Oroszország szűnni nem akaró digitális támadásai Ukrajnában talán kevesebb kárt okoztak, mint sokan várták. De a legtöbb hekkertámadás célja más, és kevesebb figyelmet kap. Az adatgyűjtés aggasztó lehetséges következményekkel jár.
A február 24-i invázió előestéjén feltört ukrán ügynökségek közé tartozik a belügyminisztérium, amely a rendőrséget, a nemzeti gárdát és a határőrséget felügyeli. Egy hónappal korábban a gépjármű-biztosítási kötvények nemzeti adatbázisát támadták meg egy figyelemelterelő kibertámadás során, és elcsúfítottak ukrán weboldalakat.
A kiberbiztonsági és katonai hírszerzési elemzők szerint a háború előtti adatlopással párosuló hekkertámadások nyomán Oroszország valószínűleg adatok tömegéhez jutott az ukrán lakosságról. Ezeket az információkat Oroszország felhasználhatja arra, hogy azonosítsa és felkutassa azokat az ukránokat, akik valószínűleg ellenállnak a megszállásnak, és potenciálisan internálás vagy valami még rosszabb célpontjává tegye őket.
„Fantasztikusan hasznos ez az információ, ha megszállást tervezel – mondta Jack Watling, a Royal United Services Institute brit katonai agytröszt elemzője az autóbiztosítási adatokról. – Pontosan tudod, hogy ki milyen autót vezet, hol lakik, meg minden.”
A digitális korszak fejlődésével egyre inkább társadalmi kontrollra használják az információs dominanciát, ahogy azt Kína az ujgur kisebbség elnyomása során bebizonyította. Az ukrán tisztviselőket nem lepte meg, hogy Oroszország számára a háború előtti prioritás a polgárokról szóló információk összegyűjtése volt.
„Az elképzelés az volt, hogy a megszállás korai szakaszában megölik vagy bebörtönzik ezeket az embereket” – állította Viktor Zsora magas rangú ukrán kibervédelmi tisztviselő.
Az agresszív adatgyűjtés közvetlenül az invázió előtt felgyorsult, az orosz hadsereget kiszolgáló hekkerek egyre inkább az egyes ukránokat vették célba Zsora ügynöksége, a Speciális Kommunikációs és Információvédelmi Állami Szolgálat szerint.
Szerhij Demedjuk, az ukrán Nemzetbiztonsági és Védelmi Tanács helyettes titkára e-mailben elmondta, hogy a személyes adatok továbbra is prioritást élveznek az orosz hekkerek számára, mivel több kormányzati hálózat feltörésére tesznek kísérletet. „A kiberhadviselés manapság valóban forró szakaszban van.”
Aligha kétséges, hogy politikai megfontolásból kerülnek emberek a célkeresztbe. Ukrajna szerint az orosz erők megölték és elrabolták a helyi vezetőket, ahol területet foglaltak el.
Demedjuk fukar volt a konkrétumokkal, de azt mondta, hogy az orosz kibertámadások január közepén és az invázió kezdetekor elsősorban „a kormányzati szervek és a kritikus infrastruktúra információs rendszereinek megsemmisítésére” irányultak, és részük volt az adatlopás is.
Az ukrán kormány szerint a január 14-i autóbiztosítós hekkertámadás a gépjármű-közlekedési hivatalnál nyilvántartott ukrán biztosítások akár nyolcvan százalékának ellopását eredményezte.
Demedjuk elismerte, hogy a belügyminisztérium is a február 23-án feltört kormányzati szervek között volt. Elmondta, hogy a minisztérium adatainak egy kis részét lopták el, „de eddig nem állapítottak meg olyan esetet, hogy felhasználták volna”. Konkrétumokkal nem szolgált. Az ESET és más, Ukrajnával együttműködő kiberbiztonsági cégek biztonsági kutatói szerint a hálózatokat már hónapokkal korábban feltörték, így bőven volt idő a lopásra.
A hekkeléssel történő adatgyűjtés régóta folyik
Az orosz FSZB hírszerző ügynökség egyik egysége, amelyet a kutatók Armageddon néven emlegetnek, már évek óta végzi ezt a Krímből, amelyet Oroszország 2014-ben foglalt el. Ukrajna szerint több mint 1500 ukrán kormányzati számítógépes rendszert próbáltak megfertőzni.
A csoport tavaly október óta próbált betörni a kormányzati, katonai, igazságügyi és bűnüldözési szervekbe, valamint nonprofit szervezetekbe, és fenntartani a hozzáférést hozzájuk. Elsődleges célja érzékeny információk kiszivárogtatása volt – írta a Microsoft egy február 4-i blogbejegyzésében. Ezek közé tartoztak a meg nem nevezett szervezetek, amelyek „kulcsfontosságúak a vészhelyzetekre való reagáláshoz és az ukrán terület biztosításához”, valamint a humanitárius segélyek elosztásához.
A Zsora és a Proofpoint kiberbiztonsági cég szerint az inváziót követően a hekkerek az ukrán menekülteket segítő európai szervezeteket vették célba. A hatóságok nem pontosították, hogy mely szervezeteket, és hogy mit lophattak el tőlük.
