Túlterheléses támadások miatt akadoznak a legnagyobb amerikai bankok hálózatai, számítógépes vírusok bénítják meg az USA-nak olajat és gázt szállító közel-keleti vállalatokat, és néha erőművek állnak le miattuk, vírusok lassítják az iráni atomprogramot, de akár olajfinomítót robbantani is lehetne a segítségükkel. Ez nem sci-fi, hanem a valóság: az Egyesült Államok már hadban áll Iránnal az interneten, miközben Kína hackerei is rendszeresen kóstolgatják a számítógépes hálózatait.

Az USA pénzügyi szektora ellen 2012 szeptemberében indult minden eddiginél nagyobb volumenű túlterheléses támadássorozat, amely jelenleg is tart. A célpontok között olyan bankok és pénzintézetek informatikai rendszerei állnak, mint a JP Morgan Chase & Co., a Bank of America, az HSBC vagy a Citigroup. A szaknyelven DDoS, vagyis Distributed Denial of Service (elosztott szolgáltatásmegtagadással járó támadás) nevű módszer lényege, hogy a támadók mesterségesen generált lekérdezésekkel terhelik le a célba vett rendszert olyan volumenben, hogy az annak működésében fennakadásokat okozzon, esetleg elvezetve a rendszer összeomlásához.

Régóta ismert a hackerek és online aktivisták körében is a módszer, hiszen többek között az Anonymous is rendszeresen alkalmazza figyelemfelkeltő céllal – 2010-ben például így támadták meg a Wikileaksnek való utalásokat megtagadó PayPalt. Az informatikai biztonsági szakemberek számára azonban különösen az ijesztő a mostani akcióban, hogy a támadásokat sokkal nagyobb számítási kapacitással hajtják végre, és sokkal profibban, mint a DDoS történetében eddig bármikor.

Az amerikai bankrendszert ostrom alatt tartó hackerek ugyanis több hullámban támadnak, és mindig egyre eredményesebben, ami arra utal, hogy nem valamilyen automatizált szoftveres hálózattal vagy botnettel kivitelezett akcióról van szó, ahogy az lenni szokott, hanem precízen, kézi vezérléssel hajtják végre, mindig pontosan odafigyelve az egyes támadások eredményeire. Ha pedig nem működik a módszer, akkor máshogy próbálkoznak újra.

A DDoS-akciók felderítésére specializálódott Prolexic biztonsági cég szerint a támadók profizmusát jelzi, hogy idén év elejétől már heti rendszerességgel érkeznek olyan, 75–80 gigabites sávszélességen elindított lekérdezési hullámok a célpontokhoz, amelyek tavaly még ritkaságnak számítottak, maximum évente egyszer vagy kétszer fordultak elő. Azt pedig maguk a biztonsági szakemberek sem tudják, hogy a hackerek pontosan hogyan vették át az irányítást az ilyen kapacitású akciók indításához szükséges nagygépes szerverállomány fölött. A Prolexic egyik képviselője úgy nyilatkozott, ezzel a támadások már elérték azt a szintet, amit kiberháborúnak lehet nevezni, az USA kereskedelmi minisztériumának egyik illetékese pedig kijelentette: egyértelműen Irán áll a bankok működését megbénító akciók mögött.

Bosszúhadjárat a Stuxnet miatt

Irán persze nem ok nélkül támadja az USA-t az interneten keresztül: a DDoS-támadások egyfajta bosszúhadjáratként értelmezhetők a Stuxnet, az USA legkifinomultabb kiberfegyvere ellen. A Stuxnet története még 2010-ben kezdődött, amikor a Symantec szakemberei feltérképeztek egy különös, elsősorban iráni számítógépeket fertőző vírust. A Stuxnet elterjedési mintája már elsőre igen érdekes volt, hiszen egy netes kártevőre nem jellemző az a fajta koncentráltság, amit ez a vírus mutatott: bár a kártevő világszerte jelen volt, a fertőzések hetven százalékát Iránon belül azonosították.

