Szeptember végén féltucat európai reptéren kibertámadás okozott többnapos késéseket és járatkimaradásokat. Az ügynek vannak gyanúsítottjai, de kevés biztosat lehet tudni azon túl, hogy ezt zsarolóvírussal végezték. Az akció természetéről Frész Ferenc kibervédelmi szakértőt kérdeztük.
A múlt héten féltucat európai reptéren okozott több napos késéseket és járatkimaradásokat egy kibertámadás. A hackerek nem a repülőterek és nem is a repülőgéptársaságok belső informatikai rendszereit támadták. A kibertámadás célpontja a Collins Aerospace üzemeltetésében lévő utaskezelő rendszer volt, amit több európai repülőtér, többek között az Európában legforgalmasabbnak számító londoni Heathrow, és a szintén érintett brüsszeli, dublini és berlini repülőterek is bérelnek. A hackertámadás ellehetetlenítette az utasfelvételi folyamatot, tehát többek között a becsekkolás, a poggyászfeladás, és az utasok beszállításáért felelős szolgáltatásokat. A felmerült rendszerhibák miatt a légitársaságok kénytelenek voltak a papíralapú munkaszervezésre: a beszállókártyák ellenőrzése után papíron rögzítették az adatokat, és a poggyászfeladást is mindenféle elektronikus segítség nélkül végezték el. Arról, hogy a támadást pontosan kik és milyen infrastruktúrával valósították meg, egyelőre keveset lehet tudni, annyit viszont megerősített a Collins Aerospace anyavállalata, hogy a támadás során egy HardBit nevű zsarolóprogramot (ransomware) használtak, amellyel hasonló esetekben megpróbálnak komoly összegeket kisajtolni a célpontokból, most azonban az ilyen követelések elmaradtak. Az eset előtt értetlenül állnak a szakértők.
A múlt héten a dél-kelet-angliai Nyugat-Sussexben letartóztattak egy 40 év körüli férfit, akit azzal gyanúsítottak, hogy köze lehet az akcióhoz, azonban később szabadon engedték. Ezt követően letartóztattak két tinédzsert, akik mindketten a Scattered Spider nevű hackercsoport tagjai. A 18 éves Owen Flowers-t korábban amerikai egészségügyi szervezetek informatikai rendszereibe való behatolásokkal vádolják. A 19 éves Thalha Jubair az ellene szóló vádak szerint 2022 és 2025 között társaival legkevesebb 120 hálózatba tört be, amely támadások során 115 millió dollár váltságdíjat kaptak. A reptereket ért kibertámadásról és az ilyen jellegű akciókról általában Frész Ferenc kibervédelmi szakértőt, a Nemzeti Biztonsági Felügyelet kibervédelmi központjának korábbi vezetőjét kérdeztük.
Rácz K. Bence: Pontosan mit támadtak meg a hackerek?
Frész Ferenc: Nagyon keveset lehet tudni pontosan tudni a támadásról, hiszen a cég nagyon visszafogottan kommunikál a kérdésben. Mivel több repülőteret érintő támadásról van szó, sejthető, hogy az érintett reptéri kiszolgálórendszer központját támadták meg, amely gyakorlatilag a szoftver adatbázisa. Tehát nem a reptéri konzolok vagy a terminálok az érintettek, hanem az a szolgáltatási rendszer, amit az utasok becsekkoltatásánál használnak számitógépekről, vagy egy felhőszolgáltatáson keresztül.
Azzal, hogy adatbázist támad meg egy hackercsoport, nem merül fel automatikusan az adatokkal való visszaélés veszélye?
Nem feltétlenül, hiszen egy ilyen zsarolóvírus-támadásnak az elsődleges célja az, hogy megállítsa a rendszert és szorítóba tegye annak tulajdonosát. Mivel ilyenkor a vírus titkosítja az adatokat, a rendszer működésképtelenné válik. Az adatokat ez után csak úgy lehet újra visszaszerezni, ha az ember hozzáfér a titkosító kulcsokhoz, amelyekkel gyakorlatilag feloldható a zárlat. Ezekért a titkosító kulcsokért szoktak váltságdíjat követelni a támadók. Ezt a legújabb vírusoknál azzal tetézhetik, hogy az adatokat is ellopják, majd azok közzétételével zsarolják az áldozatot. A cég erről azonban nem közölt semmit.
