Lázár, Olimpia
-2 °C
3 °C

Az interneten zajlik az új hidegháború

2013.02.21. 15:03
A kínai hekkertámadások egyre nagyobb problémát jelentenek az Egyesült Államoknak. Egy nagyvállalatokat, ipari létesítményeket és stratégiai fontosságú intézményeket támadó hekkercsoportról azt feltételezik, hogy a kínai hadsereg finanszírozza a működésüket. A kínai kormány tagadja a vádakat, de az információbiztonsággal foglalkozó Mandiant szerint egyértelműen megállapítható az összefonódás.

Sanghaj egyik lepusztult külvárosában, a Datong úton van egy tizenkét emelet magas fehér épület, ahol a Kínai Népi Felszabadító Hadsereg (KNFH) 61398-as egysége működik. A legutóbbi vizsgálatok szerint itt tevékenykedik az a hekkercsoport, aminek tagjai az elmúlt években több ezer támadást indítottak, többnyire észak-amerikai, azon belül is egyesült államokbeli célpontok ellen. A támadások zöme amerikai vállalatok, szervezetek és kormányügynökségek ellen irányult.

Jelentős, állandó veszélyforrás

A kibertámadásokkal és információbiztonsággal foglalkozó vállalat, a Mandiant a közelmúltban hozta nyilvánosságra az esettel foglalkozó hatvanoldalas jelentését. Ebből kiderül, hogy a kínai hekkerek tevékenysége az elmúlt években drámai mértékben megnőtt, és ezek egyre több szálon vezethetők vissza a KNFH-hoz.

A Mandiant a támadások forrását APT 1 (Advanced Persistent Threat 1, jelentős, állandó veszélyforrás) néven emlegeti. Az APT 1 a Mandiant szerint elsősorban angol nyelvű célpontokat támad, és világszerte kiterjedt számítógépes infrastruktúrát üzemeltetnek, ami arra utal, hogy egy nagy szervezet áll mögöttük, amit több tucat, vagy akár több száz üzemeltető működtethet. A Mandiant jelentésében az áll, hogy az APT 1 módszeresen lopott el több száz terabájtnyi adatot, legalább 141 szervezettől; az 1905 vizsgált eset 97 százalékában a támadások egy sanghaji IP tartományból indultak, egyszerűsített kínai nyelvet használó számítógépekről.

A kiberbiztonsági szervezet által azonosított elkövetőket az Államokban Comment Crew, illetve Shanghai Group néven ismerik. Az azonosítás során bemérték őket: megállapították, hogy a támadás forrása a KNFH-hoz tartozó 61398-as egység környékéről érkeztek. Más információbiztonsági szervezetek szintén kivizsgálták a Comment Crew tevékenységét; ők úgy látják, olyan jól felszerelt csoportról van szó, hogy az sem kizárt, hogy az állam finanszírozza a munkájukat. A National Intelligence Estimate által kiadott, az amerikai hírszerzési ügynökségekhez eljuttatott dokumentum szerint a támadókat vagy a kínai hadsereg tisztjei irányítják, vagy egy, a parancsnokság által szerződtetett csoport – legalábbis ezt állítják azok, akik ismerik a teljes, titkosítatlan dokumentumot.

Noha elfogni sosem sikerült őket, a Comment Crew több terabájt adatot lopott amerikai nagyvállalatoktól, például a Coca-Colától. Ezek a támadások, bár szintén több milliárdos kárt okozhatnak, csak az egyes cégeket veszélyeztetik. Aggasztóbb az a tendencia, hogy a csoport egyre inkább a kritikus fontosságú infrastruktúrák, például a vízművek és az elektromos hálózat üzemeltetői felé fordulnak.

Az ügyben megszólaló biztonsági szakértők szerint az egyik célpont egy olyan amerikai vállalat volt, ami az észak-amerikai olaj- és gázvezetékek több mint hatvan százalékát felügyeli. A Comment Crew egy biztonságtechnikai céget, az RSA-t is megtámadta – az ő számítógépes rendszerük titkos vállalati és kormányzati adatbázisokat véd. Tavaly októberben pedig maga a Fehér Ház is elismerte, hogy az amerikai kormány számítógépes hálózatát – beleértve a nukleáris rendszerek üzemeltetéséért felelős katonai rendszereket – kínai hekkerek támadták meg.

Kína tagadja a vádakat

A Kínából induló támadások mértéke az elmúlt években ugrásszerűen megnőtt, legalábbis ezt állítják a biztonságtechnikai szakértők. Ezek a cégek és az amerikai hírszerzés körülbelül húsz csoportot ismer, akik kapcsolatban állhatnak a vállalatokat és állami cégeket támadó hekkerekkel. A washingtoni kínai követség hétfői közleményében ugyanakkor hangsúlyozta, hogy a kínai kormánynak nincs köze a támadásokhoz. A követség álláspontja az, hogy Kína éppúgy áldozata a kiberbűnözésnek, mint az Egyesült Államok, és rámutattak, hogy az USA-ban is számos hekkercsoport tevékenykedik.

