Egy magyar kibervédelmi cég támadó kódon dolgozik, a most megismert részletek sok mindent új megvilágításba helyeznek a múlt heti honvédségi kibertámadásról.
November 13-án jött a hír, hogy kibertámadás érte a hadsereget, amelynek során betörtek a Védelmi Beszerzési Ügynökség (VBÜ) informatikai rendszereibe, titkos információk kerültek illetéktelen kezekbe, a támadók zsarolják a Honvédelmi Minisztériumot. Az aktuális hírek mellett akkor teljesen elsikkadt, hogy ugyanekkor világszerte és Magyarországon is több más céget is hasonló támadás ért. Azaz ugyanazon a felületen jelentették be a hackerek a támadás és zsarolás tényét, ugyanazzal a sablon szöveggel.
A hatóságok mellett számos országban privát kibervédelmi cégek is gőzerővel kezdtek dolgozni az ügyön, hiszen saját ügyfeleik biztonsága érdekében is létfontosságú, hogy tisztán lássanak. Egyikük a magyar Ravenfortech, ami komoly eredményeket ért el, és olyan információk birtokába jutott, amelyek alapján más történhetett, mint amit korábban mindenki gondolt.
Ki volt a támadó?
Sokáig az INC Ransomware nevű hacker csoportot vádolták a támadás végrehajtásával, ám ez ebben a formában nem feltétlenül igaz. Valóban ez a szervezet vállalta a támadást és publikálta a lopott adatok egy részét, azaz jó eséllyel készítette el a támadáshoz szükséges kiberfegyvert. Azonban a kártékony kódot piacra dobták 2024 tavaszán 300 000 dolláros áron. Erre jellemzően akkor kerül sor, ha egy hacker csoport azóta már készített egy újabbat, jobbat, tehát neki már nincs rá szüksége.
Ilyenkor a vevő a forráskódot nem kapja meg, csak a program futtatható változatát. Nagyjából úgy, működik, mintha az ember venne egy bármilyen dobozos szoftvert, akár egy Windowst, aminek a használata nem igényel különösebben professzionális informatikai tudást.
Tehát jó eséllyel nem az INC Ransomware követte el a támadást, hanem egy harmadik fél. Ezt erősíti az is, hogy a Ravenfortech birtokába jutott egy olyan, vélhetően nyáron készült kód is, amely a honvédség ellen bevetett eszköz fejlettebb, nagyobb tudású változata, és amelyet az INC Ransomware-hez köthető kiberbűnözők alkalmaztak máshol. Ez egyben azt is jelenti, hogy azt egyelőre nem lehet tudni, hogy pontosan ki támadott a magyar hadsereg beszerzési ügynökségére ily módon.
Mi volt a cél?
Mivel egy zsarolóvírust töltöttek fel a sikerrel megtámadott rendszerekbe, ezért adja magát a dolog, hogy anyagi haszonszerzés volt a cél. Azonban senki sem látja tisztán a támadók szándékait.
Lehet, hogy az egész csak elterelés, és nemcsak a zsarolóüzenetben megadott, a kód által titkosított adatok, rendszerek, szerverek feloldásáért követelt összeg a tét, hanem a támadás során eltulajdonított adatok megszerzéséről és/vagy áruba bocsátásáról is szó van.
Ez az információ már nem csak a hivatalos állami szervekre vonatkozik, ilyenkor ipari kémkedésről is szó lehet.
Ez lehet a megoldás
A Ravenfortech munkatársai hozzájutottak egy olyan, INC Ransomware által készített kódhoz (nem feltétlenül pontosan ahhoz, amivel a magyar hadsereget támadták, hiszen azt nemzetbiztonsági okokból nem adták oda senkinek), amelyet az adott időszakban használtak. Arra jutottak, hogy szokatlan módon van esély a kód visszafejtésére, tehát vagy direkt vagy véletlenül, de hagytak kiskapukat a hackerek a vírusban.
Ez pedig azt jelenti, hogy van esély a titkosítás megszüntetésére anélkül, hogy ehhez fizetni kellene a zsarolóknak.
Jelenleg is teljes erővel dolgoznak ezen. Amennyiben sikerrel járnak, az jó hír lehet mindenki számára, akit októberben támadtak meg sikeresen az INC Ransomware fegyverével és jelenleg is zsarolnak.
Informatikai ínyencek figyelmébe: A Ravenfortech blogján a teljes szakmai elemzés megtalálható
