SG.hu
Szokatlan hackertámadás érte az európai reptereket, állami szereplő lehet a háttérben
A több európai repülőtér ellen elkövetett, szokatlan módszerű kibertámadás arra készteti a szakértőket, hogy azt az elmúlt hónap orosz kihívásának kontextusában, a GPS-zavarással együtt értelmezzék.
A hétvégén megbénította az európai légi forgalmat egy kibertámadás, amely brüsszeli, berlini, londoni és dublini repülőterek check-in és beszállási rendszereit érintette. Egyes hatóságok, például a belgák, valamint az EU kiberbiztonsági ügynöksége (ENISA) ransomware típusú kibertámadásnak minősítették az incidenst. Ez egy rosszindulatú program, amely titkosítja és blokkolja a rendszereket, amíg váltságdíjat nem fizetnek. De ellentétben az ilyen típusú támadásokkal, sem a támadás elkövetőjét nem azonosították, sem pedig egyetlen kiberbűnöző csoport sem vállalta a felelősséget érte, ami fokozza a gyanút, hogy a támadás mögött egy állami szereplő áll.
Nehéz nem összefüggésbe hozni ezeket az eseményeket egy hosszabb eseménysorozattal, amely augusztus 31-én kezdődött, amikor az Európai Bizottság elnöke, Ursula von der Leyen repülőgépe GPS-rendszerében zavarok keletkeztek. A Bizottság másnap kijelentette, hogy minden gyanú Moszkvára utal. Ugyanezen a héten Margarita Robles spanyol védelmi miniszter repülőgépe GPS-zavarásnak volt kitéve, amikor Litvániába tartó útja során átrepülte a kalinyingrádi orosz enklávét. Szeptember 10-én Lengyelország több orosz pilóta nélküli repülőgépet észlelt, amelyek Ukrajnából lépték át a légterét. Múlt pénteken Lengyelország és Észtország bejelentette, hogy orosz vadászgépek megsértették a légterüket. Ugyanezen az estén kezdődtek a problémák az európai repülőtereken, amelyek hatása a hétvégén csúcsosodott ki. E hét hétfőn a koppenhágai és az oslói repülőtereket ideiglenesen be kellett zárni, miután drónokat láttak a létesítmények közelében. A dán miniszterelnök, Mette Frederiksen az eseményt „a dán kritikus infrastruktúra eddigi legsúlyosabb támadásának” nevezte, és Oroszországot sejti a háttérben.
Tegnap Dániában szintén drónokat észleltek négy regionális repülőtérnél, köztük két katonai repülőtéren – közölték a skandináv ország miniszterei. A drónok miatt szerdán este és csütörtök reggel több mint három órára bezárták Aalborgot, Dánia harmadik legnagyobb repülőterét, amelyet mind kereskedelmi, mind katonai repülőgépek használnak. A helyi rendőrség szerint drónokat láttak a kisebb repülőtereken is, Esbjergben, Sonderborgban és Skrydstrupban, Dánia nyugati részén. Utóbbi repülőtér ad otthont Dánia F-16-os és F-35-ös vadászgépei egy részének. „Szisztematikusnak tűnik, és én hibrid támadásnak definiálnám” - mondta Troels Lund Poulsen védelmi miniszter. Peter Hummelgaard igazságügyi miniszter hozzátette: "Az ilyen típusú hibrid támadások célja a félelem és a megosztottság keltése, hogy megijesszenek minket.”
Amit jelenleg tudunk a 20-i kibertámadásról az nem sokban különbözik a kiberbűnözői bandák szokásos viselkedésétől - véli Eusebio Nieva, a Check Point műszaki igazgatója. "Senki sem vállalta a felelősséget a ransomware-ért, ami általában szokásos” - hangsúlyozza. A kiberbűnözői csoportok általában közzéteszik, hol és hogyan támadtak, részben azért, hogy hírnevet szerezzenek a hackerek közösségében a későbbi támadásokat illetően. "Sok csoport még a sötét weben működő portálokon is közzéteszi a támadás áldozatául esett vállalatok listáját, amelyek kirakatként vagy bűnözői aukciós házakként működnek, és ahol a lopott adatokat kiállítják, hogy nyomást gyakoroljanak az áldozatokra” - teszi hozzá Santiago Pontiroli, az Acronis biztonsági kutatója. "Nem tudni, hogy mennyi pénzt követeltek, milyen eszközökkel, és hogy mi a neve a támadásnak. (Minden rosszindulatú programot a szerzői neveznek el.) Túl sok a ismeretlen tényező. Az adatszivárgás túl homályos” - jegyzi meg Nieva.