Hong Lei, a kínai külügyminisztérium képviselőlje keddi közleményében arról beszélt, hogy felelőtlen és szakmaiatlan viselkedésre vall, hogy előzetes eredményekre építenek alaptalan vádakat, és ez nem fog segíteni a probléma megoldásában. A kínai fél határozottan ellenzi a hekkertámadásokat; arra hivatkoznak, hogy szigorú törvényeket hoztak, amik tiltják és büntetik az efféle tevékenységet.

A Fehér Ház hírszerzési bizottságának képviselője, Mike Rogers szerint a Mandiant-jelentés egybevág azzal, amit a hírszerzés is már régóta megállapított. A Fehér Ház már többször is aggályát fejezte ki a kiberbűnözés miatt, ami néha egészen a magas rangú kínai tisztviselőkig, illetve a KNFH-ig vezethető vissza. Az amerikai kormány épp ezért a jelenleginél sokkal keményebb fellépést tervez. Barack Obama elnök a múlt héten írta alá a direktívát, ami biztosítja, hogy az amerikai internetszolgáltatók megkapják azokat az információkat, amik a legnagyobb hekkercsoportok egyedi digitális nyomait tartalmazza, és segíthet a Comment Crew, illetve más, a 61398-as egységhez kötődő hekkercsoport azonosításában.

Hekkerek erkölcstana

Az amerikai kormánynak, ahogy a kínaiaknak is, megvan a saját kiberhadserege. Az USA az izraeliekkel együttműködve fejlesztette ki például az ipari létesítmények megtámadására használt, roppant kifinomult Stuxnet vírust, amivel az iráni urándúsítókat támadták. A kiberhadviseléssel foglalkozó kormányszervezetek az elmondottak alapján szigorú szabályok szerint működnek: ezeknek a csoportoknak a szabályzata tiltja a nem katonai célú eszközök használatát és a vállalati adatok lopását.

Úgy tűnik, minderre nagy szükség van. Washington szerint a Kínából érkező támadások intenzitása és kifinomultsága az utóbbi időben olyan mértéket öltött, hogy az veszélyeztetheti a Washington és Peking közti diplomáciai kapcsolatot is. Sokat elmond a helyzetről a Fehér Ház egyik magas rangú tisztviselőjének kommentárja: „A hidegháborúban minden erőnkkel a Moszkva közelében található nukleáris központokra összpontosítottunk. Elmondhatjuk, hogy mára legalább ennyi aggodalmat okoznak a sanghaji szerverek.”

The number of the beast is 61398

A 61398-as egység egység szinte semmilyen hivatalos katonai nyilvántartásban vagy feljegyzésben nem szerepel. A csoport tevékenységét tanulmányozó hírszerzési elemzők szerint mégis ez az egység a kínai számítógépes kémkedés központi szervezete. A kiberbiztonsággal foglalkozó Project 2049 Institute szerint az egység elsősorban az Egyesült Államokat és Kanadát támadja, és többnyire politikai, gazdasági és katonai jellegű hírszerzést folytatnak.

A Mandiant hat évig figyelte a Comment Crew munkamódszereit. A csoport előszeretettel ágyaz rejtett kódokat weboldalakba, és a digitális lenyomatokból megállapítható, hogy a támadók többnyire ugyanolyan típusú malware-t (malicious software - rosszindulatú program) használnak. A Mandiant szerint a támadások minden bizonnyal a sanghaji 61398-as egységtől érkeznek. Ahogy finom cinizmussal megfogalmazták, ezen kívül csak egy lehetőség van: az, hogy egy titkos, jól finanszírozott, a kínai nyelvet tökéletesen beszélő szervezet műve az egész, akik közvetlenül hozzáférhetnek az összes telekommunikációs rendszerhez Sanghajban, és több éve ipari méretű kémkedést végeznek, közvetlenül a 61398-as egység székházának bejárata előtt.

A Comment Crew tevékenységét nem csak a Mandiant követte nyomon. 2011-ben Joe Stewart, a Dell SecureWorks elemzője az RSA elleni támadásból visszamaradt malware-t vizsgálva állapította meg, hogy a hekkerek milyen eszközt használtak a támadás kiindulópontjának titkosításához. A kód visszafejtésével sikerült megállapítani, hogy a lopott adatok nagy része ugyanahhoz az IP címhez kapcsolódik, amit később a Mandiant is azonosított. A Dell SecureWorks gyanítja, hogy az egyik legnagyobb kínai hekkertámadás, az Operation Shadow Rat művelet résztvevői állhatnak az adatlopások mögött.

