Ezek voltak a legnagyobb hatású kibertámadások a tavalyi évben
A koronavírus-járvány miatt a világ nagy része átállt a távmunkára, az online vásárlásra, az online tanulásra és a streamingre. Ez viszont egyúttal a kiberbűnözőknek kedvez, hiszen minden eddiginél több potenciális áldozatot jelent meg az online térben. Voltak is a tavalyi évben nagy kibertámadások.
A “Zoombomb” lett az új fotóbomba – a hackerek hozzáférést szereztek a Zoom-on rendezett privát megbeszélésekhez vagy online tanórákhoz, és trágárságokat, faji rágalmakat kiabáltak be, vagy pornográf képeket villantottak fel. Az állami hackercsoportok támadásokat hajtottak végre a koronavírus-járvány elhárításában részt vevő szervezetek, köztük az Egészségügyi Világszervezet és a Betegségmegelőzési és Járványügyi Központok ellen. A hackerek tehát széles skálán mozogtak tavaly is.
Az e-mailes adathalászat, a pszichológiai befolyásolás és a visszatérítési lopások is továbbterjedtek a világjárvány által okozott széleskörű gazdasági bizonytalanság közepette.
“A hackerek többnyire azzal próbálták kihasználni az emberek félelemérzetét, hogy orvosi felszereléseket, például hőmérőket és maszkokat kínáltak, vagy az olcsó alacsony kamatozású hitelekhez és hamis kormányzati e-maileket küldözgettek” – mondta Mark Adams, kiberbiztonsági elemző és a Springboard Cyber Security Career Track szakértője. “Tudod, ezek azok az e-mailek, amelyek szerint X összegű adóhátralékkal tartozol, és letartóztatnak, ha ma nem válaszolsz erre az e-mailre!”
Íme egy közelebbi kép a 2020-as év legnagyobb hatású kibertámadásairól
Első támadás: A hamis munkanélküli segélyekért küldözgetett igények
A munkanélküli segélyt igénylők száma rekord magasra ugrott szinte minden országban. Májusban közel 23 millióra növekedett a benyújtott igények száma csak az USA-ban, röviddel azután, hogy a legtöbb amerikai állam korlátozásokat vezetett be a koronavírus terjedésének megakadályozása érdekében. Két hónappal később az FBI a hackerek csalárd munkanélküliségi kérelmeinek megugrásáról számolt be. Ellopták az adófizetők személyazonossági adatait, és munkanélküli segélyért folyamodtak, miközben az áldozatot identitátását használták.
“Az adócsalások általában az adózási időszakban vagy válság idején nőnek meg. Most az átverő gazfickók a pandémiát arra használják, hogy pénzt és információt lopjanak el becsületes adófizetőktől” – nyilatkozta Chuck Rettig, az IRS biztosa.
A bűnözők különböző módon lopják el ezeket az információkat. Például lopott személyes adatokat vásárolhatnak a darkweben, adathalász üzeneteket küldenek e-mailben, az áldozatokat felhívják és IRS-ügynöknek vagy banki képviselőnek adják ki magukat. De az is előfordul, hogy hozzáférnek az adatokhoz egy korábbi adatlopás vagy számítógépes behatolás alkalmával.
Az IRS minden évben közzéteszi a Dirty Dozen nevű listát. Ezekben felsorolja az adó- és nem adóügyi csalásokat, amelyekre az adófizetőknek ügyelniük kell. Januárban egy amerikai polgárt börtönbe zártak, mert egy bérszámfejtő cégtől kiszivárgott adatot használt fel arra, hogy csalárd módon 12 millió dollárt igényeljen vissza az adóhatóságtól.
Nemzetbiztonsági okokból a kormányzati szervek általában kevésbé fedik fel ezeket az adatlopásokat, mint a magánvállalatok – állítja Adams.
“Ha az emberek úgy gondolják, hogy az szervezet sebezhető, akkor többen megpróbálják majd feltörni azt” – nyilatkozta Adams. “Csak egy nagy eseményre van szükség ahhoz, hogy úgy tűnjön, hogy nem védekezel megfelelően.”
Második támadás: T-Mobile hack során hatalmas mennyiségű érzékeny ügyféladat került ki
Decemberben hozta nyilvánosságra a T-Mobile, hogy újra meghekkelték őket. Három éven belül ez volt a negyedik ilyen kibertámadás.
Nagyon sok vállalat működik abban a felfogásban, hogy nem áldoz erőforrásokat és pénzt az erős kibervédelmi infrastruktúra kialakítására. Helyette inkább tudatosan azt a stratégiát követi, hogy megfizeti a különféle kiszabott büntetéseket az ilyen kiberbiztonsági incidensek esetén, és nem áldoz a vállalat védelmére. Nem tudjuk, hogy a T-Mobile ilyen cég-e, de az biztos, hogy rájuk jár a rúd.
“Minden vállalat, beleértve a bankokat is, költség-haszon elv alapján mérlegel. Néhány esetben olcsóbb benyelni a büntetést,” hívta fel a figyelmet Adams erre a magatartásra.
Az első tavalyi T-Mobile támadást márciusban vallották be. Ekkor egy kiberbűnöző hozzáférést szerzett a munkavállalói email címekhez, és ellopta a T-Mobile dolgozók és néhány ügyfél adatait. Néhány felhasználó esetében hozzáfértek a társadalombiztosítási azonosítójukhoz, pénzügyi adataikhoz, személyi igazolvány adataihoz. Másoknál csak a email cím feletti irányítást vették át.