Az incidens rámutatott a technológiai ellátási lánc sebezhetőségére, amely a gyakorlatban egy maroknyi, a piacon jelen lévő vállalattól függ. És ez egy újabb következménnyel jár. "Az a tény, hogy a kibertámadás egyetlen szoftverbeszállítót, a MUSE beszállási és check-in programért felelős Collins Aerospace-t érintett, azt sugallja, hogy a támadók egy központi támadási pontot kerestek, hogy egyszerre több repteret is megbénítsanak, ami viszont egy szabotázs célú, előre megtervezett támadásra utal. Ez elveti azt a hipotézist, hogy a fő cél az adatok ellopása volt” - véli Hervé Lambert, a Panda Security globális műveleti igazgatója. "Az sem zárható ki, hogy a cél nem feltétlenül gazdasági jellegű, hanem inkább zavarok vagy instabilitás keltése stratégiai ágazatokban, ami még bonyolultabbá teszi a felelősség megállapítását” - mutat rá Pontiroli.
Nincs bizonyíték arra, hogy egy ország állna a kibertámadás mögött. A kibertér komplexitása miatt, ahol bármely szereplő cselekedeteit könnyű elrejteni több rétegen keresztül (például külső útválasztók használatával), a törvényszéki elemzések akár évekig is eltarthatnak. Pontosan ezért ez egy ideális környezet olyan álcázott műveletek végrehajtására, amelyeket egy állam támogat, de látszólag nincs hivatalos kapcsolata vele. Bár senki sem ismeri el, sok ország finanszíroz és támogat elit hackercsoportokat, úgynevezett APT-ket (angolul advanced persistent threats, azaz fejlett, tartós fenyegetések), amelyek az állami struktúrákon kívül működnek. Ezek nagyon jól szervezett és finanszírozott csapatok, amelyek első osztályú szakemberekkel rendelkeznek. Az APT-k nagyon kifinomult támadásokat képesek végrehajtani, amelyek összehasonlíthatók a nagyhatalmak titkosszolgálatainak támadásaival. Egy különbséggel: zászló, azaz hivatalos jelzés nélkül működnek. Általában ipari kémkedéssel, szabotázzsal vagy katonai vagy stratégiai értékű dokumentumok megszerzésével foglalkoznak.
A Kremlhez kapcsolódó csoportok már más alkalmakkor is bebizonyították mire képesek. A CIA és több kiberbiztonsági cég úgy véli, hogy ezek közül a szervezetek közül néhány indította el 2017-ben a NotPetya ransomware-t, mely az egyik legerősebb ransomware a történelemben. Ez a kiberfegyver eredetileg ukrán vállalatokat és közintézményeket célzott meg. Ransomware-nek tűnt, de hamar kiderült, hogy nem adott lehetőséget váltságdíj fizetésére: egyszerűen megsemmisítette az információkat. Végül a világ nagy részére átterjedt és legalább 300 000 számítógépet érintett. A 2021-ben az Egyesült Államokban a Colonial Pipeline ellen elkövetett támadást, amely megbénította az üzemanyag-ellátást a keleti parton, kezdetben egy ransomware-nek tulajdonították, amiért szintén nem vállalta senki a felelősséget. Napokkal később kiderült, hogy a támadást a DarkSide, egy Moszkvához kapcsolódó kiberbűnözői csoport követte el.
A közlekedési és logisztikai szektor a világ 10 leggyakrabban támadott iparága közé tartozik. A Check Point adatai szerint minden vállalat átlagosan 1143 kibertámadással szembesül hetente, ami 5%-kal több, mint tavaly. A ransomware, azaz a hétvégi incidensben feltehetően használt rosszindulatú szoftver használata a második negyedévben 126%-kal nőtt az előző év azonos időszakához képest, állítja a kiberbiztonsági cég jelentése.
Veszélyben van a légi közlekedés Európában? Ez azért nem igaz. "A repülőterek kritikus infrastruktúrának minősülnek, és nagyon szigorú ellenőrzéseknek és biztonsági intézkedéseknek vannak alávetve. Az ezeket az infrastruktúrákat kiszolgáló vállalatoknak is meg kell ezeknek felelniük” - mondja Marc Rivero, a Kaspersky vezető biztonsági kutatója. "A repülőterek nem egyszerű célpontok a kiberbűnözők számára, de nagyon vonzóak, mert néhány órányi leállás is nagy problémákat okoz, és mert az infrastruktúra bizonyos rétegei közös szolgáltatóktól függenek” - magyarázza Lambert. Ez az a pont, ahol ezúttal támadtak, és ahol meg kell erősíteni a védelmet.
Ami a repülések biztonságát illeti, ott még nehezebb bármit tenni, annyira szigorúan szabályozott terület. Von der Leyen vagy Robles repülőgépeinek GPS-ét érő zavarások egyszerűen arra kényszerítették a pilótákat, hogy másik navigációs rendszert használjanak. Ez az összes kár, amit jelenleg távolról, fizikai érintkezés nélkül okozni lehet.