Kicsit később az irániak által megbízott fehérorosz majd német online biztonsági szakemberek fejtették vissza a kártevő kódját, amelyről kiderült, hogy igen különös tulajdonságokkal rendelkezik. A vírus ugyanis, noha bármilyen PC-t megfertőz, nem lop adatokat, nem tesz kárt a gépen található állományokban, hanem kifejezetten keres valamit. Ez pedig nem más, mint a Siemens Simatic S7–300 típusjelű PLC-je, vagyis programozható logikai kontrollere, amely egy kis, szürke doboz néhány LED-del és kapcsolóval, és főleg az iparban használják automatizált gyártósorok, futószalagok vezérléséhez, de vezérelnek vele lifteket, közlekedési lámpákat is.

Azt már csak a Stuxnet kódjában való további kutakodás derítette ki, hogy a kártevő valódi funkciójának aktiválásához nem elég maga a PLC, mivel a kártevő egy további hardveres komponenst is keres. Ez pedig nem más, mint a finn Vacon vagy az iráni Fararo Paya által gyártott, állítható fordulatszámú elektromotorok, és azok közül is csak azok, amelyek 807 és 120 hertzes frekvencián működnek. Ezekből az információkból a Stuxnetet elemző szakemberek arra a következtetésre jutottak, hogy a vírus alkotóinak egyetlen célja lehetett: az iráni atomprogram szabotálása.

A szupertitkos natanzi urándúsító üzemben ugyanis – ahol az iráni atomprogram számára állítják elő a hadászati célú urániumot –, pontosan ilyen eszközöket használnak, a Stuxnet pedig, amikor ezeket megtalálja, és működésbe lép, elkezdi észrevétlenül lassítani-gyorsítani az uráncentrifugákat, amivel először csak a dúsított hasadóanyagot, majd idővel magukat az eszközöket is tönkreteszi. A Stuxnet eredményességét hamarosan igazolták az iráni atomprogramról kiszivárgott hírek, amelyek szerint a Natanzban működő majdnem 4800 urándúsító centrifuga négyötödét le kellett állítani.

Természetesen az online biztonsági cégeken kívül sem az USA, sem a feltehetően tettestárs Izrael hivatalos szervei nem nyilatkoztak a titokzatos vírusról. Az amerikai sajtóban csak 2012 tavaszán jelentek meg az első olyan, titkosszolgálati forrásokból kiszivárogtatott információkra alapozott oknyomozó írások, amelyek leleplezték, hogy valóban amerikai–izraeli együttműködés hozta létre a szoftvert, mint ahogy azt az elemzők sejtették.

A Stuxnet mellett pedig előkerült több másik kártevő, amelyek a Duqu, a Gauss és a Flame nevet kapták felfedezőiktől, és mindegyik valamilyen kiberháborús célt szolgál. Feltehetően az ipari infrastruktúrát észrevétlenül feltérképező Flame lehetett az, amely előkészítette a Stuxnet számára a terepet, a Stuxnethez hasonlóan működő Gauss pedig közel-keleti, főleg libanoni pénzintézetekben fertőz előszeretettel, így valószínűleg az országban székelő, Irán által pénzelt Hezbollah pénzmozgásának követésére íródott.

A Washington Postnak nyilatkozó titkosszolgálati források azt is elárulták, hogy az iráni atomprogram elleni akció nem csak a kibertérben zajlott. A hírekben lehetett olvasni különös balesetekben elhunyt iráni atom- és rakétatudósokról, emellett az urándúsítást selejtes ipari alkatrészek szállításával is szabotálták, magát a kártevőt pedig kamu szoftverfrissítéseket tartalmazó pendrive-okon és e-mailekhez csatolt PDF-fájlokba ágyazva juttatták el a megcélzott ipari létesítményekbe.

Arról, hogy nagyszabású kémakció állhatott a kibertámadások hátterében, az IT-biztonsági szakemberek szerint az is árulkodik, hogy a Stuxnet tervezői valószínűleg jobban ismerték a natanzi atomlétesítmény felépítését, mint azok, akik az üzemeltetését végezték – és akiknek az orra előtt tette tönkre a vírus az urándúsító berendezéseket.

Visszafelé is elsült a fegyver

A Stuxnet tehát teljesítette a küldetését, és több évvel vetette vissza az iráni atomprogramot, továbbfejlesztett változatai pedig jelenleg is bevetésben vannak, de azzal, hogy lelepleződött, a története merőben új fordulatot vett. Amerika legfejlettebb kiberfegyverének forráskódjához ugyanis immár bárki hozzájuthat az interneten keresztül, ahogy a megfelelő szájtokon könnyedén bérelhet fel hozzáértő szakembert is ahhoz, hogy bármilyen ipari infrastruktúrát megtámadjon vele – kellő módosítással pedig már nem csak olyanokat, amelyekben a Siemens által gyártott szabályozóegységeket alkalmazzák.

