A hekkerek azonban nemcsak az internetező felhasználókat vették célba a járvány kellős közepén, hanem a kórházakat és más egészségügyi intézményeket is. Illetve úgy pontosabb, hogy a járványhelyzet ellenére sem hagytak fel az ilyen támadásokkal, hiába gondolhatnánk naivan, hogy valamiféle erkölcsi norma ilyenkor felülírja az anyagi érdekeket – sőt hiába állította még némelyik hekkercsoport is, hogy a kórházakat tabuként kezelik.

A támadók azonban mindenki másra is lőnek. A vállalati célpontok elleni támadások ráadásul most a szokásosnál is vonzóbbak, mert a járvány miatt home office-ba kényszerült dolgozók tömegei nincsenek megfelelően felkészülve, felkészítve erre a helyzetre, így a céges rendszerek még a szokásosnál is sebezhetőbbek.

Kihasználják a felhasználók aggodalmát

A járvány által inspirált átverések trendje villámgyorsan felfutott, világszerte már napi több ezer koronavírus tematikájú adathalász oldalt hoznak létre a támadók. A Nemzeti Kibervédelmi Intézet (NKI) is figyelmeztetést adott ki arról, hogy február óta itthon is megnövekedett az adathalász és az álhírterjesztő tevékenység, és az elkövetők gyakran nemzetközi szervezeteknek adják ki magukat, hogy hozzáférjenek a tőrbe csalt felhasználók személyes adataihoz.

Gyakoriak az Egészségügyi Világszervezet (WHO) és az amerikai közegészségügyi központ (CDC) nevével való visszaélések is. A csaló emailek mellett a szervezetek jelentése szerint az elmúlt hetekben megugrott az ő hivatalos oldalaikra nagyon hasonlító doménnevek bejegyzése is, hogy a támadók ezekre tereljék a gyanútlan felhasználókat, majd valamilyen koronavírusos tájékoztatónak álcázott kártevő letöltésére vegyék rá őket.

A legtöbb koronavírusos átverés valamilyen adathalász próbálkozás, de a helyzetet mégis talán a CovidLock nevű zsarolóvírus jellemzi legjobban, amely koronavírus-követő appnak álcázza magát, de miután a gyanútlan felhasználó minden hozzáférést megad neki, lezárja és titkosítja a teljes telefont, és a feloldásáért váltságdíjat követel.

A mostani helyzetben a társadalom is szétszakadozott, mindenki szeparálva éli az életét, emiatt is megnő annak a lehetősége, hogy valaki ilyen támadás áldozatává váljon, mert kevésbé kommunikál másokkal, kevésbé derül ki, ha valami átverés

– mondta az Indexnek Antal Lajos, a Deloitte Central Europe Kiberbiztonsági szolgáltatások üzletágának vezetője, aki szerint a telefonos csalásoknak is pont ezért lehet most újra felfutásuk.

Antal Lajos, a Deloitte Central Europe Kiberbiztonsági szolgáltatások üzletágának vezetője

Fotó: Kékesi Donát / Deloitte

Az egészségügy is célkeresztben

Nemcsak a mezei felhasználóknak kell különösen vigyázniuk, mire kattintanak. A jelek szerint a járvány frontvonalában küzdő kórházak és más egészségügyi intézmények sem élveznek immunitást, hiába mindannyiunk érdeke, hogy bírják a megnövekedett terhelést.

A kórházak már a járvány előtt is vonzó célpontnak számítottak, mert a kórházi rendszereken gyakran elavult, ezért sérülékeny operációs rendszerek és programok futnak, gyakran a hálózat sincs kellőképpen védve, és jellemzően a dolgozók kiberbiztonsági tudatosságának fejlesztésére se helyeznek hangsúlyt. De főleg azért, mert más ágazatokhoz képest jóval nagyobb a fizetési hajlandóság, hiszen minél hosszabb ideig tart egy leállás, annál több emberélet kerülhet veszélybe – ami most pláne igaz, hogy a koronavírus-járvány miatt a kórházak a teljesítőképességük határán egyensúlyoznak.

