Ma már a kisstílű bűnszövetkezetek és az átlagos számítógépes képességekkel rendelkező hekkerek is potenciális nemzetbiztonsági fenyegetést jelenthetnek.
HIRDETÉSHavi akár 5 millió dolláros bevételre tehetnek szert akár kezdő kiberbűnözők is. Elsősorban Oroszországból zárolják jobbára amerikai cégek számítógépes rendszereit, amelyeket csak busás váltságdíj fejében oldanak fel. A számítógépes bűnözés szinte iparággá nőtte ki magát, és már ügyfélszolgálatot is működtet. Teheti, mert az orosz hatóságok szemet hunynak garázdálkodásuk felett. Nem sértenek orosz törvényeket – indokolta Putyin elnök.
Mindössze néhány héttel azelőtt, hogy a DarkSide néven elhíresült zsarolóvírus-banda megtámadta egy nagy amerikai olajvezeték tulajdonosát, és ezzel napokra leállította a benzin- és kerozinszállítást az Egyesült Államok keleti partjain, a bűnözői csoport szolgáltatásait igénybe vevő egyik „alvállalkozó” egy kis, családi tulajdonban lévő, az amerikai Középnyugaton működő kiadót is célkeresztjébe vett.
A DarkSide egy Woris nevű hekkerrel együttműködve támadássorozatot indított a cég ellen. A cél az volt, hogy megbénítsák a főként általános iskolai oktatásban dolgozó ügyfelekkel foglalkozó kiadó weboldalát – amennyiben nem hajlandó teljesíteni az 1,75 millió dolláros váltságdíj-követelést. A kibergengszterek azzal is fenyegetőztek: felveszik a kapcsolatot a cég ügyfeleivel, akiket arra figyelmeztetnek őket, hogy olyan információk birtokába jutottak, miszerint pedofilok hamis személyi igazolványokkal visszaélve bejuthatnak az iskolákba. Persze ez csak kitaláció volt.
Woris ez utóbbi trükköt különösen méltányolta.
„A lelkem mélyéig nevettem azon, hogy a hálózat révén megszerzett igazolványokat pedofilok esetleg arra használhatják, hogy bejussanak az iskolába” – írta oroszul a DarkSide-dal folytatott titkos csevegésben, amit a New York Times idézett.
„Nem gondoltam, hogy ennyire megijednek tőle” – tette hozzá Woris.
Bárkiből lehet kiberbűnöző
A DarkSide támadása a csővezeték tulajdonosa, a georgiai székhelyű Colonial Pipeline ellen nemzetközi hírnévhez juttatta a bandát. Emellett ráirányította a figyelmet egy elsősorban oroszországi hovatartozású, gyorsan fejlődő bűnügyi iparágra, amely a rendkívül kifinomult hekkeri képességeket igénylő specialisták tudása után szinte futószalagszerű folyamattá vált. Ma már a kisstílű bűnszövetkezetek és az átlagos számítógépes képességekkel rendelkező hekkerek is potenciális nemzetbiztonsági fenyegetést jelenthetnek.
Korábban az élelmes bűnözőknek pszichológiai játékokat kellett játszaniuk, hogy rávegyék az embereket a banki jelszavak átadására. Rendelkezniük kellett a szükséges műszaki ismeretekkel ahhoz, hogy biztonságos személyes számlákról pénzt emeljenek le. Ma azonban már gyakorlatilag bárki beszerezhet váltságdíjas szoftvereket a piacról, amelyekkel a YouTube-on található oktatóanyagok vagy a DarkSide-hoz hasonló garázdák segítségével megtámadhat egy számítógépes rendszert.
„Ma már akárkiből lehet kiberbűnöző” – mondta egy korábbi hekker, aki hazájában, Fehéroroszországban 10 évet ült börtönben kiberbűncselekmények miatt. „A belépési szint intellektuális korlátja rendkívül alacsony lett” – tette hozzá Szerhej A. Pavlovics.
A DarkSide titkos kommunikációja a Colonial Pipeline elleni támadást megelőző hónapokban egy felívelő bűnözői műveletről árulkodik, amely havonta többmillió dolláros váltságdíjat eredményez.
