Vannak-e szabályok a kíberháborúban?

A Regin valószínűleg "egy" kormány megbízásából készült. Még netszolgáltatók rendszereibe is beépült. A kártevőt felfedező Symantec cég szerint minden idők legfejlettebb kémprogramja a Regin, a korábbi hasonló alkalmazások egyike sem volt ilyen komplex felépítésű. Nem véletlen, hogy bár a gyanú szerint a kártevő 2008 óta létezik, csak most, hat évvel később fedezték fel.

A Regin mögött valamelyik nyugati államot sejti a SYMANTEC, mivel a kémprogram kódja olyan összetett, hogy még egy fejlett ország szakértői is valószínűleg hónapokon vagy akár éveken át dolgozhattak rajta. A kártevő moduláris felépítésű, fertőzésének első szakaszában csupán arról gondoskodik, hogy megfertőzze a kiszemelt rendszert, további funkcióit utólag tölti le önmaga fejlesztéséhez. Képességeit utólag, a végrehajtandó feladatnak megfelelően lehet alakítani. Az első szakaszt követően kommunikációját a kártevő titkosítva végzi, hogy megnehezítse a felfedezését.

E tekintetben nagyon hasonlít a Skywuper vagy Flamer néven ismert, a Budapesti Műszaki Egyetem CrySys laborjának kutatói által két évvel ezelőtt felfedezett szuperkártevőhöz.

A Budapesti Műszaki és Gazdaságtudományi Egyetem (BME) CrySys nevű it-biztonsági laborjának vizsgálata szerint

- a Skywiper (más cégek szerint Flamer) nevű kártevő a legjobban rejtőzködő adatlopó kód, amellyel eddig találkoztak. A szoftver hosszú listát tartalmaz azokról a fájlokról és folyamatokról, amelyekhez nem szabad hozzányúlnia, és annak függvényében állítja be magát, hogy milyen vírusirtó található a rendszeren. Az adattolvaj szupervírus egyik részegységét még 2007-ben fedezték fel Európában, más moduljai 2008-ban az Egyesült Arab Emirátusokban, 2010-ben pedig iráni gépeken tűntek fel, legalábbis az előzetes vizsgálatok szerint.

Iráni kapcsolat miatt kerülhettek célkeresztbe a magyar PC-k

Az iráni és egyesült arab emirátusbeli észlelések mellett - az F-secure dossziéja szerint - a Skywipert Libanonban, Szíriában és Szudánban is észlelték. Dr. Bencsáth Boldizsár, a BME CrySys laborjának vezetője az [origo] kérdésére elmondta, hogy Magyarországon legalább tíz számítógépen észlelték a Skywipert. Bencsáth szerint azért kerülhettek fel a magyar PC-k a célpontok listájára, mert több olyan ipari vállalat van, amely kapcsolatban állhat Iránnal vagy egyéb arab országokkal. Elképzelhető, hogy vagy vas- vagy vegyipari gyártórendszerekkel foglalkozó hazai vagy magyar leányvállalattal is rendelkező cége PC-it támadták meg.

A Skywiper rendkívül sokoldalú kód, bármilyen adatot képes gyűjteni - magyarázta el Bencsáth. A teljes gép minden adatát is el tudja lopni, de van lehetőség különböző szűrők beiktatására is. Még nem bizonyított, de valószínű, hogy tud úgy keresni a fájlok közt, hogy csak az adott földrajzi koordinátákkal címkézett fotókat találja meg, ami segíthet információkat szerezni egy adott ipari létesítményről. A Skywiper olyan modulokkal is bővíthető, amelyek a gép mikrofonján keresztül rögzítik a közelben zajló beszélgetéseket, lementik a billentyűzetleütéseket, vagy képernyőmentéseket készítenek.

Az egyetemi kutatók vizsgálatai szerint a Skywiper több magyar számítógépet is megfertőzött, ám arról, hogy ezek hol működtek, arról sem a BME CrySys laborja, sem a kártevővel foglalkozó többi cég nem közölt információt. A Symantec kiberbiztonsági cég ismertetője szerint a kártevő több otthoni számítógépet is megfertőzött, és egyelőre nem lehet látni, hogy pontosan milyen cégek ellen indították az adattolvaj támadást. A szakértők dolgát nehezíti, hogy a megfelelő paranccsal törölhető a Skywiper, a kártevő minden összegyűjtött adattal és alrendszerrel együtt képes megsemmisíteni magát.