A Párt élharcosai

A kínai hadsereg egyik legismertebb hekkere UglyGorilla nicknéven fut. A hekker először 2004 januárjában tűnt fel egy kínai katonai fórumon, arról érdeklődve, hogy Kínának van-e olyan kiberhadserege, mint az Egyesült Államoknak. Három évvel később, 2007-ben UglyGorilla készített egy malware-t, amit a biztonságtechnikai szakértők mára egyértelműen azonosítani tudnak. Egy másik hekker, DOTA ahogy a Mandiant elnevezte – emailfiókokat hozott létre, amiket a malware terjesztésére használtak. A Mandiant többször is megfigyelte, hogy a támadók gyakran belépnek a Twitter- és Facebook-fiókjukba, amit csak a kínai tűzfal megkerülésével tehettek meg – ez könnyítette meg az azonosításukat is. A két hekker IP címe ugyanaz volt, mint a 61398-as egységé.

A kínai állam és a hekkercsoport összefonódását bizonyíthatja az a dokumentum is, ami az állami telefonvállalattól, a China Telecomtól származik. Ebben az áll, hogy a China Telecom nagy sebességű száloptikás vezetékeket telepítene a 61398-as egység főhadiszállásának közelébe.

Egyre nagyobb a veszély

A Mandiant elsősorban a kínai fél következetes tagadása miatt döntött úgy, hogy nyilvánosságra hozzák a bizonyítékokat. Ezekből kiderült, hogy a hekkercsoport tagjai technológiai tervrajzokat, gyártási eljárások dokumentumait, klinikai teszteredményeket, árképzési dokumentumokat, tárgyalási stratégiákat tartalmazó iratokat és más védett információkat loptak magáncégektől és kormányhivataloktól egyaránt. A megtámadott nagyvállalatok között ipari létesítmények is voltak, például katonai szervezetek, vegyi üzemek, bányák, illetve távközlési cégek.

A Mandiant úgy véli, a nyilvánosság ereje új lendületet adhat az ügy rendezésének; mivel Obama már az országértékelő beszédében is szóba hozta a kiberbűnözés jelentette fenyegetést, mostanra mindenkihez eljuthatott a hír. Az elnök, bár részleteket nem árult el, beszédében azt mondta: „Tudjuk, hogy idegen hatalmak és vállalatok lopják a vállalati titkainkat. az ellenségeink azt vizsgálják, hogy szabotálhatnák az elektromos hálózatot, a pénzügyi intézményeket vagy a légiirányítási rendszert. nem tehetjük meg, hogy évek múlva nézünk hátra, azon csodálkozva, hogy miért nem tettünk semmit.”

A helyzet valóban egyre súlyosabbnak tűnik. A közigazgatás képviselői szerint évekkel ezelőtt az ipari kémkedés és az adatlopás inkább bosszúság volt, mint komoly probléma – még annak ellenére is, hogy évente több milliárd dollár veszteséget okozott az Egyesült Államoknak. A helyzet azonban egyre jobban elfajulni látszik. Mivel a csoportok tevékenységét egészen a KNFH-ig sikerült visszavezetni, jogos elvárásnak tűnhet a 61398-as csoporttal szembeni határozott fellépés igénye. Rogers szerint a kínaiakat egyelőre semmi sem ösztönzi arra, hogy hagyjanak fel a tevékenységükkel, és ha nem lépnek föl kellő határozottsággal, ez a helyzet a jövőben csak tovább fog romlani.

Keleti veszedelem

A jelentéssel egy időben a Mandiant egy videót is nyilvánosságra hozott a támadók munkamódszeréről; ezen nyomon követhető, ahogy a hekkerek angol nyelvű célpontokat támadnak. A támadók a spearfishing (szigonyozás) módszerével dolgoznak; ennek a lényege, hogy emaileket küldenek a célpontoknak, ártalmatlannak tűnő csatolmányokkal. A vizsgált esetben a csatolmányok neve Salaryadministrationpolicy.zip, illetve SecurityReform.pdf volt – vagyis olyan fájlok, amiket munkavégzés közben gyakran feltűnhetnek a levelezésben, és emiatt nem is tűnnek gyanúsnak.

A csatolmányok azonban nem tömörített fájlok és nem is szöveges dokumentumok, hanem kártékony állományok. Ha a felhasználó letölti ezeket, a program személyes információkat és dokumentumokat továbbít a támadónak. A felhasználó tehát maga engedi be a gépre a kártékony tartalmakat, ami megnehezíti az efféle támadások elleni védekezést.