A kórházak korábban leginkább zsarolóvírusos támadásokban voltak érintettek. A zsarolóvírusok olyan kártékony programok, amelyek egy számítógépre jutva titkosítják a fájlokat vagy akár az egész lemezt, és váltságdíjat követelnek azért, hogy a tulajdonos újra hozzájuk férhessen. Az utóbbi években egyre gyakoribbak az ilyen támadások, bénított már meg egész városokat zsarolóvírus, néhány éve pedig a WannaCry és a NotPetya a fél világon végigsöpört.

A Bleeping Computer emailben megkérdezett több ismert zsarolóvírus mögött álló csoportot, hogy felhagynak-e a járvány alatt az egészségügyi intézmények támadásával. Mind az öt válaszoló azt állította, hogy vagy soha nem is vett célba ilyen intézményeket, vagy a járvány idejére felfüggesztik az ilyen támadásokat – ami szépen hangzik, de bűnözői ígéreteket érdemes erős fenntartással kezelni. Pláne, hogy valaki mégis csak világszerte támadja az egészségügyi intézményeket.

Csak az elmúlt néhány hétben több ilyen és más jellegű támadás is történt:

• Március 11-én az Illinois állambeli Champaign-Urbana közegészségügyi ügynökségének rendszereit bénította meg zsarolóvírus.
• Március 13-án támadás érte a Brnói Egyetemi Kórházat, amely Csehország egyik legnagyobb koronavírus-tesztlaborja. A teljes informatikai hálózatot le kellett állítani, és műtéteket is kénytelenek voltak elhalasztani. Az incidensről nem közöltek részleteket, de valószínűsíthetően zsarolóvírus-támadásról van szó.
• Néhány nappal később túlterheléses támadás indult az amerikai egészségügyi minisztérium ellen.
• Egy héttel később a párizsi kórházhálózatot üzemeltető AP-HP-t érte szintén túlterheléses támadás, de ezt a hírek szerint a szervezet sikeresen elhárította.
• Nem sokkal utána pedig a WHO munkatársainak jelszavait próbálták megszerezni a szervezet belső levelezőrendszerét utánzó adathalász oldallal. A támadók kiléte nem ismert, sajtóértesülések szerint az akció mögött a DarkHotel nevű dél-koreai kötődésű hekkercsoport állhatott.

Magyarországi kórház elleni támadásról a járvány kezdete óta nem lehetett hallani, ami örömteli, tekintve, hogy néhány éve magyar kórházakat is elért az akkoriban fellendülőben lévő zsarolóvírus-hullám. (Hazai kórházak nevében fertőzött emaileket küldözgető csalók viszont már felbukkantak.)

Az egészségügyet ért támadások a biztonsági szakmában is sokakat felháborítottak. Kiberbiztonsági szakemberek egy csoportja önkéntes alapon felajánlotta a segítségét a kórházak védelmében: azonosítják az aktív csoportok által kihasznált sebezhetőségeket, aztán kijavítják ezeket a kórházi rendszerekben. A CTI League nevű csoportosuláshoz már 40 országból több mint 500-an csatlakoztak. Egy másik ilyen kezdeményezés a Cyber Volunteers 19, amelyben már több mint háromezer önkéntes vesz részt.

Ki állhat a támadások mögött?

A fenti esetek túlnyomó többségében szinte semmit nem lehet tudni az elkövetők kilétéről. A támadók azonosítása amúgy is nagyon nehéz műfaj, mert pusztán a hátrahagyott nyomok ritkán jelentenek 100 százalékos bizonyítékot, általában inkább csak erős feltételezések állapíthatók meg. Ráadásul ezek a nyomok szándékosan félrevezetők is lehetnek. Minderről ebben a cikkünkben írtunk részletesebben.

