Az állami hátterű hekkercsoportok neve nem feltétlenül olyasmi, amit mindenki álmából felébresztve is kívülről fúj. De ha valaki csak egyetlen dolgot tud erről az egész kiberháborúsdiról és az abban egymásnak feszülő elit hekkercsapatokról, az jó eséllyel az, hogy az oroszok mindenféle medvékről kapták a – nyugati kutatók által rájuk aggatott – nevüket.
A szokásosnál szélesebb körű hírnevet elsősorban a 2016-os amerikai elnökválasztással kapcsolatos hekkertámadásaiknak köszönhetik ezek a csoportok: a Demokrata Párt szerverein egymástól függetlenül két orosz csapat is kémkedett párhuzamosan. Eddig úgy tűnt, mintha egyikük, a Cozy Bear nevű, azóta mintha felszívódott volna – de az ESET kutatói megtalálták, és mint kiderült, valójában soha nem is tűnt el igazán. A szlovák kiberbiztonsági cég pozsonyi konferenciáján Matthieu Faou kártevővadász kutató számolt be arról, hogyan követték vissza az általuk Dukes – megint mások által APT 29 – néven emlegetett hekkerek elmúlt évekbeli tevékenységét, és hogyan sikerült azonosítani, hogy valóban róluk van szó.
A Dukes már legalább 2008 óta aktív, amikor az orosz-grúz konfliktus alatt Oroszország szinte a teljes grúz internetet megbénította. Az orosz hírszerzéshez, az FSZB-hez szokás kötni, és ennek megfelelően elsősorban diplomáciai, katonai és politikai szervezeteket vesz célba.
A Demokrata Párt elleni akcióján kívül is egy sor amerikai állami és vállalati célpont meghekkelőjeként tartják számon a kutatók, akik Brazíliától Japánon át Új-Zélandig világszerte nyomon követték a támadásait. A neve abból ered, hogy a kutatók az általuk használt kiberfegyverek egész arzenálját azonosította (legalább kilencet), és ezek mindegyikét valamilyen Duke-nak nevezték el (MiniDuke, CozyDuke, CloudDuke, stb). A fél Európa kormányzatait, köztük négy magyar célpontot is végigtámadó MiniDuke felfedezésében kulcsszerepe volt egy magyar kutatócsapatnak, a BME-n működő CrySys Labnak is.
Egészen eddig azonban az utolsó támadás, amelyet egyértelműen sikerült hozzá kötni, 2017-ben történt, amikor a norvég védelmi minisztériumot egy egy norvég pártot hekkelt meg. Aztán egyszer csak mintha felszívódott volna – de az ESET kutatói szerint valójában soha nem tűnt el igazán.
Teljesen azért nem veszett nyoma az elmúlt években sem. 2018 végén egy másik biztonsági cég, a FireEye a Dukes hekkereit gyanította egy amerikai kormányzati és vállalati célpontokat támadó művelet mögött, a bizonyítékaik azonban nem voltak elég erősek ahhoz, hogy kellő magabiztossággal nevezzék meg a csoportot.
Az ESET-nek most egy korábban nem ismert akciósorozatot sikerült a Dukeshoz kötni. Az Operation Ghost, azaz Szellem névre keresztelt művelet 2013-ban kezdődött, és jelenleg is tart, az utolsó ismert aktivitást 2019 júniusában észlelték. Az ismert áldozatai között legalább három európai ország külügyminisztériuma, illetve egy európai uniós ország washingtoni nagykövetsége található. (Hogy pontosan melyik országokról van szó, azt persze külön kérdésünkre sem árulták el a kutatók.)
A Dukes aktivitása tehát valójában soha nem is szakadt meg, az eddig sötétbe borult időszak alatt is folyamatosan dolgoztak, már ismert technikákat és új eszközöket is bevetve. Az ESET kutatói 18 hónapja kezdték a Ghost feltérképezését, amely során három különböző, egymástól látszólag független, de ugyanazokon a hálózatokon felbukkanó kártevőcsaládot elemeztek, és sikerült is ezek és a korábbi eszközök között kapcsolatot találniuk. A három most felfedezett kártevőcsaládok a PolyglotDuke, a RegDuke a FatDuke nevet kapták. Az első legkorábbi ismert felbukkanása 2013 szeptembere, a másodikat 2016 szeptemberében sikerült azonosítani, a harmadikat pedig 2017 augusztusában.
A Ghost során bevetett módszerek hasonlóak a korábban látottakhoz, például a kártevő letöltéséhez vezető linket Twitteren, Redditen és más nyilvános közösségi felületeken tették közzé. Szintén visszatérő technika a kártevő kód ártalmatlannak tűnő képekbe kódolása szabad szemmel észrevehetetlen változtatásokkal. A hekkerek használtak máshol már látott kártevőt, a MiniDuke-ot is, és az új kártevőkben is feltűntek a korábbiakhoz hasonló kódok. Mindez, illetve a célpontok hasonlósága segített a Dukes azonosításában.
Azt azonban maguk a támadó csoportok is tudják, hogy a kódok, kártevők, módszerek reciklálása árulkodó lehet, ezért akár meg is próbálhatják tudatosan más csoportok már nyilvánosságra került eszközeit felhasználni egy-egy támadáshoz, hogy rájuk tereljék a gyanút (ezt hívják false flag műveletnek), ez megnehezíti a valódi támadók azonosítását, hacsak valamilyen további hírszerzési információ nem igazolja, hogy valóban a technológiai nyomok alapján azonosított elkövetőkről van szó. Hogy lehetnek akkor az ESET kutatói mégis ennyire biztosak a dolgukban?
Faou az Indexnek azt mondta, hogy bár valóban nem zárható ki, hogy különböző csoportok egymást utánozzák, és a támadók azonosítását amúgy is a legritkább esetben lehet 100 százalékos pontossággal elvégezni, ebben az esetben mégis elég nagy magabiztossággal kijelenthető, hogy a Dukesról van szó. Mégpedig azért, mert a jelenleg is aktív támadókat olyan korábbi akcióik alapján kötötték a Dukeshoz, amelyeket még akkor követtek el, amikor a Dukes eszközei sem voltak nyilvánosak. Azaz olyan időbeli átfedés van a két csoport és az azonos eszközeik között, amely alapján gyakorlatilag kizárható, hogy két külön entitásról lenne szó.
Bár utoljára júniusban láttak a Dukeshoz köthető aktivitást az ESET kutatói, ez várhatóan nem sokáig marad így, hiszen 2020-ban jön az újabb amerikai elnökválasztás, így nem lenne meglepő, ha a hekkerek hamarosan újra akcióba lendülnének, vagy legalábbis előkészítenének egy későbbi támadást. Ahogy a frissen közzétett eredményekből is látszik, arra nem igazán lehet számítani, hogy végleg eltűnnének.
Munkatársunk az ESET meghívására és költségén vett részt a rendezvényen. A cikk enélkül nem készülhetett volna el, ugyanakkor teljes egészében szerkesztőségi tartalom, készítésére a cég semmilyen befolyással nem volt.