A bűnbanda immár zsarolóvírus-szolgáltatást kínál. A rosszindulatú szoftverek fejlesztője felhasználói díjat, jutalékot számít fel ügyfeleinek, köztük például Worisnak, akik nem rendelkeznek a szükséges technikai ismeretekkel, de hajlandók betörni a potenciális áldozat számítógépes rendszerébe.
A DarkSide szolgáltatásai közé tartozik:
- a hekkerek műszaki támogatása,
- a kiszemelt célpontokkal, például a kiadóval való tárgyalás,
- a kifizetések feldolgozása, valamint
- a zsarolással és más eszközökkel, például a weboldalak összeomlását célzó másodlagos hekkeléssel történő, személyre szabott nyomásgyakorlási kampányok kidolgozása.
A DarkSide felhasználói díjai a FireEye számítógépes biztonsági cég szerint csúszó skálán mozognak: 25 százalék az 500 ezer dollár alatti váltságdíjak, 10 százalék az 5 millió dollár feletti váltságdíjak esetében.
A bűnözői startupnak, a DarkSide-nak induló vállalkozásként szemernyi nehézségekkel kellett megküzdenie. A csoport ügyfélszolgálatával folytatott üzenetváltásban Woris arra panaszkodott, hogy a zsarolóprogram-platform használata nehézkés, pénz- és időigényes.
„Nem is értem, hogyan lehet üzletet kötni a platformotokon” – panaszkodott egy üzenetváltásban még valamikor márciusban. „De megértem, hogy nem érdekel titeket.”
A zsarolóvírus-platformok ügyfélszolgálatot működtetnek
A New York Times hozzáfért ahhoz a belső számítógépes felülethez, amit a DarkSide ügyfelei a váltságdíj-támadások megszervezésére és végrehajtására használtak. A bejelentkezési adatokat egy kiberbűnöző egy közvetítőn keresztül juttatta el a lapnak.
A fekete-fehér felületen az ügyfelek, az alvállalkozók hozzáférhetnek a DarkSide célpontjainak és a várható nyereségnek a listájához, kapcsolatot teremthettek a banda ügyfélszolgálati munkatársaival, akikkel a kidolgozhatják az áldozatok kiszipolyozásának stratégiáját.
A felület május vége felé, amikor a riporter bejelentkezett, még működött, holott a DarkSide korábbi közleményében azt állította: leáll. Egy ügyfélszolgálati alkalmazott szinte azonnal válaszolt az újságíró által Woris fiókjából küldött kérdésre. Miután azonban újságíróként azonosította magát, a fiókot nyomban letiltották.
HIRDETÉSA DarkSide üzletága a Colonial Pipeline elleni támadás előtt is virágzott. A cég ún. bitcoin tárcáját az Elliptic kiberbiztonsági cég tanulmányozta, és megállapította, hogy a banda 2020 októbere óta mintegy 15,5 millió dollárt zsarolt ki kriptovalutában, további 75 millió dollárt pedig „alvállalkozói” révén.
A kiberbűnözés jól szervezett iparág
A komoly nyereség egy ilyen fiatal bűnbanda esetében – a DarkSide csak tavaly augusztusban alakult – felhívja a figyelmet, hogy az orosz kiberbűnözői alvilág mennyire terjedt el az elmúlt években. Növekedésüket nem kis mértékben segítette a kriptovaluták, például a bitcoin megjelenése, amely gyakorlatilag feleslegessé tette a régi típusú pénzszállítást, amikor néha fizikailag kellett átcsempészni a készpénzt a határokon.
A kiberbiztonsági szakértők szerint a zsarolóvírusok alig néhány év alatt egy gondosan szervezett, erősen tagolt és szakosított üzletággá fejlődtek. Egyes hekkerek betörnek a számítógépes rendszerekbe, másoknak az a feladata, hogy átvegyék az irányítást a rendszerek felett. Vannak műszaki szakembereik és pénzmosási szakértőik. Sok bűnbandának már hivatalos szóvivője is van, akik a médiakapcsolatokkal és a tájékoztatással foglalkoznak.
