Szövetségi forrásokból értesülhetett a világ, hogy az elmúlt hónapokban hackertámadás alatt állt néhány nagyon fontos vállalat. Amerikai atomerőműveket üzemeltető létesítmények hálózati infrastruktúrájába kíséreltek meg ugyanis behatolni a támadók.

Már Obamának is cselekednie kellett (volna)

Évek óta zajlik az Egyesült Államok energiaellátása és más, kritikus fontosságú infrastruktúrája ellen irányuló támadássorozat. A hackerek számára kedvelt célponttá vált ez a terület, hiszen, ha sikerrel járnak, könnyen nagyon látványos eredményeket érhetnek el. 2013-ban ezért Barack Obama elnök a kibertámadásokat a nemzetbiztonságot érintő egyik legfenyegetőbb kihívásnak nevezte, mellyel az amerikaiaknak szembe kell nézniük. És nem csak nekik, elég csak a (Not)Petya ransomware-re gondolni, mely az elmúlt hetekben Ukrajnában okozott komoly galibát.

Donald Trump jelenlegi elnök egyébként májusban írta alá azt az elnöki utasítást, mely az USA kiberbiztonsági szintjét hivatott emelni a szövetségi hálózatok, a kritikus infrastruktúra és a nyilvánosság internethozzáférésének fokozott védelmével. Ennek egyik része kiemelten említi az olyan közműrendszereket, mint az elektromos- vagy csatornahálózat, de szóba kerül a pénzügyi, az egészségügyi és a távközlési szektor védelmének fontossága is.

Visszatérve a konkrét esetre: a megcélzott vállalatok egyike a Wolf Creek Nuclear Operating Corporation volt, mely a kansasi Burlington mellett működő nukleáris erőművet (lásd nyitóképünk) üzemelteti. Az FBI és a Belbiztonsági Minisztérium közös jelentését a The New York Times hozta le; a cikk szerint a történtek a második legmagasabb kockázatú fenyegetést jelentik.

A kormányzati jelentés nem részletezte a kibertámadások célját, így nem tudni, hogy vajon kémkedési vagy károkozási céllal próbálkoztak a hackerek. Abban azonban nagy az összhang a szakértők között, hogy a támadók valószínűleg felmérték a számítógépes hálózat kiépítését és paramétereit, mely információk egy következő támadás során lehetnek hasznosak számukra. Bejutásukat a vezető mérnökökön keresztül érték el, akiknek hamis, malware-t tartalmazó önéletrajzokat küldtek. Amint a kritikus ipari vezérlőrendszerekhez hozzáférő alkalmazottak rákattintottak a csatolt Word állományra, az megfertőzte számítógépüket, melynek révén eltulajdoníthatták belépőazonosítóikat és kódjaikat.

Visszautasította a történtek részletes kommentálását a Wolf Creek Nuclear Operating Corporation szóvivője, de azt megjegyezte, hogy semmilyen, az erőmű működését érintő hatással nem voltak a történtek. Ennek okául a vállalati és a művelet hálózat egymástól való elkülönítését jelölte meg.

Az oroszok már az atomerőművekben vannak

Egyelőre nem ismert a támadás forrása, de a The New York Times értesülései szerint az alkalmazott hackertechnikák a kutatókat az Energetic Bear néven (is) ismert, állami háttértámogatással bíró orosz csoport tevékenységére emlékeztetik. A Symantec 2014-es kutatása szerint az orosz támadók korábban számos, az amerikai és európai energiaszektorban működő vállalat rendszerét fertőzték meg és adatait gyűjthették be, de a biztonsági cég szerint a folyamatirányítást tekintve is komoly károkat vagy zavarokat okozhattak volna, ha kihasználják lehetőségeiket.

A három évvel ezelőtti célpontok között villamosenergia-termelők és -elosztók, olajvezetékek üzemeltetői és energiaipari eszközbeszállítók is akadtak, elsősorban Spanyolországban, az Egyesült Államokban, Franciaországban, Olaszországban vagy Németországban, de a listán török, román és lengyel szervezeteket is találunk. A Symantec összesen 1018 szervezet érintettségéről beszélt 84 országban, ami a Kaspersky Labs adatai alapján több mint 2000 érintett felhasználót jelentett.

És nem ez volt az első eset, amikor az oroszok bepróbálkoztak az amerikai szervereken. Pillanatok alatt bejárta a világsajtót a The Intercept nagy ívű összeállítása, amely az NSA-tól kiszivárogtatott dokumentumok alapján leírta, mit csinálhattak az oroszok az amerikai elnökválasztási rendszerrel. Az NSA jelentése szerint valóban meghackelték az amerikai választásokat. A kibertámadást ráadásul az orosz katonai hírszerzés, a GRU (Glavnoje Razvedivatyelnoje Upravlenyije) hajtotta végre egy floridai cégen, a VR Systemsen keresztül, amelynek szavazógépit és szavazószoftverét nyolc tagállam (Florida, Illinois, Indiana, Kalifornia, New York, Észak-Karolina, Nyugat-Virginia, Virginia) használta.

A támadás két lépcsőben zajlott, ami nem számít rendkívülinek. Először célzott támadással a VR Systems kulcsembereinek küldtek olyan mailt, amely egy preparált weboldalra, ahol meg kellett adniuk belépési adataikat. Állítólag egy esetben sikerrel is jártak, és mivel kulcsalkalmazottakat, azaz valószínűleg kiemelt jogosultságokkal bíró munkatársakat támadtak, ez bővel elég is volt a továbbiakhoz.