Ugyan nem mindenki dolgozik most otthonról, home office-ból, de aki mégis, az el tudja olvasni, amit itt írok, már amennyiben nincs jobb dolga, aki otthonról tanul, az is – ha nem tanul inkább – ellenben aki nem tartozik ezek közé, mert mást dolgozik vagy nem dolgozik, annak is sokkal jobban befolyásolja most az életét az online szféra, mint eddig.
Nyilván, hiszen a hírektől a személyes kapcsolattartásig minden a világhálóra költözött a karantén miatt, ebédtől mosásig mindent azon rendelnek meg, akik akarnak, tudnak és ez elvileg jól is van így, csak a gyakorlat azt mutatja, hogy néha akadoznak a dolgok. Akadoznak, és nem csak a túlterhelés miatt – a magyar hálózat várakozásomon felül jól bírja a megnövekedett használatot, igaz ugyan, hogy azért, mert szakemberek hada dolgozik ezen – de bele is nyúlogatnak mocskos és mindenféle államok által fizetett kezek. Nálunk is beeshet bármikor egy hackertámadás, máshol már volt is rá példa.
Márpedig ez most majdhogynem háborús bűn. De ez az állami, titkosszolgálati hackercsapatokat nem érdekli, őket általában a pénzen kívül semmi sem szokta érdekelni, akkor is megbénítanak például kórházi rendszereket, ha azzal százak halálát okozhatják.
Azok nem a zsarolóvírusokkal dolgozó bűnözők?
Nem, azok ugyanis bejelentették, hogy járvány idején kórházat, egészségügyet nem bántanak.
Hogy pontos legyek, a Maze zsarolóvírus fejlesztői a járvány idejére felfüggesztik az orvosi célpontok elleni támadásokat, a DoppelPaymer készítői pedig elmondták, hogy ők általában sem támadják a kórházakat és hatóságokat, és a járvány alatt sem céljuk ez. Ha egy hiba miatt mégis megtörténik, ingyen oldják fel a titkosításokat.
Igen, Olaszországban is támogatja a maffia a járvány elleni küzdelmet (bár Francesco Lo Voi palermói maffiaellenes államügyész szerint egyúttal tagokat is toboroz), ételt osztanak, ami azt mutatja, hogy a rosszfiúk nem is mindig olyan nagyon rossz fiúk – hogy úgy mondjam, inkább olyan üzletemberek, akiknek nem törvényes a boltja. Tudják, hogy a halottak már nem lesznek üzletfeleik, meg kell menteni a vevőket, kérem, ha ételosztással, akkor ételosztással. De ha a zsarolóvírus-írók és a szervezett bűnözők békén hagyják a gyógyintézeteket, ki támadja őket?
Ki áll például a szingapúri egészségügyi intézmények elleni összehangolt támadás mögött? Ki bénította meg a Hammersmith Medicines Research londoni vakcinakutató intézet gépeit? Kik támadják az amerikai kórházakat zsarolóvírusokkal? Mert nem a csibészek, az már világos. Az Interpol április 4-i tájékoztatása ajánlásokat is megfogalmazott, melyek betartásával csökkenthető a bejutás kockázata. A listában olyan pontok szerepelnek, mint a gyanús linkek és e-mailek mellőzése (ezeket egyáltalán nem szabad megnyitni), biztonsági mentések készítése, illetve azok felhőben való tárolása. Az Interpol szerint a veszélyeztetett intézményeknek érdemes erős és egyedi jelszavakat használniuk, a rendszereiket tartsák naprakészen, és győződjenek meg róla, hogy a számítógépre telepített vírusirtó működik.
Hát, szóval nem csak a bűnözők foglalkoznak ilyesmivel. Mint említettem volt, a bűnözők többnyire üzletemberek, pénzt akarnak, velük általában ilyen ügyekben lehet tárgyalni. A titkosszolgálati-hírszerzési-szabotőr hackercsoportok sokkal veszélyesebbek, őket nem lehet lefizetni, mert már le vannak fizetve. Nézzük a Black Cell jelentését az állami hackercsoportokról – ez a cég különben a kibervédelem hazai szaktekintélye, ők végezték annak idején a vizes VB biztosítását is, például nekik volt köszönhető, hogy nem használtak az események alatt hivatalosan egy erősen kétes azeri cég által igen olcsón kínálgatott szoftvert a rendezvény saját wifi-hálózatához. Szóval, mit mond a Black Cell, milyen állami hackercsoportok aktívak mostanság (rövidítve közlöm, kissé terjedelmes volna)?
„Sandworm és Fancy Bear: Oroszország
A QiAnXin biztonságkutató cég olyan orosz hackerek nyomára bukkant, akik valószínűleg a Sandworm és a Fancy Bear csoportokhoz kapcsolhatók. Ukrán célpontoknak adathalász e-maileket küldtek támadókóddal ellátott csatolmányokkal. Ezen levelek forrását az ukrán Egészségügyi Minisztérium közegészségügyi központjának álcázták, így tévesztve meg az áldozatokat. A phishing egy nagyobb dezinformációs kampány részét képezte, amelynek célja az Ukrajnában a Covid-19 járvánnyal kapcsolatos pánik kirobbantása. Ezt sikerült is elérniük, utcai zavargások törtek ki.
TwoSail Junk: valószínűleg Kína
A Kaspersky szakemberei TwoSail Junk-nak keresztelték a csapatot, egyúttal rávilágítottak a korábban felfedezett Spring Dragon/Lotus Blossom/Billbug/Thrip neveken ismert csoporttal közös kapcsolódási pontokra is. Ez a team a Lotus Elise és Evora malware-ekkel vívta ki a biztonsági szakemberek és egyéb rendvédelmi szervek figyelmét.