A kiberháború mesterlövészei

A CrySys labor által korábban elemzett Duqu kártevőhöz hasonlóan, a Skywiper is célzott informatikai támadások végrehajtására szolgál. Míg a hagyományos vírusok és trójai kártevők az internetes harc sörétes puskájaként minél több célpontra tüzelnek, a tömeget veszik célba, addig a valóban komoly kiberháborús eszközök mesterlövészpuskaként működnek. A több százezer dollár értékű, addig teljesen ismeretlen támadókódot tartalmazó Stuxnet néven elhíresült kódot például az iráni atomprogram ellen fejlesztették ki: olyan támadást hajtott végre, amely csak az arab ország egyik atomerőművének urándúsítói berendezésének hatékony működését akadályozta teljes titokban.

A BME biztonsági laborjának jelentése szerint az új célzott kártevő nem abból a vírusgyárból került ki, ahonnan a rokoni szálak által összefűzött Duqu és a Stuxnet. Az viszont bizonyosnak tűnik, hogy a Skywiper kifejlesztése mögött is komoly anyagi forrásokkal rendelkező nemzetállam kormányügynöksége állhat. A sejtést megjelenik az F-secure kiberbiztonsági cég Skywiper dossziéjában is, amely szerint egy nyugati kormányügynökséget lehet a kiberfegyver gazdja. A jelentés szerint elképzelhető, hogy az új kiberfegyver megrendelője azonos a két korábbi kódéval, és csak a program írói nem azonosak.

Kérdéses a folytatás

A BME nemzetközi együttműködés keretében jutott hozzá a Skywiper kódjához, azzal a céllal, hogy a kártevő fő moduljait és működési módját felderítse. A cél nem a teljes elemzés volt, mert a Skywiper létrehozása mögött nemzeti érdekek állhattak, és jelenleg nincs olyan világszintű megállapodás, amely a kiberfegyverek elemzéséről szól. Az ilyen kártevőket részletesen vizsgáló kutatócsoportok akár célponttá is válhatnak egy-egy ilyen ügy kapcsán, ez indokolja a Skywiper körüli titoktartást is. A magyar labor jelentése alapján azonban bármelyik laboratórium elindulhat: a kártevő által használt titkosításokról készült leírások, a tömörítési eljárások és a fájlok ismertetése elegendő alap a további elemzéshez. Az várhatóan nem derül ki, hogy ki áll a Skywiper mögött - a korábban felfedezett kiberfegyverek esetében is csak tippek vannak arra, ki lehetett a megrendeőlő. A felfedezett támadások azonban közelebb visznek ahhoz, hogy egyszer elkészülhessen a kiberháború szabályzata.

A Regin azonban leginkább Oroszországban, Szaúd-Arábiában és Írországban bukkant fel, de mexikói, indiai, iráni, afgán, belga, osztrák és pakisztáni rendszereken is felfedezték. A vizsgálatokból kiderült, hogy a Regin által megfertőzött rendszerek fele internetszolgáltatóknál és távközlési szolgáltatóknál működött, és csak a maradék fertőzött magánembereket és vállalati, kormányzati rendszereket. A kártevő kórházak, kormányzatok és légitársaságok rendszereiben is felbukkant.

A Symantec szakértője elmondta, hogy valószínűleg IP-alapú hívások lehallgatására is használható a kártevő, és persze jelszavak, fájlok, vagy képernyőmentések készítésére is alkalmas.  A Symantec szerint még ha a kémprogram jelenlétét fel is fedezik egy számítógépen, nagyon nehéz rájönni, hogy milyen célokat szolgál. A kutatók biztosak abban, hogy a kártevő számos komponensének funkciói még előttük is ismeretlenek maradtak. Az is kiderül a Symantec oldaláról, hogy a kártevő rendkívül hatásosan rejtőzködik, a parancsokat többek közt a böngészőben lévő sütifájlokba rejti, és olyan hálózati üzenetekben, protokollokon keresztül kommunikál, hogy az aktivitás nem kelt gyanút.

Várhegyi Kálmán összeállítása