A második támadás már korlátozott hatókörű volt, főleg hívásokhoz kapcsolódó információkat szereztek meg. Például konkrét telefonszámokat, kapcsolati hálókat és híváslistákat. A T-Mobile rögtön kiemelte, hogy a 100 milliós ügyfél adatbázisuk mindössze 0.2%-át érintette a támadás. Az ügyfél metaadatok (például a tranzakciós történet) ellopása nem feltétlenül jelenti azt, hogy a hacker el tudja lopni a felhasználó identitását vagy pénzt tud szerezni vele. Viszont más bűncselekményekhez nagyon jól fel tudják használni ezeket az ellopott értékes adatokat.
Tipikus példája, amikor ilyen metaadatokra építve indítanak koordinált phishing támadásokat és telefon scam támadásokat. A szakma ‘social engineering’ kifejezés alatt pont azt a tevékenységet érti, amikor verbális manipuláció által veszik rá az áldozatokat, hogy személyes információkat adjanak ki magukról. A hacker például a megszerzett metaadatok, például híváslista és hívástörténet alapján egy ügyfélszolgálatosnak adhatja ki magát, és így veri át a gyanútlan ügyfeleit.
Harmadik támadás: A hackerek a koronavírus járványra adott válaszokkal babrálnak
Áprilisban a hackerek olyan vezető tisztségviselőket támadtak, akik fontos szerepet töltöttek be a pandémia kezelésében. Habár magát a WHO-t nem törték fel, a munkavállalóik jelszavai mégis kikerültek. A támadások nagyrésze adathalász email volt, amiknek a célja az volt, hogy megtévesszék a WHO dolgozókat, és rosszindulatú linkekre tereljék őket, ahonnan aztán malware alkalmazások töltődtek le a gépekre.
A 4chan internetes fórum felhasználói – ez a fórum egyébként ma az alt-right csoportok bölcsödéje – több mint 2000 jelszóval kereskedtek. Ezek állításuk szerint WHO emailfiókokhoz tartoznak, jelentette a Bloomberg. Nem sokkal később olyan álhírek is bejárták a világhálót és a Twittert, hogy far-right politikai csoportok azt híresztelték, hogy a WHO-t megtámadták, és közegészségügyi adatokat és iránymutatásokat loptak el tőlük.
“Sok kibertámadásnak van politikai vetülete is, ugyanis politikai előnyre akarnak szert tenni, vagy ellenfeleiknek akarnak ezekkel a támadásokkal üzenni,” magyarázta Adams. “Néha pedig csak meg akarják félemlíteni az ellenfeleiket, és megnézni, hogyan tud védekezni.”
Másik tipikus támadás volt a koronavírus járvány közepén például, hogy a phishing emailek a WHO nevében arra biztatták a felhasználókat, hogy csalók bankszámláira küldjenek támogatásokat a vírus megfékezése érdekében, és ne a valós WHO által üzemeltetett adományszámlákra.
Negyedik támadás: A FireEye támadás, amely az amerikai kormányzatot is érintette
Amikor a kaliforniai székhelyű információbiztonsági vállalat, a FireEye felfedezte, hogy több mint 300 egyedi és védett kiberbiztonsági terméket loptak el, azzal lerántotta a leplet egy hatalmas támadásról is, amire kilenc hónapon keresztül nem derült fény. A támadás több mint 250 szövetségi ügynökséget érintett, amik az amerikai kormányzat alá tartoznak. Érintett volt az amerikai Pénzügyminisztérium, Energiaminisztérium és még a Pentagon egyes alszervezetei is.
A támadás azonban nem a FireEye-val indult. Előtte ugyanis feltörtek egy IT menedzsment szoftvervállalatot, a SolarWinds-et. Ezzel a támadók célkeresztjébe kerültek olyan nagy vállalatok is mint a Microsoft, Intel, Deloitte és Cisco. Ezt a dominóhatást ‘ellátási lánc támadásnak’ hívják. Ennek során bejutnak a vállalat kibervédelmi rendszerei mögé, és megtámadják az ügyfeleket.
A hackerek a támadás után képesek voltak monitorozni a Pénzügyminisztérium belső levelezéseit is a Reuter cikke szerint, amely decemberben adta hírül a támadást. Amerikai kormányzati források és kiberbiztonsági szakértők szerint az orosz Foreign Intelligence Service (SVR) állhat a támadás mögött. A nyomozók még mindig csak apró részecskékből próbálják összerakni a támadás részleteit, és a hackerek valódi szándékát.
A szoftvercégek a kibertámadások elsődleges célpontjai két fő ok miatt. Először is állandó nyomás alatt vannak az miatt, hogy új szoftver verziókat és frissítéseket adjanak ki. Ez viszont sokszor azzal jár, hogy nem veszik szigorúan az információbiztonsági előírásokat.
Másodszor pedig, ha a hackerek a szoftvercéget támadják, akkor több áldozathoz juthatnak el rajtuk keresztül, mintha egy céget vagy kormányzati egységet támadnának csak. Ha a szoftvercéget feltörték, és a támadás felderítetlen marad, akkor a támadók megfertőzhetik a legújabb szoftverfrissítéseket, vagy bejuthatnak a vállalat ügyfeleinek rendszereibe. Ha a vállalat saját akaratán kívül kezdi el terjeszteni a megfertőzött szoftvert, akkor az ügyfeleik, akik letöltik azt, szintén önkéntelenül telepítik a hackerek malware programjait a saját rendszereikbe.