Egyes szakértők elképzelhetőnek tartják, hogy némelyik támadás hátterében nem puszta anyagi haszonszerzési szándék, hanem állami érdekek állhatnak. „Ezekben az időkben gyakorlatilag felbecsülhetetlen értékű minden információ működő kezelésekről, tesztekről, vakcinákról, és ezek bármelyik járvány sújtotta ország információszerzési hivatalának prioritási listáján előkelő helyen szerepelnek" – mondta például a Reutersnek a Kaspersky szakértője, Costin Raiu a WHO elleni támadás kapcsán.

Antal Lajos szerint nagyobb annak a valószínűsége, hogy klasszikus haszonszerzésre irányuló, mintsem állami érdekek által motivált támadásokról van szó. Mint mondta, utóbbi esetben jellemzően az áldozat működésének az ellehetetlenítése a cél, nem bevételszerzés, a kórházak viszont kifejezetten gyors anyagi haszonnal kecsegtető célpontok most. Még akkor is, ha történetesen rendelkeztek a zsarolóvírusok elleni védekezés alapvetésének számító biztonsági mentésekkel.

Ilyen helyzetben nem lehet napokig a visszaállításon dolgozni. Ha valaki komoly zsarolóvírus-támadás áldozata, és még van is megfelelő biztonsági mentése, akkor is nagyon nehéz valóban visszaállni, a gyakorlatban napokról, hetekről, bizonyos esetekben akár hónapokról lehet szó, mire a rendszert teljesen stabilizálni lehet. Ezért aki pénzszerzésre utazik, feltételezhetően nagyobb eséllyel jár most sikerrel, megnőhet a fizetési hajlandóság

– mondta Antal Lajos.

Első ránézésre a a túlterheléses támadások tűnhetnének inkább kifejezetten a zavarkeltést célzó akciónak, de Antal szerint ezeknél is gyakori forgatókönyv, hogy a támadók először csak ízelítőt adnak abból, mire képesek, majd a következő, nagyobb támadáshullámmal fenyegetve próbálnak pénzt kizsarolni a célponttól. A fenti esetekben nem tudni, hogy így történt-e, de a nyilvánosságra hozott információk alapján ez legalább olyan reális forgatókönyv.

A helyzet tisztázását szintén hátráltatja, hogy most az incidensreagálás is nehezített feladat. Egy-egy támadás után a számítógépes felderítés egészen hasonlóan zajlik ahhoz, ahogy a járványügyi szakemberek térképezik fel a vírus terjedését: meg kell találni a fertőzés forrását, azonosítani kell az első fertőzöttet, fel kell építeni az események idővonalát, és így tovább. Általában az incidensreagáló csapatok több országból állnak össze, a helyzettől függően a szükséges területek szakértőit több helyről gyűjtik össze. "Most, amikor nem lehet országok között mozogni, és még országon belül is nehezen, akkor értelemszerűen a kitettség sokkal nagyobb, mert azok a szakértők, akik tudnának az esettel foglalkozni, nem, vagy korlátosan lesznek elérhetők" – mondta Antal Lajos, aki szerint a munka második része, az elemzés már bárhonnan végezhető, de a bizonyítékok begyűjtése problémássá vált.

Bár az egészségügyi intézmények elleni támadások esetében nem bizonyított, hogy állami hekkerek lettek volna az elkövetők, több másik koronavírusos akció nagy valószínűséggel köthető állami hátterű csoportokhoz. Különböző biztonsági cégek jelentései szerint az orosz államhoz köthető Hades Ukrajnában, az észak-koreai Kimsuky Dél-Koreában, a kínai Mustang Panda Vietnámban, a szintén kínai Vicious Panda pedig Mongóliában terjesztett hivatalos helyi koronavírusos tájékoztatásnak álcázott kártékony kódot emailcsatolmányban. Azt, hogy egyes államok nem riadnak vissza a járványhelyzet manipulatív kiaknázásától, jól példázza, hogy az orosz és a kínai propagandagépezet is rárepült a témára.

