Három éve épp karácsony előtt egy nappal okozott egy kibertámadás súlyos zavarokat az áramellátásban. 230 ezer ember maradt hosszabb időre áram nélkül. A támadást a BlackEnergy károkozóhoz kötötik. Azóta több hasonló támadást is azonosítottak lengyel és ukrán vállalatok ellen, melyek a BlackEnergy továbbfejlesztett variánsára épültek, áll az ESET friss jelentésében.

A támadások jellemzően a kritikus infrastruktúrát célozták. (Persze az, hogy mit tekintünk kritikus infrastruktúrának, közel sem evidens. Mint az Infotér egy kibervédelmi kerekasztalában elhangzott Magyarországon például a Nemzeti Bank rendszerét nem tekintik annak...)

Oroszok a spájzban

A támadás hátterében olyan, az orosz katonai hírszerzés, a GRU által támogatott hackercsoportokat sejtenek, melyek miatt a brit külügy a közelmúltban formálisan is kibertámadással vádolta Oroszországot.

Mint az ESET írja, a GreyEnergy eddig azért nem keltett feltűnést, mert – ellentétben a BlackEnergyvel vagy a TeleBotsszal – megpróbált észrevétlen maradni, és elsősorban kémkedés és felderítés a célja. Az ESET szerint ez felkészülés lehet egy később kiberszabotázsra, APT-támadásra.

Maga a GreyEnergy az elemzés szerint számos hasonlóságot mutat a BlackEnergyvel, de ezenfelül is több további jel erősíti a kapcsolatot. A GreyEnergy feltűnése egybeesik a BlackEnergy visszahúzódásával. Szintén azonosak a célpontok: mindkét károkozó a kiemelt infrastruktúrákat, többek között az energiaszektor vállalatait célozza. Földrajzilag is azonosak a támadás célpontjai: elsősorban Ukrajna, másodsorban Lengyelország.

A GreyEnergy sokkal kifinomultabb, mint elődje

A működési mechanizmusuk is hasonló. Moduláris felépítésűek, első lépésként egy egyszerűsített változat backdoort hoz létre a támadott rendszeren, amely admin jogokat szerezve telepíti a károkozó teljes verziót. A C&C szerverek működése és rejtőzködési módja is lényegében azonos, minden ilyen szerver aktív Tor node volt. Ez a feltételezések szerint a károkozócsoportnál általános operatív módszer lehet az üzemeltetők elrejtésére.

Mivel a GreyEnergy nem rombolni akar, értelemszerűen szeretne minél tovább a háttérben maradni. Ezért a moduljait intelligensen telepíti, mindig csak azt, amire szükség van. Egyes modulok AES-256 titkosítást kaptak, és csak a memóriában futnak (a merevlemezről viszont törlődnek), hogy nehezebb legyen őket azonosítani.

A BlackEnergy fejlődéstörténete

(Kattintson a képre, és nézze meg az ábrát nagyobb méretben!)

A fertőzéshez két fő támadási vektort használnak. Az egyik egy hagyományosabb módszer, az ún. spear fishing (magyarán szigonyozás). Ilyenkor a támadók egy belső személyen keresztül próbálnak bejutni a rendszerbe. Küldenek számára egy preparált mellékletet tartalmazó levelet, majd felhívják (pl. egy magasabb beosztású személy nevében), és kérik, hogy nyissa meg a csatolmányt. A másik gyakori módszer, hogy nyilvános webszerverek kompromittálásával fertőznek meg belső munkaállomásokat.

A Kreml reakciója: ez fake news

A britek, sőt már az amerikai hatóságok is egyre határozottabban állítják, hogy az oroszok kiterjedt kibertámadásokat indítottak. A GRU hackereinek a számlájára írják az Ukrajnát lebénító támadás mellett az amerikai Demokrata Párt vagy a Nemzetközi Doppingellenes Ügynökség, a WADA szervereinek feltörését és egy brit tévéadó ellen végrehajtott adatlopási támadást is.

Az oroszok szerint azonban mindez nem igaz. A Reuters idézi Dimitrij Peszkovot, a Kreml szóvivőjét, aki szerint nincs bizonyíték a GRU elleni vádakra, Peszkov hangsúlyozta, hogy Oroszország nem indított számítógépes támadásokat más országok ellen. Ezek csak üres vádak, és Oroszország belefáradt, hogy tagadja ezeket, mert úgysem hallgatja meg senki.

Az ESET megállapításait más kibervédelmi cégek is megerősítették. A FireEye kémkedési tevékenységet elemző csoportjának vezetője, Ben Read azt mondta a hírügynökségnek, hogy saját kutatásaik teljesen egybevágnak az ESET-ével.

Ez a cikk független szerkesztőségi tartalom, mely a T-Systems Magyarország támogatásával készült. Részletek »