Miért hallani olyan ritkán nyugati kiber­támadásokról?

A biztonsági cégek szinte kizárólag Oroszországból, Kínából, Észak-Koreából és Iránból érkező fenyegetésekről számolnak be. De egy kibertámadás egy orosz IT-cég iPhone-jait vette célba, és ezért az amerikai kormány hackereit okolják. Átírja ez az akció jófiúk és a rosszfiúk szereposztását?

Camaro Dragon, Fancy Bear, Static Kitten és Stardust Chollima - ezek nem a legújabb Marvel-filmek szuperhősei, hanem a világ legrettegettebb hackercsoportjainak nevei. Ezek az elit kibercsapatok évek óta titkokat lopnak és zavart okoznak, állítólag kormányaik utasítására. A biztonsági cégek rendszeresen figyelmeztetik az ügyfeleiket arra, hogy honnan származnak a kibertámadások, de az ezeket ábrázoló világtérkép egyes részei feltűnően üresek. De miért hallani olyan ritkán nyugati hackercsapatokról és kibertámadásokról?

Egy a hónap elején feltárt jelentős oroszországi hackertámadás talán adhat némi támpontot. A Kaspersky moszkvai központjának wi-fi hálózatán furcsa pingeket kezdtek regisztrálni, és a személyzet több tucatnyi mobiltelefonja egyszerre küldött információkat az internetre. A Kaspersky Oroszország legnagyobb kibercége, és egy a saját alkalmazottai ellen irányuló támadást volt kénytelen kivizsgálni. "Nyilvánvalóan rögtön egy kémprogramra gondoltunk, de eleinte elég szkeptikusak voltunk" - mondta Igor Kuznyecov vezető biztonsági kutató. "Mindenki hallott már olyan erős kibereszközökről, amelyek a mobiltelefonokat kémkedő eszközzé tudják változtatni, de én úgy gondoltam, hogy ez egyfajta városi legenda, ami valakivel máshol, valakivel máshol történik meg."

Több tucat fertőzött iPhone aprólékos elemzése után Igor rájött, hogy megérzésük helyes volt, valóban egy nagyszabású, kifinomult megfigyelési-hackelési kampány zajlott a munkatársaik ellen. Az általuk talált támadás a kibervédők rémálmai közé tartozik: a hackerek az iPhone-okat egy egyszerű iMessage üzenet elküldésével fertőzték meg, és ami automatikusan törölte magát, amint a rosszindulatú szoftver bejutott a készülékbe. "Bumm, megfertőződtél, és észre sem veszed" - mondja Igor. Ezután az áldozatok telefonjának teljes tartalma rendszeres időközönként elküldésre került a támadóknak. Üzeneteket, e-maileket és képeket töltöttek le, meg persze a kamerákhoz és mikrofonokhoz is hozzáfértek.


A Kaspersky moszkvai központja
A Kasperskynél régóta fennálló szabály, hogy nem keresik a támadót, mert nem érdekli őket, hogy az honnan indult. "A bájtoknak nincs nemzetiségük, és bármikor, amikor egy kibertámadásért egy bizonyos országot okolnak, akkor azt egy bizonyos céllal teszik" - mondja. Az orosz kormány persze nem követi ezt a protokollt. Ugyanazon a napon, amikor a Kaspersky bejelentette felfedezését, az orosz biztonsági szolgálatok azonnal közleményt adtak ki, amelyben azt írták, hogy "felfedeztek egy amerikai hírszerző szolgálatok által végrehajtott felderítési műveletet, amelyet az Apple mobilkészülékeinek felhasználásával hajtottak végre".

Az orosz kibernetikai hírszerző szolgálat nem tett említést a Kasperskyről, de azt állította, hogy "több ezer telefonkészüléket" fertőztek meg, amelyek oroszok és külföldi diplomaták tulajdonában voltak. A közlemény még az Apple-t is megvádolta azzal, hogy aktívan segített a hackerkampányban - az Apple tagadja ezt. Az állítólagos bűnös az Egyesült Államok Nemzetbiztonsági Hivatala, de az NSA nem kommentálta a történteket. Érdekesség, hogy a Kaspersky nem egyeztetett az orosz biztonsági szolgálatokkal, és a kormány bejelentése meglepetésként érte őket. Ez egyáltalán nem szokványos, mert a kiberbiztonsági világ azt hitte, hogy az orosz kormány a maximális hatás érdekében a Kasperskyvel közös közleményt adott ki.

Ezt a fajta taktikát a nyugati országok egyre gyakrabban alkalmazzák a hackerkampányok leleplezésére, és nem hagyják ki a lehetőséget a bűnös megnevezésére. A múlt hónapban például az amerikai kormány a Microsofttal közös közleményt adott ki, mely szerint kínai kormányzati hackereket találtak az amerikai energiahálózatban. Ezt a bejelentést gyorsan és előre láthatóan egyetértő kórus követte Amerika szövetségesei - az Egyesült Királyság, Ausztrália, Kanada és Új-Zéland, azaz az Öt Szem néven ismert társulás - részéről. Kína gyors tagadással reagált, mondván, hogy a történet az Öt Szem országai "kollektív dezinformációs kampányának" része. Mao Ning, a kínai külügyminisztérium tisztviselője Kína szokásos válaszával kommentált: "Mindenki tudja, hogy a hackervilág vezető szereplője az Egyesült Államok".

