Az FBI és a Cisco közölte, hogy Oroszország legaktívabb kiberkémkedési egységei egy régebbi szoftver sebezhetőségét kihasználva több ezer, kritikus infrastrukturális hálózati eszközt vettek célba az Egyesült Államokban.
Az Orosz Szövetségi Biztonsági Szolgálat (FSzB) 16-os központjában dolgozó hackerek „tömegesen szereznek eszközkonfigurációs információkat, amelyeket később szükség szerint felhasználhatnak az orosz kormány stratégiai céljai és érdekei alapján” – írják a CISCO Talos tanácsadó kutatói.
Az FBI megerősítette, hogy tavaly észlelte a hackereket, akik a konfigurációs fájlokat módosítva hosszú távú hozzáférést szereznek a célzott hálózatok felderítésére, különösen az ipari vezérlőrendszerek terén.
Egy hét éve fennálló sebezhetőségről van szó, amely lehetővé teszi a nem frissített, illetve lejárt hálózati eszközök megtámadását. A CISCO felderítő egység külön fenyegetésfelderítési lapot hozott létre szerdán, hogy segítsen az érintett személyeknek és vállalatoknak a hiba elhárításában.
A kutatók szerint az orosz állami hackerek leginkább az észak-amerikai, ázsiai és európai telekommunikációs szektorban működő szervezeteket célozták meg, és az áldozatokat az orosz kormány iránti stratégiai érdekeik alapján választották ki.
Az Egyesült Államok az elmúlt években több alkalommal is súlyos orosz kibertámadások célpontja volt
Az említett hackercsoport legalább egy évtizede működik. 2022 márciusában az Egyesült Államok Igazságügyi Minisztériuma vádat emelt négy orosz állampolgár ellen, akik 2012 és 2018 között a globális energiaszektort illegálisan célba vevő csoport tagjai voltak.
A legismertebb eset a 2020-as SolarWinds-botrány, amikor egy rutinszerű szoftverfrissítésbe rejtett kóddal orosz hackerek több mint 18 ezer kormányzati és vállalati rendszerbe hatoltak be – köztük a Pentagon és az Energiaügyi Minisztérium hálózataiba. Ugyanebben az időszakban a Pénzügyminisztérium és a Kereskedelmi Minisztérium belső levelezését is feltörték, ami az amerikai kormányzatban komoly biztonsági pánikot váltott ki.
Még korábban a demokraták elleni 2016-os kibertámadások során két orosz hírszerzői csoport (Cozy Bear és Fancy Bear) avatkozott be az amerikai politikai folyamatokba. Az utóbbi években pedig a kibertérben a katonai logisztikát támadták: nyugati szállítmányozó és technológiai cégek rendszereit törték fel, hogy megfigyelhessék az Ukrajnának irányuló fegyverszállításokat és más rakományokat.
Ennek keretében betörtek a lengyel, litván és más szövetségesek határállomásainak biztonsági kamerarendszereibe is, hogy megfigyeljék az Ukrajna felé haladó szállítmányok méretét és mibenlétét.
Ezek a sorozatos akciók mutatják, hogy az orosz hackerek tevékenysége nem alkalmi, hanem tartós biztonsági kihívás az Egyesült Államok számára – ezért is figyelmeztet most az FBI újabb, kritikus infrastruktúrát célzó orosz támadások veszélyére.
Az észlelés nem elég, tenni is kell ellene, de mit?
A puszta figyelmeztetés kevés, ezért a kritikus infrastruktúrát érő orosz kibertámadásokkal szemben az amerikai kormányzat célzott intézkedéseket is bevezetett.
Az FBI és a CISA (Cybersecurity and Infrastructure Security Agency) közösen és rendszeresen értesíti a potenciális célpontokat, részletes technikai jelzéseket és sérülékenységi leírásokat adva át az érintett cégeknek és állami szerveknek. Ezekhez kapcsolódik a sürgősségi „patch management”, vagyis a sebezhetőségek gyors befoltozása, a hálózati hozzáférések felülvizsgálata és a felhasználói jogosultságok szigorítása.
Az amerikai kormányzat emellett kötelező biztonsági auditokat és behatolásteszteket is elrendel a legérzékenyebb szektorokban, például az energiahálózat és a vízellátás területén.
Mindezekhez az USA pénzügyi és szakmai támogatást is nyújt: kiber-ellenállási képességeket finanszíroznak a kisebb állami és önkormányzati intézményeknek is, amelyek önállóan nem tudnának lépést tartani a folyamatos frissítésekkel és fenyegetésfigyeléssel.
A kormány egyre nagyobb hangsúlyt fektet a magánszektor bevonására is: a nagy technológiai cégekkel partnerségben osztják meg a fenyegetési hírszerzést, és közös gyorsreagáló csapatokat állítanak fel. Jó példa erre a Colonial Pipeline elleni 2021-es orosz hackertámadás, amely átmenetileg megbénította az USA keleti partvidékének üzemanyag-ellátását. A támadásnak máig tartó környezeti hatásai vannak.
Az eset után Washington kötelező kiberbiztonsági előírásokat vezetett be az energiaszektor számára, és új, állandó koordinációs központokat hozott létre, amelyek a jövőben azonnal tudnak reagálni hasonló támadásokra.