Az iOS 12.1 és 12.2 biztonsági réseit (iPhone 6-tól az iPhone X-ig terjedő modellek érintettek) használja ki támadásuk. A kampány több fórumon közzétett, hamis linkeket használ, amelyek elsősorban a hongkongi lakosokat célozzák meg, és névleg különféle hírekre navigálnak a tomboló COVID-19 világjárványhoz kapcsolódó információéhséget kihasználva, valójában rosszindulatú oldalakra irányítanak át.
APT36: Pakisztán
Egy pakisztáni állami támogatással rendelkező Mythic Leopard csapat (APT36) spear phishing kampánya, amelynek célpontjai főként indiai védelmi, külképviseleti és kormányzati infrastruktúrák. A vírus megjelenése óta aktív, egy koronavírusra adott egészségügyi jótanácsokkal szolgáló dokumentumot használ arra, hogy a Crimson Remote Administration Tool-t (RAT) a célgépre juttassa
Babyshark malware: valószínűleg észak-koreai csoportokhoz köthető
A Unit 42 azonosított egy, az Egyesült Államokban található egyetem elleni támadást. A kampuszon Észak-Korea nukleáris leszerelésével kapcsolatos dezinformációra és problémákra rámutató konferenciát terveztek tartani. Ezzel összefüggésben a másik célpont az a szintén USA-beli nemzetbiztonsági problémákat kutató intézet volt, ahol az előadó dolgozik.
A BabyShark malware elemzése során kapcsolatot találtak más, feltételezhetően észak-koreai hack-kampányokkal (KimJongRAT, Stolen Pencil), mivel ugyanazzal az ellopott tanúsítvánnyal írták alá, mint a fent említett kampányokban szereplőket is.
Emellett február végén észak-koreai hackerek indítottak malware kampányt, melynek transfer dokumentumai névleg Dél-Koreának a COVID-19 járványra adott válaszát tartalmazzák, hogy a gyanútlan (és felelőtlen) áldozatok gépeire így juttassa célba a BabyShark malware-t.”
Amint láthatjuk, a darab a régi, a szereplők nem változtak (a Fancy Bear még a riói olimpia idejéből ismerős), annyi a különbség, hogy nem most kéne komédiázni, mert most ég a színház, és tele van emberrel. Ezek a politikai zsoldosok még a szabad mozgást is akadályozhatják.
Nem nálunk: Moszkvában. Ott például igen. Moszkvában ugyanis – nagy ország, nagy főváros, nagy bürokrácia – egy elvben kiváló, a gyakorlatban agyonbonyolított rendszert alkalmaznak a kijárás ellenőrzésére. Az a lényege, hogy ha ki akar menni a házból az ember, digitális kódot kell igényeljen a hatóságoktól, anélkül tapodtat sem mozdulhat. Illetve, vodkácskáért és kenyerecskéért kimehet száz méternél nem távolabb a lakásától, de már munkába csak így járhat. Hetente két magánjellegű utat engedélyeznek. Kód nélkül nincs sem tömegközlekedés, sem taxi, bár a gyalogosokat még nem ellenőrzik, de egy akkora városban, mint Moszkva gyalog őrültség elindulni bárhova is. Képzelhető, mekkora terhelés éri az önkormányzat rendszerét, amin a kódkiadás fut. Azonban mit ír az MTI a Reuters nyomán?
„A moszkvai hatóságok figyelmeztették a lakosságot, hogy a regisztráláshoz használandó, amúgy is erősen terhelt önkormányzati weboldalt folyamatos hackertámadások érik, és a helyzet újdonságát kihasználva csalók adathalász oldalakat hoznak létre, alternatív bejegyzési lehetőségeket kínálva. A belügyminisztérium arra hívta fel a figyelmet, hogy bűnözők hamis sms-ekkel próbálják meg félrevezetni az embereket, azt állítva, hogy a címzettek megsértették a karantén-előírásokat, ami miatt bírságot kell átutalniuk egy bankszámlára.” (MTI)
Hát, mondjuk az orosz kiberbűnözők nem nyilatkoztak arról, hogy a járvány alatt jók lesznek, az orosz állami hackerek biztos nem támadnák meg az ország szívét, de a kínaiak sem? Ebben már nem lennék olyan nagyon biztos. Ahogy Észak-Korea sem ígért semmit.
A moszkvai támadások egyelőre – haszonleső jellegük miatt – valószínű, hogy a blatnoj mir, az orosz tolvajvilág képzettebb tagjainak köszönhetőek, ha ugyan nem a Fancy Bear gyakorolt kicsit a hazai terepen – de mindenképpen érdemes sokkal több figyelmet fordítani a kiberbiztonságra mostanában. Minden érvényes, ami eddig is, csak a helyzet jellegéből adódóan százszor, ezerszer inkább.
A magánember, az átlagfelhasználó életében ez annyi változást hoz, hogy mivel most sokkal több, számítástechnikához alapszinten is alig értő emberke szabadult rá a világhálóra (akik egyébként munkával vagy egyébbel volnának elfoglalva), minden vírusterjesztő játék és csatolmány is sokkal nagyobb mértékben terjed. Ne tessenek párosban játszogatni mindenféle kis Facebook-játékokkal, akárki hívja ki az embert egy meccsre, nem ő akar rosszat, a játék lehet gyanús portéka. Ne nyissunk meg mindenféle csodavideókat, se a járványról, se zongorázó macskákról, ideális hordozói minden malware-nek.
Vigyázzunk magunkra, vigyázzunk egymásra.
Szele Tamás