Oroszországhoz hasonlóan Kína is egyre agresszívebben hívja fel a figyelmet a nyugati hackertámadásokra. Az állami China Daily hírportál szerint a külföldi kormányok által támogatott hackerek jelentik ma az ország legnagyobb kiberbiztonsági fenyegetését, és idézték a 360 Security Technology kínai cég statisztikáját, mely szerint "51, Kínát célzó hacker szervezetet" fedeztek fel. Tavaly szeptemberben Kína azzal is megvádolta az Egyesült Államokat, hogy feltört egy a kormány által finanszírozott, repülési és űrkutatási programokért felelős egyetemet.


Kína sokkal több erőforrást fordít saját állampolgárai megfigyelésére, mint hírszerzésre
Sokan túlzásnak tartják a kínaiak vádját, miszerint az USA a hackerek birodalma, de van benne némi igazság. A Nemzetközi Stratégiai Tanulmányok Intézete (IISS) szerint támadóképesség, védelem és befolyás alapján az USA az első számú kiberhatalom a világon. A második ligában heten játszanak: Kína, Oroszország, az Egyesült Királyság, Ausztrália, Franciaország, Izrael és Kanada. A Belfer Centre for Science and International Affairs lap kutatói által összeállított National Cyber Power Index szintén az Egyesült Államokat tartja a világ legnagyobb kiberhatalmának. "A kémkedés rutinszerű a kormányok számára, és ez most már egyre inkább kibertámadások formájában történik. De a narratívák csatája zajlik, és a kormányok megnevezik szerintük ki viselkedik felelősen és felelőtlenül a kibertérben" - jelentette ki a lap vezető kutatója, Julia Voo. "Úgy tenni, mintha nem lennének nyugati hackercsoportok, nem felel meg a valóságnak."

"Nem szabad csak az egyik oldalról olvasni a hackertámadásokról szóló jelentéseket, mert az tudatlansághoz vezet" - mondja Voo. "Fontos a közvélemény általános felvilágosítása, mert alapvetően az államok közötti feszültségek nagy része itt fog lejátszódni a jövőben". Voo szerint követendőnek kellene lennie az Egyesült Királyság kormánya példájának, mely közzétette a Nemzeti Kiberhadsereg műveleteiről szóló első átláthatósági jelentését. A brit hackerek a kormányzati kommunikációs központból (GCHQ), Cheltenhamből tevékenykednek. "Nem túl részletes, de sokkal több, mint amit más országok elismernek" - mondja.

Az átláthatóság hiánya azonban maguktól a kiberbiztonsági vállalatoktól is eredhet. A nyugati kiberbiztonsági cégek sokszor egyszerűen azért nem látják a nyugati hackertámadásokat, mert nincsenek ügyfeleik a rivális országokban. Persze az is előfordulhat, hogy tudatosan döntenek úgy, hogy kevesebb erőfeszítést fektetnek egyes dolgok vizsgálatára. "Nem kétlem, hogy valószínűleg vannak olyan cégek, amelyek nem közlik mit tudnak egy nyugati támadásról" - mondja Rubrik Zero Labs vezetője, Steve Stone, aki azt is hozzátette, hogy soha nem volt része olyan csapatnak, amely szándékosan visszafogta volna magát.

Az Egyesült Királyságtól és az Egyesült Államok kormányaitól származó jövedelmező szerződések sok kiberbiztonsági vállalat számára jelentős bevételi forrást jelentenek. Ahogy egy közel-keleti kiberbiztonsági kutató mondja: "A kiberbiztonsági hírszerzési ágazatot nagymértékben uralják a nyugati gyártók, és őket nagyban befolyásolják ügyfeleik érdekei és igényei". A névtelenséget kérő szakértő egyike annak a több mint egytucat önkéntesnek, akik rendszeresen hozzájárulnak az APT Google Sheethez, egy ingyenesen megtekinthető online táblázathoz, amely a fenyegetések minden ismert esetét nyomon követi függetlenül azok eredetétől. Ezen szerepelnek NATO fenyegetések is olyan becenevekkel, mint a Longhorn, Snowglobe és Gossip Girl, de ez a lap elég üres a más régiókra és országokra vonatkozó lapokhoz képest.

A nyugati kibertámadásokkal kapcsolatos információk hiányának másik oka az lehet, hogy ezek gyakran lopakodóbbak és kevesebb járulékos kárt okoznak. "A nyugati nemzetek általában precízebb és stratégiai jellegű kiberműveleteket hajtanak végre, ellentétben az olyan nemzetekkel kapcsolatos agresszívebb és szélesebb körű támadásokkal, mint Irán és Oroszország" - mondja a szakértő. "Ennek eredményeként a nyugati kiberműveletek kevesebb zajt keltenek". A jelentések azért is hiányozhatnak, mert senki nem bízik az orosz vagy kínai kormány közléseiben, könnyű lesöpörni ezeket, mert általában nincsenek bizonyítékok. A kép persze úgy teljes, ha azt is elismerjük, hogy a nyugati kormányok szintén ritkán, vagy soha nem szolgáltatnak bizonyítékot, ennek ellenére általában hangosan és rendszeresen ujjal mutogatnak.