője mindenkit arra figyelmeztetett, hogy ne fizessenek a zsarolóknak, mert azzal csak felbátorítják őket. A májusban megbénított JBS amúgy fizetett.