40 ezer kiszivárgott kormányzati hozzáférést találtak, magyar érintettség is akad

govbreach.jpg

Másfél év alatt több mint 40 ezer kompromittálódott kormányzati hozzáférést talált egy orosz kibervédelmi cég, a Group-IB. Az adatok 30 országból származnak, Románia, Bulgária, Lengyelország, Svájc, Olaszország és Izrael mellett a magyar kormányzati szervek és kormányzati oldalak is érintettek.

Az adatok zömmel olyan malware/spyware fertőzésekből származnak, amelyek közvetlenül a megfertőzött számítógépekről lopják el a bejelentkezési adatokat.

Ezek közül a legismertebbek az AZORult, Pony és a Qbot malwarek, amelyek a megfertőzött eszközökön figyelik és rögzítik az adatbeviteli formokat, a leütött billentyűket, értékes adatokat tartalmazó fájlokat keresnek és lopnak el, vagy felhasználói munkameneteket meghamisítva hamis weboldalakra irányítják a felhasználókat.  

A malwarek által összelopkodott adatokat a botnetek gazdái listákba szervezik, és vagy egy tökös-mákos réteshez hasonló „mindentbele” listaként (combolist) értékesítik, vagy pedig szektorokra bontva (banki hozzáférések, energetikai hozzáférések, kormányzati hozzáférések, stb.) részletekben értékesítik a különféle piactereken.

A kormányzatokkal kapcsolatos adatokról a Group-IB adott ki egy rövid anyagot, és állításuk szerint értesítették az érintett országok kormányzati CERT-jeit. Hogy végül is a magyar illetékeseket értesítették-e azt nem tudom, de nagyon remélem, hogy igen, és azt is, hogy magyar részről elindult valamilyen reagálás.

Nem kelendők a kormányzati adatok a DarkNet-en?

Az orosz Group-IB a kiadott jelentésében hivatkozik arra, hogy bár a DarkNet piactereken adják-veszik a kiszivárgott, vagy ellopott hozzáférési adatokat tartalmazó a listákat, azonban valamiért a kormányzati forrásokkal kapcsolatos adatok kevésbé kurrensek, pedig ezek az adatok igazán jól felhasználhatók a kormányok által drájvolt „kiberháborúkban” (is).

Szerintem ennek az (is) lehet az oka, hogy ezeket az adatokat nem a „hagyományos” kiberbűnözők vásárolják, márpedig a piacterek jelentős része a „hagyományos” vásárlókra szakosodott.

Az ilyen típusú adatoknak is megvan a saját piactere, persze azokra sokkal nehezebb bejutni, így jóval kevesebb információ is áll rendelkezésre.

Azt azért tudni kell, hogy a DarkNet legforgalmasabb piactereit igencsak megfigyelik a hatóságok (sajnos a magyarok nem jeleskednek benne), ráadásul egy csomó kiberszatócsbolt üzemeltetésébe is beépültek a hatóságok (a Group-IB-hez hasonló kibervédelmi cégek is nagyon szeretnek beavászkodni az ilyen áruldákba), sőt nem egy olyan oldal van, amelyet már teljesen átvett valamely ország valamely szakhatósága, és amelyeket aztán honeypotként (eary warning, korai észlelés céljából) működtetnek tovább.

A DarkNet piacterein megjelenő és kompromittált hozzáféréseket tartalmazó listák jellemzően már secondhandnek számítanak, oda már csak akkor kerülnek ki többnyire az adatok, ha az adatokat megszerzők már lefölözték a listát, vagy már kihasználták a megszerzett hozzáférések előnyeit.

A kormányzati forrásokból megszerzett adatokat nagyon szűk kör kezdi meg frissiben felhasználni, és csak nagyon szűk kör felé kezdik el értékesíteni. Ezek az adatok ugyanis sokkal többet érnek addig, amíg csak az eladó és a vevő tud róla, ha már nagyobb nyilvánosságot kap a cuccos, az értéke is meredeken zuhanni kezd.

Magyarország vajon mennyire lehet érintett?

A Group-IB által összegyűjtött adatok nem nyilvánosak, igazából a hírből nem is derül ki, hogy Magyarország mennyire érintett az általuk összegyűjtött adatokkal kapcsolatban (azon kívül, hogy érintett, de arról sincs pontosan szó, hogy egyedi hozzáférésekről beszélnek-e vagy akár ismétlődő breach rekordokról), de egy kis utánanézéssel eléggé érdekes adatok kerülhetnek elő (ez nem a Group-IB listája).

govhu-records.png

Ha Bulgária, Horvátország, Románia, Lengyelország és Magyarhon gov.* domainjeit nézem, akkor annyira nem jó a kép, még akkor sem, ha sok olyan kormányzati intézmény és szerv lehet, amely nem a gov.* címeken érhető el.