Az orosz zsarolóvírus-iparág szervezeti felépítése a globális franchise-hálózatokat, például a McDonald's vagy a Hertz üzleti modelljét koppintja le, amely leegyszerűsíti a belépést, és lehetővé teszi a bevált üzleti gyakorlat és technika másolását. A DarkSide felületéhez való hozzáférés csupán ahhoz kell, hogy leányvállalataként elindítsák az üzletet, és szükség esetén letöltsék a Colonial Pipeline elleni támadásban használt zsarolóprogram működő verzióját.
Az áldozat szemszögéből
Az áldozat először egy utasításokkal és szelíd fenyegetésekkel tarkított, váltságdíjat követelő levéllel szembesül a képernyőn.
HIRDETÉS„Welcome to DarkSide” – így kezdődik a levél angolul. Ezek után tisztázzák, hogy az áldozat számítógépeit és szervereit titkosították, és minden biztonsági mentést töröltek.
A szükséges információk visszafejtéséhez az áldozatot egy weboldalra irányítják, ahová egy különleges jelszókulccsal léphet be. Ha bármilyen probléma adódna, hívhatja a bűnözők műszaki segítséget nyújtó csapatát.
„!!! VESZÉLY !!! NE MÓDOSÍTSON, és NE próbálja meg saját maga helyreállítani a fájlokat!” – áll a levélben. „NEM LESZ LEHETŐSÉGÜNK visszaállítani azokat.”
A DarkSide szoftvere nem csak az áldozatok számítógépes rendszereit zárolja, hanem a tulajdonos adatait is ellopja, amellyel „alvállalkozói” nem csak a rendszerek feloldásáért, hanem azért is pénzt követelhetnek, hogy ne hozzanak nyilvánosságra érzékeny vállalati információkat.
A New York Times által megtekintett chat-naplóban a DarkSide ügyfélszolgálatának egyik alkalmazottja azzal kérkedett Worisnak, hogy több mint 300 váltságdíj-fizetési támadásban vett részt.
HIRDETÉS„Számunkra ugyanolyan fontos a bevétel, mint számodra” – mondta az ügyfélszolgálatos.
Együtt kovácsolták ki azt a tervet, amivel megszorongathatták a közel százéves, családi vállalkozásként működő kiadóvállalatot, amelynek csupán néhány száz alkalmazottja van.
A cég számítógépes rendszerének leállítása és a pedofil fenyegetés mellett Woris és a DarkSide technikai szakembere egy zsarolólevelet is megfogalmazott, amit a cég ügyfeleinek számító iskolai tisztviselőknek és szülőknek terveztek elküldeni.
„Kedves iskolai alkalmazottak és szülők” – így szólt a levél –, „nincs semmilyen személyes bajunk önökkel. Ez csak üzlet".
A levelet végül csak néhány alkalmazottnak postázták.
HIRDETÉSA DarkSide óvatosságból egy áprilisban bevezetett új szolgáltatásával, a DDOS-támadásokkal, túlterheléses nyomást tervezett, hogy megbénítsa a kiadó weboldalait.
A váltságdíjról folytatott tárgyalások 22 napig tartottak, és e-mailben vagy a banda blogján folytak egy vagy több hekkerrel, akik tört angolsággal leveleztek – mondta a megtámadott vállalat szóvivője. A tárgyalások márciusban szakadtak meg, mivel a kiadó nem volt hajlandó kifizetni az 1,75 millió dolláros (csaknem 500 millió forintos) váltságdíjat. A DarkSide dühében azzal fenyegetőzött, hogy kiszivárogtatja a támadás hírét.
„Követelésünk mellőzése nagyon rossz stratégia. Nincs sok időtök” – írta a DarkSide egy e-mailben. „Két nap múlva nyilvánosságra hozzuk a blogbejegyzést. Mindenki látni fogja, hogy katasztrofális adatszivárgásotok van.”
A bűnözők etikai szabályai
A keménykedés dacára a DarkSide nem mellőzi az etikai szabályokat. A felületén közzétett rendelkezésekben azt írta: tilos bármilyen támadás oktatási, egészségügyi vagy kormányzati célpontok ellen.
Kommunikációjában a DarkSide igyekszik udvariasan viselkedni, és ugyanezt várta el a szolgáltatásait igénybe vevő alvállalkozóktól is. A csoport „nagyra tartja a hírnevét” – áll a DarkSide egyik belső közleményében.