Nem tudni, hogy lenne bárki, aki ténylegesen zsarolja a Collins Aerospace-t, és nem ismert semmilyen zsarolóösszeg sem. Ez furcsa, hiszen, ha valóban zsarolási érdekei lettek volna a támadóknak, akkor már régen publikálták volna a támadás tényét és kiírták volna az összeget, amit elvárnak a titkosító kulcsokért cserébe. Ebben az esetben felmerül, hogy a támadás bár zsarolóvírussal történt, nem zsarolás céljával. Így a jelenleg ismert információk szerint inkább a rendszer megzavarása lehetett a cél. Emiatt merül fel az, hogy egy korábbi alkalmazott állhat a támadás mögött. Ez azért nem elképzelhetetlen, mert a vállalat komoly leépítésbe és átszervezésbe kezdett a közelmúltba. Ebben az esetben a támadás egyfajta bosszú lehetett. És ahogy mindig, most is felröppentek pletykák, hogy orosz vagy kínai támadásról beszélünk, vagy hogy geopolitikai szándék van az akció mögött.
Más kibertámadásokhoz képest ez mekkora támadásnak minősül?
Ha reptéri kiszolgálórendszereket ért zsarolótámadásról beszélünk, az egy komoly dolog. A kiberbűnözés e kategóriájában – tehát a pénzügyi motivációjú kibertámadásoknak – a kár mértéke világszerte 11 ezer milliárd dollár. Ezzel gyakorlatilag arányaiban a harmadik legnagyobb gazdaság a földön.
Ha pénzügyi motivációja van egy hackercsoportnak, a legsikeresebben zsarolóvírus-támadással érheti el a célját. Egy zsarolóvírussal remek hatásfokon lehet dolgozni: rövid idő alatt globális jelentőségű akciót lehet vele végrehajtani. Onnantól, hogy a program megzavarta a reptéri működést, a kialakult káosznak gördülő hatása volt. A késések újabb késéseket okoztak, a reptereken felgyűlt tömeget pedig valahogy el kellett látniuk a létesítményeknek…
Költséges egy ilyen jellegű kibertámadás, vagy egy hasonló zsarolóvírus akár egy otthoni számítógépről is könnyedén elindítható?
Ilyenkor a vállalat valamilyen sérülékenységét használják ki – például internetes felületeken keresztül támadnak, esetleg emaileken keresztül tévesztik meg a dolgozókat –, vagy már meglévő jogosultsággal lépnek be a rendszerbe, és ezt követően indítják útnak a vírust. Ebben az esetben a kettő elegye történt: a vírust frissítésnek álcázták, ezt töltötték le az alkalmazottak. A támadás kiindulópontjaként éppen ezért az írországi Cork-ban lévő Collins-központot azonosították.
Ilyen egyszerű műveletekhez nem kell komoly infrastruktúra, akár egy otthoni számítógépről is kivitelezhető.
Milyen büntetésre számíthat az, aki bizonyíthatóan végrehajtott egy zsarolóvírus-támadást?
Nincsen általános szabály, mert esete válogatja egy-egy támadás jellegét. Ebből adódóan a büntetések is nagyon különbözőek lehetnek. Itt az a kérdés, hogy melyik régió vagy ország jogi szabályait nézzük, amelyek nagyon változóak. Az Egyesült Királyságban, ahol előállítottak egy gyanúsítottat, komoly büntetésre lehet számítani. Ugyanez igaz az Egyesült Államokra. A büntetésben a károkozás mértéke is számít és az is, hogy ki ellen történt a támadás, azonban a döntő jelentőségű az, hogy honnan indították a zsarolóvírust.
Nagyon nehéz a kibertámadásokat végrehajtó hackerek azonosítása. Remekül el lehet bújni: például, ha valaki VPN-t, vagy anonimizálható megoldásokat használ, esetleg a dark weben keresztül hajtja végre a műveleteket, nagyon megnehezíti a hatóságok dolgát.