A tíz legdurvább kiberfegyver

Az egyik legismertebb, legösszetettebb rosszindulatú szoftver (malware) azok közül, amelyeket már ismerünk. Nem lehet biztosan tudni, de bizonyos jelek arra utalnak, hogy valószínűleg amerikai-izraeli eredetű katonai vírusról van szó, amelyet az Irán elleni titkos digitális háborúhoz fejlesztettek ki. Anélkül, hogy a pontos technológiai részletekbe belemerülnénk, elmondható, a Stuxnet 2010-ben „bukott le" az iráni Busher erőműben, amikor kiderült, hogy olyan károkat okozott az urándúsításra használt centrifugákban, amelyek miatt le kellett állítani azokat. Konkrétan leégette a centrifugák 20 százalékát és megfertőzött csak Iránban több mint 100 ezer számítógépet és 45 ezer szervert, és évekkel vetette vissza a helyi atomprogramot. Ez a történelem első olyan esete, amikor egy számítógépes vírus valós fizikai károkat okozott, a szakértők szerint ez volt az igazi kiberháború kezdete.

DuQu

Ha foglalkozunk a Stuxnettel, akkor nem lehet szó nélkül elmenni a Duqu mellett sem, hiszen nagyon sokan ezt az egyik variánsának tartják. Ráadásul a világon először a Budapesti Műszaki Egyetem Híradástechnikai Tanszékén működő CrySyS Adat- és Rendszerbiztonság Laboratórium talált rá és számolt be róla a világsajtónak még 2011-ben. A szakértők megállapították, hogy a Duqu a Stuxnettel majdnem teljesen azonos, viszont merőben eltérő céllal készült: fő feladata az információszerzés ipari környezetben. A kémprogram elsősorban iráni létesítményeket támadott, de a valószínűsítik, hogy más államokban is bevetették. A DuQu tulajdonképpen az előfutára a Stuxnetnek, hiszen az előbbi által megszerzett információk alapján szabadítják rá az adott célpontra az utóbbit.

Flame (SKyWIper)

A valaha volt legkifinomultabb számítógépes vírusnak nevezte 2012-ben az internetbiztonsággal foglalkozó neves cég, a Kaspersky Lab a kártevőt, amely több mint 600 különböző célpontot támadott meg főként közel-keleti országokban. Akárcsak a Stuxnet, a Flame is bizonyosan állami fejlesztésű, ráadásul a célpontok alapján nem is nehéz kitalálni, hogy melyiké. A Flame már legalább 2010 augusztusa óta működésben volt, amikor két évre rá felfedezték. A szakértők megállapították, hogy magánemberek, cégek, akadémiai és kormányintézmények tulajdonában álló számítógépet fertőzött meg Iránban, Ciszjordániában, Szíriában, Libanonban, Szaúd-Arábiában, Egyiptomban és Szudánban. A rendkívül összetett vírus képes ellopni fontos információkat a számítógépekről és az azok által felügyelt rendszerekről, el tudja érni az archivált dokumentumokat és hangfelvételek készítésére is alkalmas. A Symantec elemzői szerint a Flame hússzor hatékonyabb vírus, mint a Stuxnet, és célzott támadásokra is alkalmas.

Gauss

Fenti társaihoz hasonlóan nagy a valószínűsége, hogy amerikai-izraeli programról van szó a Gauss esetében is. A Libanonban, még 2012-ben felfedezett kártevő nagyon hasonlít a Stuxnethez és a Flame-hez azzal a különbséggel, hogy elsősorban banki tranzakciókat figyel a Közel-Keleten, és igyekszik minél több bizalmas adatot (a bejelentkezési információk mellett a pénzmozgásokat is) összegyűjteni. A kutatók azt állítják, hogy a Gauss célzottan támad, és nagyon mélyen képes behatolni a fertőzött rendszerekbe. Ráadásul rendkívül sokféle információt gyűjt, és felfedezni is igen nehéz (már legalább egy éve tevékenykedett, mire megtalálták, és ennyi idő alatt több mint 2500 számítógépet fertőzött meg csak Libanonban).

Mask

Szintén a Kaspersky fedezte fel a Maskot az idei év elején, és megállapították róla, hogy a valaha készült legdurvább kiberfegyver. A több operációs rendszeren is futó vírus elsősorban spanyol nyelvű (nem feltétlenül spanyolországi) kormányzati intézményeket, energia-, olaj- és gáztermelő vállalatokat támad már 2007 óta, ami jól jelzi, hogy milyen komoly védelemmel van ellátva. A kutatók több mint 380 áldozatot találtak 31 országban Algériától Spanyolországon át az Egyesült Államokig. A vírus lehallgatja az összes kommunikációs csatornát, és összegyűjti a legtöbb fontos információt az áldozatok gépéről. Az észlelés kivételesen nehéz a Mask fejlett rejtőzködési képességei miatt.

