A Regin valószínűleg "egy" kormány
megbízásából készült. Még netszolgáltatók rendszereibe is beépült. A
kártevőt felfedező Symantec cég szerint minden idők legfejlettebb
kémprogramja a Regin, a korábbi hasonló alkalmazások egyike sem volt
ilyen komplex felépítésű. Nem véletlen, hogy bár a gyanú szerint a
kártevő 2008 óta létezik, csak most, hat évvel később fedezték fel.
A Regin mögött valamelyik nyugati
államot sejti a SYMANTEC, mivel a kémprogram kódja olyan összetett,
hogy még egy fejlett ország szakértői is valószínűleg hónapokon vagy
akár éveken át dolgozhattak rajta. A kártevő moduláris felépítésű,
fertőzésének első szakaszában csupán arról gondoskodik, hogy
megfertőzze a kiszemelt rendszert, további funkcióit utólag tölti le
önmaga fejlesztéséhez. Képességeit utólag, a végrehajtandó feladatnak
megfelelően lehet alakítani. Az első szakaszt követően kommunikációját a
kártevő titkosítva végzi, hogy megnehezítse a felfedezését.
E tekintetben nagyon hasonlít a
Skywuper vagy Flamer néven ismert, a Budapesti Műszaki Egyetem CrySys
laborjának kutatói által két évvel ezelőtt felfedezett szuperkártevőhöz.
A Budapesti Műszaki és Gazdaságtudományi Egyetem (BME) CrySys nevű it-biztonsági laborjának vizsgálata szerint
- a Skywiper (más cégek szerint Flamer)
nevű kártevő a legjobban rejtőzködő adatlopó kód, amellyel eddig
találkoztak. A szoftver hosszú listát tartalmaz azokról a fájlokról és
folyamatokról, amelyekhez nem szabad hozzányúlnia, és annak
függvényében állítja be magát, hogy milyen vírusirtó található a
rendszeren. Az adattolvaj szupervírus egyik részegységét még 2007-ben
fedezték fel Európában, más moduljai 2008-ban az Egyesült Arab
Emirátusokban, 2010-ben pedig iráni gépeken tűntek fel, legalábbis az
előzetes vizsgálatok szerint.
Iráni kapcsolat miatt kerülhettek célkeresztbe a magyar PC-k
Az iráni és egyesült arab emirátusbeli
észlelések mellett - az F-secure dossziéja szerint - a Skywipert
Libanonban, Szíriában és Szudánban is észlelték. Dr. Bencsáth
Boldizsár, a BME CrySys laborjának vezetője az [origo] kérdésére
elmondta, hogy Magyarországon legalább tíz számítógépen észlelték a
Skywipert. Bencsáth szerint azért kerülhettek fel a magyar PC-k a
célpontok listájára, mert több olyan ipari vállalat van, amely
kapcsolatban állhat Iránnal vagy egyéb arab országokkal. Elképzelhető,
hogy vagy vas- vagy vegyipari gyártórendszerekkel foglalkozó hazai vagy
magyar leányvállalattal is rendelkező cége PC-it támadták meg.
A Skywiper rendkívül sokoldalú kód,
bármilyen adatot képes gyűjteni - magyarázta el Bencsáth. A teljes gép
minden adatát is el tudja lopni, de van lehetőség különböző szűrők
beiktatására is. Még nem bizonyított, de valószínű, hogy tud úgy
keresni a fájlok közt, hogy csak az adott földrajzi koordinátákkal
címkézett fotókat találja meg, ami segíthet információkat szerezni egy
adott ipari létesítményről. A Skywiper olyan modulokkal is bővíthető,
amelyek a gép mikrofonján keresztül rögzítik a közelben zajló
beszélgetéseket, lementik a billentyűzetleütéseket, vagy
képernyőmentéseket készítenek.
Az egyetemi kutatók vizsgálatai szerint a
Skywiper több magyar számítógépet is megfertőzött, ám arról, hogy ezek
hol működtek, arról sem a BME CrySys laborja, sem a kártevővel
foglalkozó többi cég nem közölt információt. A Symantec kiberbiztonsági
cég ismertetője szerint a kártevő több otthoni számítógépet is
megfertőzött, és egyelőre nem lehet látni, hogy pontosan milyen cégek
ellen indították az adattolvaj támadást. A szakértők dolgát nehezíti,
hogy a megfelelő paranccsal törölhető a Skywiper, a kártevő minden
összegyűjtött adattal és alrendszerrel együtt képes megsemmisíteni
magát.