Ebben a listában (még egyszer, ez nem a Group-IB listája) a Corporate Records oszlop mutatja az olyan felhasználói rekordokat, amelyek email címében a „gov.hu”, „gov.ro", stb. domain végződés szerepel. Ezek az adatok az elmúlt pár évben valamilyen külső alkalmazásokból szivárogtak ki, pl. Linkedin, randioldalak, játékoldalak, stb. 

Az Infected Records oszlop azokat a rekordokat mutatja, amelyek azonosíthatóan valamilyen malware tevékenység miatt kompromittálódtak. Ezek már olyan adatok is lehetnek, amelyek a Group-IB listája is tartalmazhat (vagy tudja a fene, mit tartalmaz az a lista!).

Itt nem csak a felhasználó emailcímében szerepelhet az adott ország kormányzati domain címe, sokkal inkább problémás, hogy ezek az érintettek lehetnek teljesen civil magánszemélyek, akik valamilyen kormányzati szolgáltatás oldalára jelentkeztek be, amely URL címében szerepel az adott ország kormányzati domain végződése.

Itt olyasmire kell gondolni, hogy Kovács Jakab Baratheon a kovacs.jakab.baratheon@gmail.com címével bejelentkezett a https://miertkesikmegintavonat.gov.hu portálra, de mivel a számítógépén már ott dzsemborizott valamilyen jópofa infostealer malware, a bejelentkezési adatai a botnet gazdájánál landoltak (a target URL-el együtt).

A Last Discovered oszlopban szereplő időpontok mutatják, hogy ez a monitoring rendszer mikor talált utoljára olyan felhasználói adatokat, amelyekben az adott ország domain végződése szerepel a felhasználói email címben.

Ha Magyarországot nézzük, a rendszer utoljára 6 órája akvizitált olyan rekordot, amelyben valamilyen gov.hu-s felhasználó érintett. Ez persze nem feltétlenül jelenti azt, hogy 6 órája kompromittálódott az adott hozzáférés, lehetséges, hogy egy régebbi eseményből került elő egy eddig még nem ismert rekord.

govhu-records2.png

Sajnos, ha a többi környező országot nézem, akkor sem fényesebb a helyzet, egy Szlovákia, Szlovénia, Macedónia és Magyarhon összehasonlításban sem igazán jó összképet kapok. Az érintett kormányzati felhasználói rekordszámmal kapcsolatban Szlovénia azért megközelíti Magyarországot, míg Szlovákia kb. fele annyi kormányzati breach rekorddal „büszkélkedhet”.

(Tényleg nem tudom, hogy egyébként milyen adatok szerepelnek a Group-IB listájában, lehet, hogy magyar érintettség abban sokkal kisebb, vagy éppen sokkal nagyobb).

Átalakulóban a Magyar kibervédelem

A magyar állami kibervédelem éppen átalakulóban van, most darálják be (akarják bedarálni? fogják bedarálni?) a Kormányzati Eseménykezelő Központot (GovCERT) és kerül át minden ilyen jellegű tevékenység a Nemzeti Kibervédelmi Intézet fennhatósága alá, erről Gyömbér Béla, a Jogalappal blog szerzője számolt be még novemberben.

Sok beszélgetésen sok negatív véleményt hallok a hazai állami kibervédelemmel kapcsolatban, és az az igazság, hogy minél többen szidják, én annál jobban felnézek azokra, akik a jelenlegi nehéz intézményi és infrastrukturális rendszerben (infrastruktúra alatt értem a képzéseket, képességfejlesztést, eszköz ellátottságot, támogatottságot, megbecsülést, stb.) is megpróbálnak az ország érdekeit szolgáló munkát végezni.

(Ugyanígy vagyok a rendőrökkel, mentősökkel, tűzoltókkal és persze a katonákkal is: nehéz helyzetben vannak ezek a szakemberek, és a lehetőségeikhez képest igen is megpróbálnak érdemi munkát végezni, csak sajnos a lehetőségeik egyre szűkösebbek. Erőt, egészséget és kitartást a munkátokhoz srácok/lányok!)

A Group-IB jelentése itt olvasható: