Gyöngyi
10 °C
25 °C
Index - In English In English Eng

Titkos elitcsapat segített megtörni a digitális dzsihádot

GettyImages-1137779576
2019.10.08. 17:30
Az Iszlám Államot a története csúcsán nemcsak a fél Közel-Kelet meghódítása és a véres terrorakciók tették hírhedtté, hanem az online terrorpropaganda terén korábban nem tapasztalt profizmusuk is. A világ eleinte megdöbbenve állt a jelenség előtt, de utána a csatatér mellett a kibertérben is sikerült visszaszorítani az IS-t. Ebben kulcsszerepe lehetett az ARES nevű amerikai elitalakulatnak, amely az USA történetének egyik legnagyobb kiberoffenzíváját indította meg az online terrorizmus ellen. Ez a hadművelet vízválasztó volt, azóta is példaként tekint rá az amerikai kiberparancsnokság. Az USA azóta egyre támadóbban lép fel a kibertérben, ami tudatos erődemonstráció, de a kritikusok szerint félő, hogy éppen ez az agresszió vezet a kiberhadviselés eszkalálódásához.

Az Iszlám Állam (IS) története jól ismert: a kétezres évek elején az al-Káida szövetségeseként indult terrorszervezet egy évtizeddel később, 2014-re ért a csúcsra és vált de facto állammá Irak és Szíria területén. Majd fokozatosan visszaszorult és elvesztette minden korábban megszerzett területét: 2017 végére gyakorlatilag megszűntek Irakban, 2019 márciusában pedig Szíriában is kihirdették a legyőzésüket. Ennek ellenére nem olyan könnyű teljesen megszabadulni tőlük, és a mai napig nem tűntek el teljesen.

Elsősorban a különös kegyetlenséggel véghez vitt kivégzéseik miatt váltak hírhedtté, de ezt az tette lehetővé, hogy minden korábbinál ügyesebben használták az internetet. A nevükben elkövetett európai és amerikai terrortámadások idején, a titkosítási vita hevében általában az került előtérbe, hogyan használtak titkosított csetalkalmazásokat a kommunikációjukhoz.

Az igazi újításuk azonban nem ez volt, hiszen más terrorcsoportok is jelen voltak és kommunikáltak már online. Az IS volt azonban az első, amely fegyverként használta az internetet azzal, hogy korábban soha nem látott online propagandahadjáratot indított. (Klasszikus kiberhadviseléssel is próbálkoztak, de a mezei oldaleltérítések szintjén megragadt, primitív hekkertámadásaik nem sok vizet zavartak. A legharsányabb hekkeléseket végrehajtó csoportról pedig ki is derült, hogy valójában nem az IS-hez kötődő hekkerek álltak mögötte, hanem egy magát iszlamistának kiadó orosz csapat.)

Az IS terroristái profin összerakott toborzófilmeket, hatásvadász videókat, saját hírügynökséget és mobilos híralkalmazást, online magazint és tévét működtettek, és (eleinte) aktívan használták a mainstream közösségi médiát, hogy elárasszák a netet a propagandaüzeneteikkel. Olyan információs hadviselést folytattak, amely korábban és azóta is inkább államokra volt jellemző.

Ez az újfajta fenyegetés az IS visszaverésén dolgozókat is új kihívások elé állította. A kezdeti sokk után a nagy online platformok el is kezdték irtani a terrorista tartalmakat, és az IS netes jelenléte némileg vissza is szorult. De ez valójában csak tüneti kezelésnek bizonyult. Ezért az amerikai kiberparancsnokság és a Nemzetbiztonsági Ügynökség létrehozott egy (akkor még) titkos csoportot Joint Task Force ARES néven – ennek magyarul a becsületes neve ARES összhaderőnemi alkalmi harci kötelék lenne, de maradjunk most csak annál, hogy ARES. Az elitcsapat által levezényelt hadművelet, az Operation Glowing Symphony (Ragyogó Szimfónia hadművelet) az amerikai hadsereg egyik legnagyobb és leghosszabb támadó kiberkampánya volt, és fontos mérföldkő az amerikai kiberhadviselés történetében.

Az ARES és a Glowing Symphony történetéről és jelentőségéről az elmúlt években már csordogáltak információk korábban titkosított iratokból, de a teljes kép csak az utóbbi időben kezdett összeállni. Most az NPR mutatta be, hogyan szerveződött és bontakozott ki a titkos hadművelet.

Felvették a kiberkesztyűt

Az ARES két kormányzati szerv közös projektjeként alakult. Az Egyesült Államok Kiberparancsnokságát (USCYBERCOM) 2009-ben hozták létre, 2018 májusától működik önálló parancsnokságként. A feladata az amerikai kiberhadviselési képességek összefogása és koordinálása. Jóval ismertebb a Snowden-féle megfigyelési botrányok miatt a Nemzetbiztonsági Ügynökség (NSA), amely a jelhírszerzésre, azaz lehallgatásokra, hekkelésre szakosodott hírszerző ügynökség. Mindkettő a védelmi minisztérium alá tartozik és a marylandi Fort George G. Meade katonai bázison működik. Az NSA mindenkori igazgatója egyben a kiberparancsnokság vezetője is.

Korábban is folyt már némi kiberhadviselés az IS ellen, de a támadásoknak csak rövid távú eredményük volt: lelőttek néhány szervert, amelyek helyett hamarosan újak álltak munkába. Ez volt a terroristacsoport online szárnya elleni első módszeres és szisztematikus fellépés, amely nem pusztán fizikailag akarta ellehetetleníteni az IS hálózatát és infrastruktúráját, hanem pszichológiai hadviselést is indított az azokat működtető tagok ellen.

Arról egyébként megoszlanak a vélemények, hogy az IS technikailag mennyire fejlett. Korábban több szakértő is arról beszélt, hogy a csoport kötelékében álló hekkerek se programozásban nem túl jók, se a tevékenységüket nem rejtik el túl ügyesen, a saját fejlesztésű eszközeik hemzsegnek a hibáktól, és tele van a net a nyomaikkal. Azt ma már nem nagyon lehet megállapítani, hogy ebben a bénázásban már benne volt-e az ARES keze, vagy pont fordítva, ez tette lehetővé a Glowing Symphony sikerét. A hadművelet mindenesetre még inkább szétzilálta az IS online jelenlétét.

A célpontok becserkészése

A Glowing Symphony 2016 őszén indult, azzal a céllal, hogy megbénítsa az IS online médiagépezetét, illetve a kommunikációjuk lehallgatásával és megzavarásával segítse az ellenük vívott fegyveres harcot.

Ez a terrorizmus elleni küzdelem merőben új frontja volt, és magát az amerikai offenzív kiberhadviselést is új szintre emelte.

A hadművelet első szakasza az előkészítésről és a tervezésről szólt. Összeállt egy hírszerzési elemzőkből, nyelvészekből, terrorizmusellenes szakértőkből, digitális helyszínelőkből, kártevőelemzőkből, kiberműveleti szakemberekből álló csapat. Mintázatokat kerestek a propagandaanyagok terjesztésében, apránként visszakövették a feltöltésük helyét, a megosztásukban részt vevő felhasználói fiókokat. És amennyire lehetett, magukat a fiókok mögött álló embereket is: milyen szokásaik vannak, hogyan nevezik el a profiljaikat, mikor kezdik a munkanapot, milyen appokat használnak, rákattintanak-e bármire, amit emailben kapnak, vagy ennél elővigyázatosabbak, és így tovább.

Végül kiszúrtak valamit, ami az egész hadművelet sikerét lehetővé tette: észrevették, hogy a teljes propagandagépezet mindössze 10 központi fiókot és szervert használ, szinte az összes globálisan terjesztett anyaguk ezeken folyik keresztül, minden további gép, fiók emailcím, pénzügyi tranzakció ezekhez kapcsolódik. Ebből a felfedezésből született és épült fel fokozatosan a Glowing Symphony. A terv ezeknek az átvétele és saját irányítás alá vonása, na meg a felhasználásuk volt.

2016 tavasza és nyara a felderítéssel és a felkészüléssel telt. Sikerült bejutniuk az IS hálózatára, ennek részleteiről keveset tudni, de nagy vonalakban a szokásos módszereket vetették be: adathalász emaileket küldtek, majd kártevőket juttattak be, hátsó ajtókat nyitottak, kémprogramokat telepítettek. Miután bejutottak, meg kellett vetniük a lábukat és terjeszkedniük a hálózaton. Adminisztrátori jogokat szereztek és megkezdték a hálózat felderítését. Benéztek minden mappába, hátha találnak valamit, ami később jól jöhet, például jelszavakat vagy titkosítási kulcsokat. Hozzáfértek emailekhez, a gépek tartalmához, feltérképezték a fontosabb szereplők közti kapcsolatrendszert. És összeállítottak egy célpontlistát.