A kiberháború mesterlövészei
A CrySys labor által korábban elemzett
Duqu kártevőhöz hasonlóan, a Skywiper is célzott informatikai támadások
végrehajtására szolgál. Míg a hagyományos vírusok és trójai kártevők
az internetes harc sörétes puskájaként minél több célpontra tüzelnek, a
tömeget veszik célba, addig a valóban komoly kiberháborús eszközök
mesterlövészpuskaként működnek. A több százezer dollár értékű, addig
teljesen ismeretlen támadókódot tartalmazó Stuxnet néven elhíresült
kódot például az iráni atomprogram ellen fejlesztették ki: olyan
támadást hajtott végre, amely csak az arab ország egyik atomerőművének
urándúsítói berendezésének hatékony működését akadályozta teljes
titokban.
A BME biztonsági laborjának jelentése
szerint az új célzott kártevő nem abból a vírusgyárból került ki,
ahonnan a rokoni szálak által összefűzött Duqu és a Stuxnet. Az viszont
bizonyosnak tűnik, hogy a Skywiper kifejlesztése mögött is komoly
anyagi forrásokkal rendelkező nemzetállam kormányügynöksége állhat. A
sejtést megjelenik az F-secure kiberbiztonsági cég Skywiper
dossziéjában is, amely szerint egy nyugati kormányügynökséget lehet a
kiberfegyver gazdja. A jelentés szerint elképzelhető, hogy az új
kiberfegyver megrendelője azonos a két korábbi kódéval, és csak a
program írói nem azonosak.
Kérdéses a folytatás
A BME nemzetközi együttműködés
keretében jutott hozzá a Skywiper kódjához, azzal a céllal, hogy a
kártevő fő moduljait és működési módját felderítse. A cél nem a teljes
elemzés volt, mert a Skywiper létrehozása mögött nemzeti érdekek
állhattak, és jelenleg nincs olyan világszintű megállapodás, amely a
kiberfegyverek elemzéséről szól. Az ilyen kártevőket részletesen
vizsgáló kutatócsoportok akár célponttá is válhatnak egy-egy ilyen ügy
kapcsán, ez indokolja a Skywiper körüli titoktartást is. A magyar labor jelentése alapján azonban bármelyik laboratórium elindulhat:
a kártevő által használt titkosításokról készült leírások, a
tömörítési eljárások és a fájlok ismertetése elegendő alap a további
elemzéshez. Az várhatóan nem derül ki, hogy ki áll a Skywiper mögött - a
korábban felfedezett kiberfegyverek esetében is csak tippek vannak
arra, ki lehetett a megrendeőlő. A felfedezett támadások azonban
közelebb visznek ahhoz, hogy egyszer elkészülhessen a kiberháború
szabályzata.
A Regin azonban leginkább
Oroszországban, Szaúd-Arábiában és Írországban bukkant fel, de mexikói,
indiai, iráni, afgán, belga, osztrák és pakisztáni rendszereken is
felfedezték. A vizsgálatokból kiderült, hogy a Regin által
megfertőzött rendszerek fele internetszolgáltatóknál és távközlési
szolgáltatóknál működött, és csak a maradék fertőzött magánembereket és
vállalati, kormányzati rendszereket. A kártevő kórházak, kormányzatok
és légitársaságok rendszereiben is felbukkant.
A Symantec szakértője elmondta, hogy
valószínűleg IP-alapú hívások lehallgatására is használható a kártevő,
és persze jelszavak, fájlok, vagy képernyőmentések készítésére is
alkalmas. A Symantec szerint még ha a kémprogram jelenlétét fel is
fedezik egy számítógépen, nagyon nehéz rájönni, hogy milyen célokat
szolgál. A kutatók biztosak abban, hogy a kártevő számos komponensének
funkciói még előttük is ismeretlenek maradtak. Az is kiderül a Symantec
oldaláról, hogy a kártevő rendkívül hatásosan rejtőzködik, a
parancsokat többek közt a böngészőben lévő sütifájlokba rejti, és olyan
hálózati üzenetekben, protokollokon keresztül kommunikál, hogy az
aktivitás nem kelt gyanút.
Várhegyi Kálmán összeállítása