Cégekre is lőnek

Nemcsak a mezei felhasználók, és nem is csak a kórházak, egészségügyi intézmények ellen irányul a szokásosnál is több támadás mostanában, a vállalati szféra ellen is megnövekedett a támadások száma.

Találni példát olyan szokványos emailes akciókra is, amelyek ugyanúgy egy csatolmány megnyitására igyekeznek rávenni a címzettet, csak éppen céges környezetben. A Kaspersky például olyan próbálkozásokról számolt be egy közleményében, amelyekben a támadók a járvány okozta szállítási problémákra, sürgős megrendelések csúszására hivatkoztak, és a csatolmányban látszólag megtalálható szállítási, fizetési vagy rendelési adatok ellenőrzésére kérték az áldozatot.

Ennél azonban jellemzőbbek az úgynevezett business email compromise (BEC) típusú, jóval kifinomultabb támadások. Ezeknek a lényege, hogy a támadók nem egyszerűen egy fertőzött emailt küldenek, hanem miután bejutnak egy alkalmazott levelezésébe, ott megfigyelik a céges kommunikációt, és kifigyelik a sajátosságait, hogy a megfelelő pillanatban beálljanak a kommunikációs láncba, és magukat a cég egy dolgozójának kiadva, eltérítsék a pénzmozgást. Ehhez

• kinéznek egy olyan célszemélyt, akinek ráhatása van a pénzmozgásokra (jellemzően egy pénzügyest, de a felső vezetésre is szoktak lőni);
• felépítenek egy támadói infrastruktúrát (bejegyeznek egy hasonló doménnevet, bérelnek hozzá egy szervert, és a hasonló domén nevében onnan küldik ki az emaileket, valódi munkatársak nevében);
• átveszik az egyik fél identitását, és elkezdenek kommunikálni a célszeméllyel valamiről, ami egy tranzakcióhoz köthető, például valamilyen számlaszámot próbálnak meg átíratni egy újra.

Technológiailag nem különösebben kifinomult támadásról van szó, nyelvileg viszont eléggé. Tökéletesen megszemélyesítik azt, akivel a célszemély napi szinten kommunikál. Meggyőzik, hogy módosítson vagy jóváhagyjon valamit, és ezzel legitim módon kivisznek egy tranzakciót. Ebben az a nehéz, hogy mikor ez megtörténik, az már egy legitim banki tranzakció, ezért akkor már nagyon nehéz megfogni

– mondja Antal Lajos, aki szerint az ilyen támadások globálisan évi sok milliárd dolláros kárt okoznak, és Magyarországon épp tavaly nyáron volt erős felfutásuk.

A BEC-ből is megjelent már a koronavírusos ízesítésű. Az Agari nevű kiberbiztonsági cég március 19-én azonosított egy próbálkozást, amelyben a járványhelyzetre hivatkozva kérte a magát egy alkalmazottnak kiadó támadó, hogy a tranzakciókat egy új számlaszámra irányítsák át.

Mivel ezek a támadások elsősorban nem technológiai jellegűek, védekezni is nehéz ellenük védelmi technológiákkal. Antal Lajos szerint ezért inkább az üzleti folyamatokat kell helyrerakni, hogy pusztán egy bejövő email alapján ne történhessen meg, hogy valaki átírja a számlaszámot, csak mert azt hiszi, hogy a főnök kérte. “A legfontosabb, hogy bolondbiztos folyamat legyen a pénzügyön, hogy ne tudja valaki átírni a megszokott számlaszámot, csak ha nagyon sok személy részt vesz ebben a folyamatban, és lehetőség szerint több csatornán keresztül kelljen kérvényezni és jóváhagyatni minden ilyesmit.”

A home office ketyegő bomba

A cégek elleni támadások eddig is rendszeresek és számosak voltak, de most új táptalajt adott neki, hogy a járvány miatt hirtelen rengeteg munkavállaló kényszerült home office-ba, ahol a céges hálózatnál és eszközöknél kevésbé védett környezetben kell potenciálisa érzékeny vállalati adatokat kezelniük.