A hétvégén megbénította az európai légi forgalmat egy kibertámadás, amely brüsszeli, berlini, londoni és dublini repülőterek check-in és beszállási rendszereit érintette. Egyes hatóságok, például a belgák, valamint az EU kiberbiztonsági ügynöksége (ENISA) ransomware típusú kibertámadásnak minősítették az incidenst. Ez egy rosszindulatú program, amely titkosítja és blokkolja a rendszereket, amíg váltságdíjat nem fizetnek. De ellentétben az ilyen típusú támadásokkal, sem a támadás elkövetőjét nem azonosították, sem pedig egyetlen kiberbűnöző csoport sem vállalta a felelősséget érte, ami fokozza a gyanút, hogy a támadás mögött egy állami szereplő áll.
Nehéz nem összefüggésbe hozni ezeket az eseményeket egy hosszabb eseménysorozattal, amely augusztus 31-én kezdődött, amikor az Európai Bizottság elnöke, Ursula von der Leyen repülőgépe GPS-rendszerében zavarok keletkeztek. A Bizottság másnap kijelentette, hogy minden gyanú Moszkvára utal. Ugyanezen a héten Margarita Robles spanyol védelmi miniszter repülőgépe GPS-zavarásnak volt kitéve, amikor Litvániába tartó útja során átrepülte a kalinyingrádi orosz enklávét. Szeptember 10-én Lengyelország több orosz pilóta nélküli repülőgépet észlelt, amelyek Ukrajnából lépték át a légterét. Múlt pénteken Lengyelország és Észtország bejelentette, hogy orosz vadászgépek megsértették a légterüket. Ugyanezen az estén kezdődtek a problémák az európai repülőtereken, amelyek hatása a hétvégén csúcsosodott ki. E hét hétfőn a koppenhágai és az oslói repülőtereket ideiglenesen be kellett zárni, miután drónokat láttak a létesítmények közelében. A dán miniszterelnök, Mette Frederiksen az eseményt „a dán kritikus infrastruktúra eddigi legsúlyosabb támadásának” nevezte, és Oroszországot sejti a háttérben.
Tegnap Dániában szintén drónokat észleltek négy regionális repülőtérnél, köztük két katonai repülőtéren – közölték a skandináv ország miniszterei. A drónok miatt szerdán este és csütörtök reggel több mint három órára bezárták Aalborgot, Dánia harmadik legnagyobb repülőterét, amelyet mind kereskedelmi, mind katonai repülőgépek használnak. A helyi rendőrség szerint drónokat láttak a kisebb repülőtereken is, Esbjergben, Sonderborgban és Skrydstrupban, Dánia nyugati részén. Utóbbi repülőtér ad otthont Dánia F-16-os és F-35-ös vadászgépei egy részének. „Szisztematikusnak tűnik, és én hibrid támadásnak definiálnám” - mondta Troels Lund Poulsen védelmi miniszter. Peter Hummelgaard igazságügyi miniszter hozzátette: "Az ilyen típusú hibrid támadások célja a félelem és a megosztottság keltése, hogy megijesszenek minket.”
Amit jelenleg tudunk a 20-i kibertámadásról az nem sokban különbözik a kiberbűnözői bandák szokásos viselkedésétől - véli Eusebio Nieva, a Check Point műszaki igazgatója. "Senki sem vállalta a felelősséget a ransomware-ért, ami általában szokásos” - hangsúlyozza. A kiberbűnözői csoportok általában közzéteszik, hol és hogyan támadtak, részben azért, hogy hírnevet szerezzenek a hackerek közösségében a későbbi támadásokat illetően. "Sok csoport még a sötét weben működő portálokon is közzéteszi a támadás áldozatául esett vállalatok listáját, amelyek kirakatként vagy bűnözői aukciós házakként működnek, és ahol a lopott adatokat kiállítják, hogy nyomást gyakoroljanak az áldozatokra” - teszi hozzá Santiago Pontiroli, az Acronis biztonsági kutatója. "Nem tudni, hogy mennyi pénzt követeltek, milyen eszközökkel, és hogy mi a neve a támadásnak. (Minden rosszindulatú programot a szerzői neveznek el.) Túl sok a ismeretlen tényező. Az adatszivárgás túl homályos” - jegyzi meg Nieva.