Minél mélyebbre ásták magukat, annál inkább beigazolódott a kezdeti feltevés a 10 központi csomópontról. Kiderült azonban, hogy ezek a csomópontok nem Irakban vagy Szíriában voltak, hanem a világ különböző pontjain, olyan külföldi szervereken, amelyeken a terroristák tartalmai ártalmatlan polgári adatok, céges adatbázisok vagy éppen kórházi betegadatok között bújtak meg. Ezért az ARES hekkerei hónapokat töltöttek azzal, hogy kisebb gyakorlóbevetésekben biztosítsák – és bizonyítsák a nagyobb akciókat engedélyezni hivatott feletteseiknek –, hogy képesek sebészi pontossággal célba venni és megtámadni az IS-hez köthető tartalmakat, anélkül, hogy más adatoknak bármi bántódása esne.

A nagy rajtaütés

Végül több hónapos előkészítés és gyakorlás után 2016 novemberében lecsaptak. Az első nagy bevetés napján több mint nyolcvanan zsúfolódtak a műveleti terembe. Négy csapat tömörült egy-egy munkaállomás köré, a monitorjaikon az IS tagjainak bejelentkezési képernyői, a falon pedig egy célpontlista IP-címekkel és felhasználónevekkel – az IS médiagépezetének kulcsszereplőivel és online perszónáikkal.

Egyetlen nagy koordinált támadás keretében sorra egymás után bejelentkeztek a megszerzett fiókokba, ahol egyrészt adatot gyűjtöttek, például képernyőképeket mentettek későbbi elemzésre. Másrészt elkezdtek kárt okozni: fontos tartalmakat töröltek, szervereket állítottak le, szándékosan hibás hálózati beállításokat adtak meg, jelszavakat írtak át. Az NPR-nak nyilatkozó jelenlévők szerint olyan volt, mint amikor élő videón nézik, ahogy egy kommandós csapat rajtaüt egy régóta megfigyelt főhadiszálláson, és fokozatosan haladnak egyre beljebb az épületben.

Voltak olyan pillanatok, amikor a hadművelet majdnem elbukott valami banális akadályon. Például amikor beléptek az egyik célpont fiókjába a korábban megszerzett jelszóval, de szembe találták magukat egy egyszerű biztonsági kérdéssel: “Hogy hívják a háziállatodat?” A beszámolók szerint megállt a levegő a teremben, néhány pillanatra mindenki azt hitte, hogy itt nem jutnak tovább, és lemondhatnak az erre a fiókra épülő további több tucat célpontról is. Aztán egy elemző felállt, és azt mondta: “1-2-5-7”. Közel egy éve figyelte az illető IS-tagot, és feltűnt neki, hogy mindenre ezt a számsort használja. Jobb híján ezt írták be ide is – és már bent is voltak.

Órákon keresztül vadásztak, sorra lőtték ki a célpontokat, és végül mind a 10 propaganda-csomópont fölött átvették az irányítást. Az IS tagjai egyszer csak azt vették észre, hogy kizáródtak a saját fiókjaikból, a jelszavaik nem működnek, a tartalmaik eltűntek, a hálózatuk akadozik, a gépek hibaüzeneteket dobálnak.

Terroristabosszantás

A Glowing Symphony az első támadási hullám után is folytatódott. Az öt fő célja ezután ez volt:

  • nyomás alatt tartani a médiagépezetet,
  • általában is megnehezíteni az IS netes működését,
  • támogatni a terepen az IS ellen küzdő fegyveres csapatokat,
  • akadályozni az online pénzgyűjtésüket és
  • mindebben együttműködni más amerikai és szövetséges ügynökségekkel.

A fegyveres támadások segítése egyébként olyan hatékony volt, hogy 2016 decemberében az IS felszólította a tagjait, hogy hagyjanak fel a mobilos appok használatával a kommunikációjukban, mert az amerikaiak ezek megfigyelésével tudják pontosan bemérni és kilőni a parancsnokaikat.

Ez a második fázis már nem a nagy támadásokról szólt, inkább a korábban megszerzett kontrollt felhasználva igyekeztek apró-cseprő kellemetlenkedéssel megkeseríteni a terroristák életét: lassították a letöltéseket, megszakították a netkapcsolatot, programhibákat idéztek elő, jelszavakat változtattak meg, oda nem illő képeket illesztettek propagandavideókba, távolról merítették le a terroristák mobiljait és hasonlók.

Ezeknek a bosszantásoknak a célja a zavarkeltés volt az IS sorain belül, illetve a pszichológiai nyomásgyakorlás, hogy apránként, belülről erodálják a morált. Próbálták úgy eljátszani a technika ördögét, hogy az áldozatok még pont ne gyanakodjanak külső támadásra. A művelet jelentéseit ismerők szerint hat hónappal az első támadás után

az IS médiagépezete már csak korábbi önmaga árnyéka volt.

