A Budapesti Műszaki és Gazdaságtudományi Egyetemen működő kiberbiztonsági labor kutatói rájöttek, hogy az NSA beszámozta a konkurens kiberfegyvereket. Vannak köztük olyanok, amik a mai napig ismeretlenek a kutatók előtt.
Már dolgozott mostani publikációján Bencsáth Boldizsár, a BME-n működő kiberbiztonsági labor, a Crysys Lab professzora, amikor tavaly portrét készítettünk róluk a tech-tudománnyal foglalkozó első Forbes Next különszámba. A Crysys honlapján közzétett tanulmány azt vizsgálja, hogyan próbálja azonosítani az Amerikai Egyesült Államok kibervédelemmel és kibertámadásokkal foglalkozó hírhedt ügynöksége, az NSA, hogy más (állami) szereplők is telepítettek-e kiberfegyvereket azokra a gépekre, amiket éppen megtámadtak. “Már tavaly megtaláltuk az ehhez tartozó első nyomokat” – mondja Boldizsár.
Boldizsár munkájának alapja a valószínűleg az orosz kormányhoz köthető hekkercsoport, a Shadow Brokers munkája, akik rengeteg kódot, információt megszereztek az NSA-tól, majd mindezt felpakolták az internetre is, így a kutatók is hozzáférhettek. Az egyik fájlban Boldizsár észrevette, hogy az NSA azonosítóval lát el bizonyos kódokat (SIG1-től SIG45-ig számozva): ezek konkurens kiberügynökségek kiberfegyverinek nyomai. Ezt a magyar kutatók onnan tudják, hogy saját adatbázisuk van a már ismert kiberfegyverekről, így össze tudták hasonlítani az NSA által megjelölt kódokat az ismert összetevőkkel.
A felfedezés érdekessége – és emiatt a Crysys kifejezetten kéri más kutatók bekapcsolódását is -, hogy az NSA megjelöl több olyan kódot is, amikről egyelőre nyilvánosan nem tudni semmit – azaz, valószínűleg szintén állami, egyelőre nem lebukott kibefegyverekről van szó. Emellett, ha igaz a magyar kutató feltételezése, és a számozás sorrendben halad, az is kiderül, hogy az NSA jóval előbb tudott bizonyos támadásokról, mint ahogy arról a nyilvánosság és a biztonsági kutatók értesültek volna (és megtehették volna a szükséges védelmi lépéseket).
Feltűnő még, hogy az NSA megjelöli a Stuxnetet is, az első nagy nyilvánosság előtt is lebukott kiberfegyvert, amit az iráni atomprogram megakadályozására fejlesztettek ki (a fegyver észrevétlenül tönkretette az urándúsításra szolgáló atomcentrifugákat) valószínűleg pont az NSA-nál, Izraellel közösen. “Fura, hogy erre is rákeresnek, pedig lehet, hogy részt vettek a fejlesztésében. Valószínűleg azért, mert az nagyon titkos volt még házon belül is” – mondja Bencsáth Boldizsár. A másik lehetőség, hogy miután kiderült, és a Stuxnet kódja elterjedt, sok helyen megjelent és kicsúszott az ügynökség kezéből – valószínűleg így akarták megfogni a vadhajtásokat.
Mindez, azaz a konkurens (és saját) kibefegyverek pedig valószínűleg arra volt jó az NSA-nek, hogy az operátorok (a kibertámadási kampányokat lebonyolító emberek) kapjanak jelzést arról, ha mások is tevékenykednek valamilyen célponton: így időben visszaléphettek, ha ezzel veszélyeztették volna a lebukást – és eszközeik ellenséges kézbe jutását. A Stuxnet esetében pedig arról is szó lehet, hogy saját, nagyon titkos műveleteinek ne tegyenek egymásnak keresztbe a különböző operátorok. Illetve: az amerikai hírszerzés azért nem tudja a világot egyenletesen lefedni, nem tudják mindenhol, egy-egy célpont mennyire fontos, merre kellene tapogatózni. Ha azt látják, hogy másoknak is fontos célpont valaki, mert több kiberfegyvert azonosítanak egy-egy gépen, akkor valószínű, hogy tényleg jó helyre nyúltak.
A magyar Crsys Labnek nem ez az első, nemzetközi visszhangot kiváltó kutatása: 2011-ben ők fedezték fel a Stuxnethez több szálon kapcsolódó Duqu nevű kiberfegyvert.
Borítókép: a Crysys Lab kiberfizikai rendszereket szimuláló berendezése – Fotó: Orbital Strangers