HIRDETÉS„Tilos a célpontokat ok nélkül megsérteni vagy udvariatlanul viselkedni velük szemben” – írta a DarkSide. „Célunk, hogy normális és higgadt párbeszéddel keressünk pénzt.”
A DarkSide és a legtöbb más, orosz kiberbűnözői csoport általános szabálya, hogy a Független Államok Közössége, vagyis a volt szovjet köztársaságok területén élő célpontok elleni támadás szigorúan tilos.
Az orosz bűnüldöző szervekkel való összetűzés elkerülése érdekében az orosz kiberbűnözők elemi előírása, hogy nem használják az orosz nemzeti domainre utaló „.ru” végződést. Az orosz hatóságok világossá tették, hogy csak ritkán vonják felelősségre a kiberbűnözőket az Oroszországon kívüli zsarolóprogram-támadások és egyéb kiberbűncselekmények miatt.
Következésképpen Oroszország a szakértők szerint a váltságdíjas támadások globális gócává vált. A Boston mellett működő Recorded Future kiberbiztonsági cég körülbelül 25 zsarolóvírussal támadó csoportot azonosított, amelyek közül 15 – köztük az öt legnagyobb vélhetően Oroszországban vagy a volt Szovjetunió más területein működik – mondta Dmitry Smilyanets, a cég elemzési szakértője.
Ha nem szegik meg az orosz törvényeket, bűnözhetnek
Smilyanets maga is egy volt oroszországi hekker, aki négy évet töltött szövetségi börtönben kiberbűncselekmények miatt. Szerinte Oroszország vált a kiberbűnözők „melegágyává”.
HIRDETÉS„Oroszországban olyan légkör alakult ki, amelyben a kiberbűnözők jól érzik magukat és virágozhatnak” – nyilatkozta Smilyanets. „Ha valaki kényelmesen él és biztos abban, hogy másnap nem tartóztatják le, akkor szabadabban és pimaszabbul kezd cselekedni”.
Putyin orosz elnök tökéletesen világossá tette a szabályokat. Amikor Megyn Kelly amerikai újságírónő egy 2018-as interjúban arról faggatta, hogy Oroszország miért nem tartóztatja le az amerikai választásokba való beavatkozással gyanúsított hekkereket, azzal vágott vissza, hogy nincs miért letartóztatni őket.
„Ha nem szegték meg az orosz törvényeket, akkor nincs miért felelősségre vonni őket Oroszországban” – mondta Putyin. „Rá kell ébredniük arra, hogy Oroszországban az emberek az orosz törvények, és nem az amerikaiak szerint élnek.”
A Colonial Pipeline elleni támadást követően Biden azt mondta: a hírszerzésnek megdönthetetlen bizonyítékai vannak, hogy a hekkerek oroszok.
„Egyelőre nincs bizonyíték arra, hogy Oroszországnak köze lenne a támadáshoz, arra azonban van, hogy a szereplők és a zsarolóprogram Oroszországból származik” – jelentette ki az amerikai elnök, és hozzátette, hogy az orosz hatóságoknak „van némi felelőssége abban, hogy az üggyel foglalkozzanak”.
HIRDETÉSEzek után a DarkSide egyes részlegei leálltak, amit a kiberbűnözők az Egyesült Államok nyomásának tulajdonítottak.
Napokkal azután, hogy az FBI nyilvánosan a DarkSide-ot azonosította zsarolóként, Woris, aki még mindig nem tudott váltságdíjat kicsikarni az általa megfenyegetett kiadóvállalatból, aggódva kereste meg a DarkSide ügyfélszolgálatát.
„Szia, hogy vagy?” – írta. „Keményen lecsaptak rád.”
Ez volt Woris utolsó kommunikációja a DarkSide-dal.
Napokkal később a bűnszervezet felületén felbukkant egy üzenet. A csoport nem tesz lakatot az üzletre, hanem eladja az infrastruktúráját, hogy más hekkerek folytathassák a jövedelmező zsarolóvírus-bizniszt.
HIRDETÉS„Az irányár alkuképes” – hirdette a DarkSide. „Egy hasonló partnerségi program beindításával havi 5 millió dolláros profitra lehet szert tenni.”