Egy ilyen támadáshoz csak néhány millió dollár kell, vagyis akár még egy banánköztársaság megbukott diktátorának bakszámláján is van akkora összeg, aminek a bevetésével elvileg komoly károkat lehet okozni az Egyesült Államoknak.

Hogy milyen komoly károkat, arra többek között egy austini hacker, Dillon Beresford mutatott rá a 2011-es Black Hat konferencián. Beresford részletesen demonstrálta, hogyan lehet a Stuxnet segítségével akár úgy átprogramozni a Siemens PLC-ket, hogy az ipari csővezetékeket lezárva akár komoly pusztítást okozó robbanásokat lehessen előidézni. Vagyis a szoftver nem csak a natanzi atomlétesítményekben végrehajtott finom, leplezett szabotázsra jó, hanem értő kezekben valódi terroristafegyver válhat belőle. Beresford eredményeit a gyártó Siemens olyan horderejűnek találta, hogy megkérték, ne publikálja azok részleteit mindaddig, amíg valahogy orvosolni tudják az általa feltárt sebezhetőségeket.

Ugyan a szupervírus kifejlesztésében és bevetésében a Washington Post nyomozása szerint a kémkedésben jártas CIA és a hidegháborús lehallgató-technológiákkal foglalkozó NSA vett részt, az utánuk való takarítást már a Department of Homeland Security, vagyis a 2001-es terrortámadások után létrehozott belbiztonsági minisztérium szakemberei végzik.

Az ő egyik alegységük ugyanis a 24 órás készültségben álló Industrial Control Systems Cyber Emergency Response Team, röviden ICS-CERT, amelynek 2011-ben már majdnem kétszáz alkalommal kellett kiszállnia különböző ipari létesítményekbe – beleértve szupertitkos hadiipari üzemeket is –, hogy a Stuxnetet hatástalanítsák. Hogy mennyire újszerű jelenségről van szó, jól jellemzi, hogy 2009-ben még csak kilenc ilyen eset volt, a 2011-esnél újabb adatok pedig még nincsenek, de biztos, hogy a százával fordulnak elő azóta is.

A legtöbb ilyen incidenst egyszerűen az okozza, hogy a Stuxnet azóta, hogy létrehozták, megállíthatatlan: immár szabadon kószál és fertőzi az amerikai létesítményeket is, ami, ha úgy tetszik, a kiberfegyver káros mellékhatása. Arról, hogy ezeket az incidenseket csak az eredeti vírus okozza-e, vagy már szándékosan módosított változatai, nincs információ.

Az eredeti vírus, vagy a már említett, Amerika által elszabadított mutációi nagy károkat nem okoznak, hiszen az USA-ban nincsenek iráni urándúsítók, vagy Hezbollah-bankszámlák, amelyek célzott felderítését beléjük kódolták, de a vírusirtás miatt időről időre le kell állítani erőművek, vízellátó rendszerek vezérlését, vagy legalább néhány órára haza kell küldeni kormányhivatalokból, nagyvállalatoktól az alkalmazottakat.

Amerika ellenségei pedig, mint a DDoS-támadásokból is látszik, tanultak a példából, és már a saját eszközeikkel vágnak vissza. Tavaly nyáron az amerikai és izraeli partnerekkel rendelkező szaúdi Aramco és a katari Rasgas olaj- és gázipari vállalatok számítógépeit fertőzték meg vírusokkal olyan hackerek, akik egy addig ismeretlen iszlamista csoport tagjainak adták ki magukat – az amerikai hatóságok szerint azonban egyértelmű, hogy ők is Iránnak dolgoztak. Az Aramcónál a számítógépek winchestereit törölték le a bevetett kártevők, a Rasgas dolgozóit pedig kizárták a gépeikből, és elérhetetlenné tették a céges e-mailt. A hírek szerint összesen több mint 30 ezer számítógépet fertőztek meg a támadók az érintett cégeknél.

Hová vezethet a kiberháború?