Miniduke

Erről a tavaly felfedezett vírusról biztosan tudjuk, hogy magyarországi célpontokat is megtámadott. A Műszaki Egyetemen működő CrySyS Lab és a Kaspersky Lab közösen azonosította a kártevőt, amelyről gyorsan kiderült, hogy addigra megtámadta Európa kormányainak legalább a felét. A négy magyarországi célpont mellett még 59-et azonosítottak 23 országból. A számítógép felett az Adobe Reader sebezhetőségét kihasználva vette át az irányítást, a Miniduke-ot célba juttató fájlt egy valódinak látszó PDF-dokumentumba csomagolják. A magyar támadásokhoz használt verzió például egy Ukrajna NATO-csatlakozásához szükséges emberi jogi szeminárium megtartásáról szól. A megtámadott intézmények között akadt kongresszus, parlament, külügyminisztérium és emberi jogi szervezet is. Egyelőre nem tudni, pontosan mire képes a kártevő, mit keresett, milyen adatokat lopott el. Még egy érdekessége, hogy a kutatók szerint nem egy állam, hanem egy szervezet, 29A néven emlegetett csoport állhat a háttérben.

TeamSpy

Erről a vírusról is tudjuk, hogy magyarországi célpontokat támadott meg. A CrySyS Lab által azonosított kártevő magyar diplomáciai célpontokat ellen intézett célzott támadást több hullámban, 2004 és 2012 között. A szakértők szerint az áldozatok száma elérheti a több százat, viszont ezek között csak néhány magyar van. Ami igazán aggodalomra ad okot, hogy ezek viszont mind kiemelt célpontok voltak. A vírust elsősorban információgyűjtésre kondicionálta egy ilyen programok írásával foglalkozó csoport, és ipari létesítményeket, bankokat, elektronikai cégeket, kutatóintézeteket, NATO- és EU-követségeket támadtak vele. Ami igazán félelmetessé teszi, hogy már nagyon régóta működik és állami, ipari titkokhoz, jelszavakhoz, leírásokhoz is hozzáférhetett.

Red October

A beszédes nevű, valószínűleg orosz kiberfegyvert a Kaspersky leplezte le még tavaly. A vírussal elsősorban a volt szovjet tagköztársaságokban működő (ezek mellett természetesen nyugati célpontok is akadnak) kormányszerveket, nagykövetségeket, nukleáris kutatóközpontokat, hadiipari, illetve az olajiparban tevékenykedő cégeket fertőztek meg már 2007 óta. Fő feladata az volt, hogy érzékeny adatokat lopjon el, amelyeket aztán ipari és politikai kémkedéshez használhattak fel. Ennek a kártevőnek is van hazai vonatkozása, hiszen egy – pontosan meg nem nevezett – ország magyar nagykövetségén is felfedezték. A mai napig aktív Vörös október nagy figyelmet fordít a titkosított, kódolt dokumentumokra, még akkor is, ha azok egy, a számítógéphez csatlakoztatott okostelefonon, vagy pendrive-on vannak. Az adatokat egyszerűen lementi, akár a törölt fájlok közül is visszaállítva azokat, de figyeli a billentyűzetet és a webkamerákat is, majd pedig a megszerzett tartalmat elküldi a vezérlő szervereire. Eddig mintegy 55 ezer fertőzött gépet sikerült azonosítani.

NetTraveler

Ezúttal nem egy konkrét vírusról, inkább egy egész elektronikus – nagy valószínűséggel kínai – kémhálózatról van szó. A Kaspersky még tavaly nyáron azonosította a csoportot, amely célzott támadásokat hajtott végre a világ több mint 40 országában. Elsősorban tikos, érzékeny információkra utaztak emberi jogi aktivisták, olajipari cégek, tudományos kutatóközpontok és intézetek, egyetemek, magánvállalatok, kormányzati és állami intézmények, valamint követségek és katonai beszállítók számítógépein. A támadásokat általában adathalász e-mailek segítségével, az Office és a Java sérülékenységét kihasználva hajtották végre. A csoport még ma is tevékeny.

Kimsuky

A végére nem a legdurvábbat, hanem az egyik legérdekesebbet hagytam, Észak-Korea kiberfegyverét, a Kimsukyt. A vírust a már annyiszor emlegetett Kaspersky leplezte le tavaly szeptemberben, és azt írták róla, hogy elsősorban dél-koreai célpontok ellen vetették be. A kibertámadás célpontja 11 déli szervezet, közöttük a Védelmi Kutató Intézet (Korea Institute for Defense Analyses, KIDA), az Egyesítési Minisztérium (Ministry of Unification), a Hyundai Merchant Marine vállalat, a két Korea egyesítését támogató több szervezet, valamint két kínai székhelyű intézmény volt. A kutatók úgy vélték, hogy Kimsuky vírus valószínűleg adathalász e-maileken keresztül terjed és a támadók a távoli hozzáférésre szolgáló TeamViewer program módosított változatát használják a fertőzött gépeken található fájlok ellopására. Ez az egyszerű kémprogram számos alapvető kódolási hibát tartalmaz, és a fertőzött gépekkel történő kommunikációt egy bulgáriai, web alapú, ingyenes e-mail-szerveren (mail.bg) keresztül kezeli.