Egy másik támadás április 1-jén megbénította az ukrán Nemzeti Hívóközpontot, amely forródrótot működtet a legkülönbözőbb ügyekkel kapcsolatos panaszokra és megkeresésekre, például korrupció, családon belüli visszaélés, az invázió miatt kitelepített emberek, háborús veteránok juttatásai. A több százezer ukrán által használt telefonközpont Covid–19 oltási bizonyítványokat állít ki, és összegyűjti a hívók személyes adatait, beleértve az e-maileket, címeket és telefonszámokat.
Adam Meyers, a CrowdStrike kiberbiztonsági cég hírszerzési részlegének vezető alelnöke úgy véli, hogy a támadásnak – sok máshoz hasonlóan – nagyobb pszichológiai, mint hírszerzési hatása lehet; célja az ukránok intézményekbe vetett bizalmának megingatása.
„Rémítsük meg őket, hogy ha nem működnek együtt, amikor az oroszok átveszik a hatalmat, az oroszok tudni fogják, hogy ki hol van, és lecsapnak rájuk” – mondta Meyers.
A támadás miatt legalább három napig nem működött a központ – mondta Marianna Vilhinszka, a központ igazgatója: „Nem tudtunk dolgozni. Sem a telefonok, sem a chatbotok nem működtek. Az egész rendszert tönkretették.”
Távirányítású botfarm bombázta demoralizáló sms-ekkel az ukrán katonákat
A magukat Cyber Army of Russiának (Oroszország Kiberhadseregének) nevező hekkerek azt állították, hogy a támadás során hétmillió ember személyes adatait lopták el. Vilhinszka azonban tagadta, hogy betörtek volna a felhasználók személyes adatait tartalmazó adatbázisba, ugyanakkor megerősítette, hogy a hekkerek által az internetre feltett, több mint háromszáz központ alkalmazottjának névsora valódi.
Az elmúlt hetekben a Spear-phishing típusú támadások a katonai, nemzeti és helyi tisztviselők ellen irányultak, és a kormányzati adathalmazok megnyitásához szükséges hitelesítő adatok ellopását célozták. Az ilyen tevékenység nagymértékben támaszkodik Ukrajna mobilhálózataira, amelyek Meyers szerint túlságosan gazdag hírszerzési információkkal rendelkeztek ahhoz, hogy Oroszország lekapcsolja őket.
Március 31-én az ukrán SZBU hírszerző ügynökség közölte, hogy a keleti Dnyipropretrovszk régióban lefoglaltak egy botfarmot, amelyet Oroszországból irányítottak, és amely ötezer ukrán katonának, rendőrnek és SZBU-tagnak küldött szöveges üzeneteket, amelyekben megadásra vagy az egységeik szabotálására szólították fel őket. Az ügynökség szóvivője, Artem Dehtjarenko elmondta, hogy a hatóságok vizsgálják, hogyan jutottak hozzá a telefonszámokhoz.
Gene Yoo, a ReSecurity kiberbiztonsági cég vezérigazgatója szerint valószínűleg nem volt nehéz dolguk: a nagy ukrán vezeték nélküli társaságok előfizetőinek adatbázisai már egy ideje – ahogy sok ország esetében – elérhetők a kiberbűnözők számára a darkweben.
Néha túlzásba esnek a kiberharcosok
Ha Oroszország sikeresen átveszi az irányítást Kelet-Ukrajna nagyobb része felett, az ellopott személyes adatok előnyösek lesznek. Az orosz megszállók már most is gyűjtöttek útlevéladatokat – tweetelte nemrég egy vezető ukrán elnöki tanácsadó –, amelyek segíthetnek a szeparatista népszavazások megszervezésében.
Közben úgy tűnik, hogy a maga részéről Ukrajna is csendben jelentős adatgyűjtést végzett – az Egyesült Államok, az Egyesült Királyság és más partnerek segítségével – az orosz katonák, kémek és rendőrök ellen, beleértve az értékes geolokációs adatokat.
Demedjuk vezető biztonsági tisztviselő szerint az ország pontosan tudja, „hol és mikor lépte át egy adott katona az ukrán határt, melyik megszállt településen állt meg, melyik épületben töltötte az éjszakát, hogy lopott-e és elkövetett-e bűncselekményeket a földünkön”.
„Tudjuk a mobiltelefonszámukat, a szüleik, feleségük, gyermekeik nevét, a lakcímüket”, azt, hogy kik a szomszédaik, hova jártak iskolába, és a tanáraik nevét – mondta.
Elemzők arra figyelmeztetnek, hogy erősen túlzók lehetnek a konfliktus mindkét oldalának adatgyűjtéséről szóló állításai.
Az ukrán digitális átalakulásért felelős miniszter, Mihajlo Fedorov által az interneten közzétett felvétel szerint egyesek az orosz katonák feleségét hívták fel, mások orosz állambiztonsági tisztviselőknek adták ki magukat, és azt mondták, a Fehéroroszországból küldött csomagok ukrán otthonokból ellopott tárgyakat tartalmaznak.
Az egyik hívásban egy ideges hangú nő elismerte, hogy kapott „szuvenírt” – egy női táskát és egy kulcstartót.
A hívó ezek után azt mondta neki, hogy ő is osztozik a büntetőjogi felelősségben, mert a férje „embereket ölt Ukrajnában, és ellopta a holmijukat”.
A nő erre letette a telefont.
