A Fancy Bear nevű csoportnak tulajdonított hackertámadás olyan taktikákat alkalmazott, mint a speciális, személyre szabott adathalászat és a kis irodahálózatok gyenge biztonsági szintjének kihasználása.
Az orosz katonai hírszerzéshez köthető hackerek az Ukrajnába irányuló segélyszállításban részt vevő nyugati logisztikai és technológiai cégeket vették célba - közölte az amerikai Nemzetbiztonsági Ügynökség (NSA), amely lefedi a világ elektronikus forgalmának szinte teljességét.
A kiberművelet az Ukrajnába érkező segítségnyújtás különféle típusairól és időzítéséről kívánt információkat gyűjteni, védelmi, szállítási és logisztikai szektorban működő vállalatok rendszereinek feltörése révén több nyugati országban. A megfigyelési kísérletek célpontjai voltak a kikötők, repülőterek és vasúti infrastruktúrák is.
Ugyanerre a következtetésre jutott több nyugati szövetséges nemzetvédelmi szolgálata is, így Kanadában, az Egyesült Királyságban, Franciaországban és Németországban.
A gyönge pontokat támadják - a magánszektort és a beszállító kisebb vállalatokat
A behatolások azon a tényen alapulnak, hogy Ukrajna számára a támogatóitól érkező szállítmányok mibenléte, összetétele, érkezési helye és időpontja létfontosságú információ. Ezek birtokában az orosz légierő vagy a katonai hírszerzés akciókat szervezhet az ellátási lánc megzavarására vagy megszakítására.
A művelet során a hackerek gyakran sikerrel próbálnak hozzáférni több mint 10 000 internetre csatlakoztatott magán és állami kamera felvételeihez, amelyek stratégiai tranzitpontok, például határátkelők, kikötők és vasúti csomópontok közelében találhatók.
A megfigyelés alá vont kamerák többsége Ukrajnában működik, a többi pedig a szomszédos vagy regionális országokban, többek között Lengyelországban, Romániában, és Kelet- és Közép-Európa más részein, és természetesen a határállomásokon.
A kevésbé védett intézményeket megcélzó adathalászat (spear pishing) 2022-ben kezdődött, Oroszország teljes körű ukrajnai inváziójával összehangoltan. (A célzott adathalászati kísérletben a támadó egy konkrét személyt vagy szervezetet vesz célba, nem pedig véletlenszerű sokaságot, mint a hétköznapi phishing esetén.)
Az NSA, az FBI és a szövetséges nemzetek biztonsági ügynökségei arra figyelmeztetnek, hogy Oroszország folytatja megfigyelési erőfeszítéseit, és azt tanácsolja a támogatás-szállításban részt vevő vállalatoknak, hogy maradjanak éberek és fordítsanak különleges figyelmet eszközeik és kameráik adatvédelmére. Példaként hozzák fel, hogy egy határállomáson áthaladó kamionok videóképe következtetni enged a szállítmány feladójára, a küldemény jellegére és mennyiségére, ami egy nagyobb képbe illesztve taktikai következtetéseket enged meg. Még több információt lehet szerezni egy kirakodó állomás, raktár vagy feldolgozó üzem ipari kameráinak felvételeiből.
"A védekezés érdekében a veszélyeztetett szervezeteknek számolniuk kell a célpontok iránti érdeklődéssel" - áll az NSA tanácsadásában.
A hackerek taktikája gyakran nem a megfigyelésen, hanem a megtévesztésen alapul, például hivatalosnak tűnő üzenetek küldésével, amelyek célja érzékeny információk megszerzése vagy rosszindulatú programok telepítésével. Kihasználják a kisvállalati vagy otthoni irodai hálózatokban jellemzően használt távoli hozzáférési eszközök sebezhetőségeit is, amelyek igen gyakran nem rendelkeznek vállalati szintű védelemmel.
Grant Geyer, a Claroty kiberbiztonsági cég stratégiai vezetője szerint a hackerek módszerei nem különösebben kifinomultak, de szisztematikusan és tömegesen hajtják végre őket. "Részletes célzást végeztek a teljes ellátási láncban, hogy megértsék, milyen berendezéseket mozgatnak, mikor és hogyan - akár repülőgépen, hajón vagy vasúton" - jegyezte meg a szakértő. Igen gyakran szakszerű és beavatottnak tűnő kérdéseket intéznek hamis emailcímekről a kisvállalathoz, és a választ beillesztik egy nagyobb képbe a láncolat felmérésére.
Geyer figyelmeztet, hogy az összegyűjtött információk segítenek Oroszországnak a katonai stratégiája finomításában, illetve potenciálisan tervezhetnek jövőbeli fizikai zavarokat az ukrajnai segélyútvonalakon.
Tavaly ősszel az amerikai hírszerző ügynökségek több lépést is tettek, hogy az amerikai védelmi vállalkozókat és logisztikai cégeket segítsék a védekezésben, miután Európában több orosz eredetű szabotázscselekmény történt.
A nyugati országok által az évek során összegyűjtött bizonyítékok azt mutatják, hogy a FancyBear állt nem csak az Ukrajna, de Grúzia és a NATO, valamint a Kreml politikai ellenségei, nemzetközi újságírók és mások elleni támadások sorozata mögött.