A kritikusok szerint a valódi siker az lenne, ha az IS teljesen eltűnt volna a netről, és mivel ez nem történt meg, a Glowing Symphony sem tekinthető sikernek. Paul Nakasone, az NSA és a kiberparancsnokság jelenlegi vezetője, aki a Glowing Symphony indulásakor még az ARES-t irányította, máshogy látja. Szerinte az IS rákényszerült, hogy átalakítsa a működésmódját, és amíg korábban rengeteg pénzt gyűjtöttek a neten, illetve akadálytalanul terjesztették a jó minőségű propagandavideóikat, ma már a kibertérben is jelentősen visszaszorultak.

Azt persze nehéz megmondani, hogy az IS hanyatlásában mekkora szerepe volt az ARES-nak, hiszen a terrorszervezet közben a való világbeli csatatéren is jelentős vereségeket szenvedett. Az ARES mindenesetre a mai napig működik, az operátorai pedig még mindig ott vannak az IS hálózatában, és igyekeznek kordában tartani őket, hogy ne fordulhasson elő újra olyan kontrollálatlan növekedés, mint korábban.

Erődemonstráció vagy eldurvulás?

A Glowing Symphony jelentőségét elsősorban nem maga az IS elleni küzdelem sikere adja, hanem az azóta folytatott amerikai kiberstratégiára gyakorolt hatása. Ez volt ugyanis a kiberparancsnokság első éles tesztje egy olyan probléma kezelésében, amely méretében és összetettségében már hasonlított arra, ahogyan egy állam elleni kiberhadviselés is kinézne: globális méretű volt, jelentős nemzetközi koordinációt igényelt, illetve szoros együttműködést a kibertérben és a valódi csatatéren harcolók között. Nem mellesleg demonstrálta, hogy a kiberparancsnokság képes gyorsan összerántani kifejezetten egy-egy területre szabott, gyors reagálású elit speciális egységeket.

Az ARES és a Glowing Symphony kommunikációs szempontból is vízválasztó.

Az Obama-adminisztrációban még nagyrészt tabunak számított kibertámadásokról beszélni, mert kérdéses volt, hogy a kártyák kiterítése nem kontraproduktív-e, már csak azért is, mert megnehezíti a konfliktusok diplomáciai rendezését. Az IS elleni hadművelet kapcsán viszont már jóval közlékenyebbnek bizonyult a kormányzat. Ez részben azért is lehet, mert erkölcsileg könnyebben igazolható egy terrorszervezet ellen (kiber)fegyvereket bevetni, mint egy szuverén állammal szemben. Ugyanakkor a Trump-érában megfigyelhető egy határozott eltolódás az offenzívabb kiberstratégia irányába, ezzel összhangban pedig az ilyen támadások nyíltabb kommunikációja erődemonstrációs célt is szolgálhat.

Ezt a támadóbb fellépést jelzi, hogy a kiberparancsnokság 2018-ban önálló parancsnoksággá vált, amivel nagyobb hatáskört is kapott, például elnöki jóváhagyás nélkül is elindíthat bizonyos kibertámadásokat. Az ARES mintájára pedig tavaly alakítottak, majd idén áprilisban állandósítottak egy Russia Small Group nevű csapatot is, amelynek a feladata, hogy visszaverje, illetve megelőző csapásokkal elébe menjen az orosz kibertámadásoknak.

A Russia Small Group a 2018-as amerikai félidős választások előtt le is csapott az orosz Internet Research Agency trollfarmra, amely már a 2016-os választások befolyásolásában is szerepet játszott, és ez még csak a választások környéki négy akciójuk egyike volt. Az pedig Idén júniusban derült ki, hogy Amerika még szintén a 2018-as választások környékén kártevőket juttatott az orosz áramellátási rendszerbe. (Az amerikai áramszolgáltatók rendszereibe meg az oroszok férkőztek be már korábban.) Azt nem tudni biztosan, hogy ez az akció is ehhez a csapathoz köthető-e.

A kiberképességek ma már a hadviselés bevett eszközei. Attól, hogy az amerikai kormány ma már nyíltabban beszél ezekről a képességekről és akciókról, remélhetnek bizonyos elrettentő hatást, azaz bízhatnak abban, hogy a kiberarzenáljuk megvillantása visszatartó erővel bír a potenciális támadók szemében. Több szakértő azonban óva int a túlzott agressziótól és kérkedéstől, mert éppen ez a virtuális fegyvervillogtatás vezethet a konfliktusok eszkalációjához, sajátos kiberfegyverkezési versenybe hajszolva a feleket.

(Borítókép: A kurdok által vezetett, amerikai támogatású Szíriai Demokratikus Erők (SDF) bejelentik az Iszlám Állam 100 százalékos területi vereségét / Chris McGrath/Getty Images)