Kibertámadás érte Amerikát: újra lecsapott az orosz Cozy Bear hackercsoport
Bár az amerikai elnökválasztással kapcsolatban mindeddig nem kerültek nyilvánosságra olyan hírek, melyek szerint a négy évvel korábbihoz hasonlóan sikerrel jártak volna külföldi befolyásolási kísérletek, vasárnap kiderült, az Egyesült Államokban továbbra is aktívak az orosz híreszerzés hackerei.
A Fehér Ház beismerte ugyanis, hogy feltörték több fontos kormányszerv, köztük a pénzügy- és a kereskedelmi minisztérium hálózatát, és hozzáfértek például az e-mail rendszerekhez. A célpontok között nemzetbiztonsági szempontból érzékeny állami intézmények is szerepeltek, a bejelentésből azonban nem derült ki, hogy a támadók megszereztek-e szigorúan bizalmas anyagokat.
Szakértők szerint a hackerek vélhetően az orosz hírszerzéssel kapcsolatban álló Cozy Bear csoport tagjai lehettek, akiket ATP 29 néven is emlegetnek – írja a New York Times.
Ez volt az egyik legkifinomultabb módszerekkel végrehajtott és a legkiterjedtebb hackertámadás amerikai szövetségi intézmények ellen az elmúlt öt évben.
Egy névtelenséget kérő kormánytisztviselő szerint az akció már kora tavasszal elkezdődhetett, és háborítatlanul folyt egészen a választásokig.
A mostani bejelentésre alig egy héttel azután került sor, hogy a Nemzetbiztonsági Hivatal figyelmeztetést adott ki, mely szerint „az orosz állam által támogatott elkövetők kihasználják a szövetségi kormány által széles körben használt digitális rendszer hiányosságait.”
Részletekbe akkor nem bocsátkoztak, azonban a FireEye nevű kiberbiztonsági cég közölte, hogy „egy idegen államnak dolgozó hackercsoport feltörte néhány olyan értékes eszközüket, amelyekkel megtalálhatják ügyfeleik, köztük a szövetségi kormány sebezhető pontjait.”
A FireEye a világ egyik vezető kiberbiztonsági vállalkozása, amely többek közt arra specializálódott, hogy hacker-támadásokat imitáljon ügyfeleinél, így azonosítva a hálózat biztonsági réseit. Úgy tűnik, éppen az erre szolgáló eszközeikhez fértek hozzá a hackerek.
A New York Times szerint
lenyűgöző lopás volt, ami olyan, mintha egy bankrabló csapat a páncélszekrény kisöprése után még ellopná az utána nyomozó FBI nyomozati eszközeit is.
A magyar Nemzeti Kibervédelmi Intézet cikke szerint a támadók kilétével kapcsolatban a FireEye konkrét nemzetállamot nem említett, csupán azt, hogy a támadás kifinomultsága alapján feltételezhető, hogy egy APT csoport áll a háttérben. Oroszország valószínűsített érintettségéről nyilatkozott azonban az NSA egy korábbi munkatársa.
Az ügyben nyomozó FBI szerint ugyanez a csoport állhat a hálózatüzemeltetéssel foglalkozó SolarWinds nevű cég elleni támadás mögött is.
Az austini vállalatnak több mint 300 ezer ügyfele van, köztük az Egyesült Államok legnagyobb cégei és különböző szövetségi intézmények. Az azonban nem derült ki, hogy közülük mennyien használják az Orion platformot, amelyet az orosz hackerek feltörtek, és melyek váltak konkrétan célpontokká.
Ha beigazolódik az orosz kapcsolat, ez lesz a legösszetettebb orosz adatlopás a 2014-15-os akció óta, amikor orosz titkosszolgálatok behatoltak a Fehér Ház, a külügyminisztérium és a vezérkari főnökök egyesített parancsnoksága e-mail-rendszerébe.
Az akkori akció után évekig tartott a kármentés, de Barack Obama elnök akkor úgy döntött: nem nevezi meg az oroszokat felbújtóként.
A feltételezések szerint ugyanez a hacker-csoport törte fel a Demokrata Párt Nemzeti Bizottságának (DNC) és a Hillary Clinton kampány vezető tisztségviselőinek rendszereit a 2016-os elnökválasztás idején.
Legutóbb pedig idén júniusban merült fel a CNN szerint a Cozy Bear neve, amikor amerikai, kanadai és brit kiberbiztonsági szakemberek szerint a olyan szervezetek ellen intézetek támadást, amelyek a koronavírus elleni védőoltás kifejlesztésén dolgoztak. A fő feladatuk az volt, hogy adatokat lopjanak és lassítsák a munkát.
A hackerek többsége a felhasználóneveket és a jelszavakat lopja el, de a Cozy Bear ezúttal sokkal kifinomultabb módszert alkalmazott. A nyomozók szerint, amikor bejutottak a SolarWinds hálózatirányító szoftverébe, olyan hamis token-jelzéseket iktattak be, amelyekkel igazolták a Microsoft, a Google és más szolgáltatók előtt a számítógéprendszer azonosságát, és így hozzáférést kaptak az adatokhoz. Mivel ezt a hibát rendkívül nehéz kiszűrni, a hackerek észrevétlenül juthattak be a rendszerbe.
Az oroszok mint mindig, most is tagadták, hogy bármi közük lenne a történtekhez.