Az incidens rámutatott a technológiai ellátási lánc sebezhetőségére, amely a gyakorlatban egy maroknyi, a piacon jelen lévő vállalattól függ. És ez egy újabb következménnyel jár. "Az a tény, hogy a kibertámadás egyetlen szoftverbeszállítót, a MUSE beszállási és check-in programért felelős Collins Aerospace-t érintett, azt sugallja, hogy a támadók egy központi támadási pontot kerestek, hogy egyszerre több repteret is megbénítsanak, ami viszont egy szabotázs célú, előre megtervezett támadásra utal. Ez elveti azt a hipotézist, hogy a fő cél az adatok ellopása volt” - véli Hervé Lambert, a Panda Security globális műveleti igazgatója. "Az sem zárható ki, hogy a cél nem feltétlenül gazdasági jellegű, hanem inkább zavarok vagy instabilitás keltése stratégiai ágazatokban, ami még bonyolultabbá teszi a felelősség megállapítását” - mutat rá Pontiroli.
Nincs bizonyíték arra, hogy egy ország állna a kibertámadás mögött. A kibertér komplexitása miatt, ahol bármely szereplő cselekedeteit könnyű elrejteni több rétegen keresztül (például külső útválasztók használatával), a törvényszéki elemzések akár évekig is eltarthatnak. Pontosan ezért ez egy ideális környezet olyan álcázott műveletek végrehajtására, amelyeket egy állam támogat, de látszólag nincs hivatalos kapcsolata vele. Bár senki sem ismeri el, sok ország finanszíroz és támogat elit hackercsoportokat, úgynevezett APT-ket (angolul advanced persistent threats, azaz fejlett, tartós fenyegetések), amelyek az állami struktúrákon kívül működnek. Ezek nagyon jól szervezett és finanszírozott csapatok, amelyek első osztályú szakemberekkel rendelkeznek. Az APT-k nagyon kifinomult támadásokat képesek végrehajtani, amelyek összehasonlíthatók a nagyhatalmak titkosszolgálatainak támadásaival. Egy különbséggel: zászló, azaz hivatalos jelzés nélkül működnek. Általában ipari kémkedéssel, szabotázzsal vagy katonai vagy stratégiai értékű dokumentumok megszerzésével foglalkoznak.
A Kremlhez kapcsolódó csoportok már más alkalmakkor is bebizonyították mire képesek. A CIA és több kiberbiztonsági cég úgy véli, hogy ezek közül a szervezetek közül néhány indította el 2017-ben a NotPetya ransomware-t, mely az egyik legerősebb ransomware a történelemben. Ez a kiberfegyver eredetileg ukrán vállalatokat és közintézményeket célzott meg. Ransomware-nek tűnt, de hamar kiderült, hogy nem adott lehetőséget váltságdíj fizetésére: egyszerűen megsemmisítette az információkat. Végül a világ nagy részére átterjedt és legalább 300 000 számítógépet érintett. A 2021-ben az Egyesült Államokban a Colonial Pipeline ellen elkövetett támadást, amely megbénította az üzemanyag-ellátást a keleti parton, kezdetben egy ransomware-nek tulajdonították, amiért szintén nem vállalta senki a felelősséget. Napokkal később kiderült, hogy a támadást a DarkSide, egy Moszkvához kapcsolódó kiberbűnözői csoport követte el.
A közlekedési és logisztikai szektor a világ 10 leggyakrabban támadott iparága közé tartozik. A Check Point adatai szerint minden vállalat átlagosan 1143 kibertámadással szembesül hetente, ami 5%-kal több, mint tavaly. A ransomware, azaz a hétvégi incidensben feltehetően használt rosszindulatú szoftver használata a második negyedévben 126%-kal nőtt az előző év azonos időszakához képest, állítja a kiberbiztonsági cég jelentése.
Veszélyben van a légi közlekedés Európában? Ez azért nem igaz. "A repülőterek kritikus infrastruktúrának minősülnek, és nagyon szigorú ellenőrzéseknek és biztonsági intézkedéseknek vannak alávetve. Az ezeket az infrastruktúrákat kiszolgáló vállalatoknak is meg kell ezeknek felelniük” - mondja Marc Rivero, a Kaspersky vezető biztonsági kutatója. "A repülőterek nem egyszerű célpontok a kiberbűnözők számára, de nagyon vonzóak, mert néhány órányi leállás is nagy problémákat okoz, és mert az infrastruktúra bizonyos rétegei közös szolgáltatóktól függenek” - magyarázza Lambert. Ez az a pont, ahol ezúttal támadtak, és ahol meg kell erősíteni a védelmet.
Ami a repülések biztonságát illeti, ott még nehezebb bármit tenni, annyira szigorúan szabályozott terület. Von der Leyen vagy Robles repülőgépeinek GPS-ét érő zavarások egyszerűen arra kényszerítették a pilótákat, hogy másik navigációs rendszert használjanak. Ez az összes kár, amit jelenleg távolról, fizikai érintkezés nélkül okozni lehet.