Waldenbuchi otthonában dolgozó nő Németországban 2020 március 26-án

Fotó: picture alliance / Getty Images Hungary

Láthatóan a hekkerek rá is mozdultak erre a lehetőségre. Erre utal például, hogy Linksys márkájú routereket próbálnak feltörni , hogy a felhasználókat a WHO honlapját utánzó oldalakra irányítsák, ahonnan koronavírussal kapcsolatos programoknak álcázott kártevők letöltésére próbálják rávenni őket. De a home office-ban és a távoktatásban is használt egyik legnépszerűbb videócsetplatform, a Zoom oldalához hasonló doménekkel is próbálják megtéveszteni a felhasználókat.

A munkavégzés tömeges hazaköltöztetése óta sok szakértő és biztonsági cég osztotta meg a tanácsait arról, mire kell figyelni, milyen eszközöket érdemes használni a biztonságosabb home office érdekében. A szokásos tippek között általában előkerül, hogy a céges hálózathoz titkosított kapcsolatot biztosító VPN-nen keresztül kapcsolódjunk, az eszközeinkre telepítsünk valamilyen biztonsági szoftvert, rendszeresen telepítsük a frissítéseket, a cégek gondoskodjanak a hozzáférési jogosultságok megfelelő beállítása, illetve biztosítsanak tudatosító oktatás, és így tovább. A White Hat nevű biztonsági cég még egy kérdéssort is összeállított, amelynek a segítségével bármelyik munkáltató és munkavállaló ellenőrizheti a felkészültségét.

Antal Lajos szerint és a két tényezős hitelesítés használata valóban fontos, de a problémák már jóval előbb kezdődnek. A váratlan átállás miatt ugyanis sok helyen az utolsó pillanatban történtek a laptopvásárlások, illetve sok esetben a dolgozók privát gépein folyik a munka, viszont ezeket az eszközöket nem feltétlenül készítették fel céges használatra, a vállalati sztenderdeket nem alakították ki ahhoz, hogy a saját eszközöket biztonságos és ellenőrzött módon használják munkára az alkalmazottak. Plusz eleve az otthoni hálózat sem hozza ugyanazt a biztonsági szintet, mint egy céges hálózat.

A kettőt összekötve: gyengébb biztonsági szintű hálózaton használunk kevésbé védett eszközöket, ez potenciálisan jelenthet kockázatot. A rendes felkészülés a biztonságos otthoni munkára hetekbe-hónapokba telne, egyik napról a másikra nem lehet megcsinálni. Egy ilyen projektnek a hossza annyi, hogy mire véget érne, addigra remélem, hogy már rég túl leszünk a járványon.

Az otthon dolgozókra többféle veszély is leselkedik. Antal Lajos szerint a hekkerek előtt álló egyik lehetséges irány a határvédelem feltörése, erre a már említett példa a routereken keresett sebezhetőségekről. A másik irány a határvédelem megkerülése adathalász emailekkel. Jellemzően nem attól kell tartani, hogy zsarolóvírussal titkosítják a gépet, amin épp dolgozunk, valószínűbb, hogy a mostani sebezhetőbb helyzetet egy későbbi kárt okozó támadás, például egy BEC-kampány felépítésére használják ki.

Az összetettebb támadások felépítése amúgy is hosszabb időt vesz igénybe. A támadónak egy rendszerbe bejutva először meg kell teremtenie a folyamatos kommunikáció lehetőségét, majd terjeszkednie kell a hálózaton, és magát a kártevő kódot csak mindezek után, akár több hónapos előkészítést követően juttatja be és kezdi el terjeszteni – kicsit ahhoz hasonlóan, ahogy a fertőzés után egy valódi vírusnak is hosszú lappangási ideje lehet, mielőtt akcióba lendül.

A home office-ból adódó kockázatok miatt esetleg jelentkező problémák nem most fognak megjelenni, hanem lehet, hogy valamikor június-júliusban

– mondta Antal Lajos.

(Címlap és borítókép illusztráció: szarvas / Index)