A legsötétebb forgatókönyvek szerint a Die Hard 4 apokaliptikus jelenetei válhatnak valóra a kiberháború során, megbolonduló távközlési rendszerekkel, felrobbanó olajvezetékekkel és általános pánikkal. Egy ilyen méretű támadás, ha igazoltan azonosítható forrásból érkezik, már egész biztosan elég okot szolgáltatna ahhoz, hogy amerikai bombázógépek is a magasba emelkedjenek, és meginduljon egy valódi háborús konfliktus (feltéve persze, hogy a katonai irányítórendszerek nem bolondulnak meg).

Az USA és Irán között kibontakozó kiberháború viszont, ugyan intenzitásában és a bevetett eszközök jellegét tekintve már komolyabb, mint az eddigi diplomáciai vagy fegyveres konfliktusokat kísérő kiberakciók (mint például az orosz hackerek 2007-es, Észtország elleni támadása, ami sikerrel bénította meg a balti ország évek óta jórészt digitálisan működő bankrendszerét és közigazgatását), mégis inkább a hidegháborús hadviselésre hasonlít. Ennek során is az volt a helyzet, hogy a szemben álló felek igyekeztek elkerülni a valódi vérontást, vagy legalábbis a nyílt sisakos küzdelmet, de minden eszközzel próbáltak keresztbe tenni a másiknak. A hidegháborúhoz hasonlóan ezek az akciók is egyfajta fegyverkezési versenybe hajszolják a feleket, egy teljesen új területen.

Ráadásul az USA és a nyugati világ rendelkezik egy másik, szintén komoly, de jelenleg jóval csendesebb kiberháborús ellenféllel: Kínával. A kínai kormány az elmúlt években egyértelművé tette, hogy a hagyományos fegyverkezéssel szemben, amelynek terén nehezen behozható hátrányban van az USA-hoz képest, kiemelt erőforrásokat szentel kiberhadviselési képességeinek fejlesztésére. Kína azonban nem pusztítani akar a kibertérben, legalábbis egyelőre, hanem kémkedni. A kínai hackerek fő célja az információszerzés, az ipari kémkedés annak érdekében, hogy minél nagyobb volumenben szerezzék meg az anyaországban használható technológiákat. Ez pedig, ha úgy tetszik, még veszélyesebb, hiszen a konkrét, látható károkozás helyett a kínai kiberkémek észrevétlenül tevékenykednek – gyakorlatilag mindenütt.

Minden jel arra mutat azonban, hogy már ők is egyre merészebben próbálgatják a karmaikat. A nyugati világ olaj- és gázvezetékeinek hatvan százalékának üzemeltetésében közreműködő kanadai Telvent iparvállalatnál szeptemberben lepleztek le egy kibertámadást, amelynek elkövetői minden jel szerint a kínai Comment Group tagjai voltak. (Ahogy az iszlamisták vagy az orosz aktivisták esetében, a kormányhoz való kötődés itt sem bizonyítható egyértelműen.) A támadók sikeresen hatoltak be a cég számítógépes rendszerébe, és amellett, magukkal vittek bizonyos érdekes technológiai részleteket tartalmazó projektfájlokat, vagyis kémkedtek, könnyedén okozhattak volna komolyabb kárt a Telvent infrastruktúrájában. Biztosak lehetünk benne, hogy időről időre újabb, ehhez hasonló esetek hívják majd fel a figyelmet a kritikus infrastrukturális rendszerek sebezhetőségeire.

Az egyre intenzívebben kibontakozó kiberháborúban tehát nem csak az USA, hanem lassan a teljes nyugati világ érintett, és úgy tűnik, két fronton kell megvívni, vagy ha úgy jobban tetszik, együtt élni vele. Mindaddig ugyanis, amíg tart a nagyhatalmak közötti, vagy éppen velük szembeni hatalmi versengés, és van rá pénz, addig ennek erőteljes kísérőjelensége lesz a kiberkémkedés és -hadviselés. Egész országok működését megbénító támadás csak egy valódi, súlyos katonai konfliktus mellett indulna, de az USA-val szemben álló kormányok erőfitogtató próbálkozásai, ha valamilyen kritikus infrastruktúrát érintenek, mostantól okozhatnak kellemetlenségeket a kiber-hidegháborús hátországban élő lakosságnak is.

Forrás: player.hu