Weysan Dun különleges ügynök 1982-ben lépett az FBI, amerikai szövetségi nyomozó iroda szolgálatába – ahol három évtizedes karrierje során segített rács mögé juttatni az atlanti part jó néhány nagy drogbáróját és részt vett az Illinois államot megrázó korrupciós ügyek felderítésében. Nyugállományba vonulásakor a veterán ügynök mégsem ezeket a nyomozásokat választotta témául az Omaha World Herald folyóiratnak adott búcsú-interjújához.
Dun szemében a „Trident Breach” kódnevű kiber-nyomozás marad az egyik legjelentősebb FBI-akció, amelyben ügynök-társaival együtt az amerikai cégeket fosztogató botmesterek ellen vették fel a küzdelmet. A külföldi hackerek ez esetben akkora zsákmányt, mintegy 70 millió USA dollárt szereztek, amelyről a legjobban szervezett és legerőszakosabb utcai bűnbanda sem álmodhat – de végül sikerült leállítani a e-csalásokat és a kár egy kisebb része is megtérült.
Az FBI egyik leginkább félreeső, provinciális részlegének számító nebraskai csapat és segítőik – a hivatalos megítélés szerint – nagy, átütő sikert értek el ebben az akcióban. Brian Krebs informatikai szakújságíró azonban időközben megtudta, hogy a hatóságok, bár valóban sziszifuszi erőfeszítéseket tettek, csak ideiglenes győzelmet arattak a hackerek felett. Az OWH cikke most mindkét fél álláspontját bemutatja.
A perselypénzt is vitték
A több ezer esetre kiterjedő „Trident Breach” e-csalási sorozat leleplezése még 2009-ben, egy telefonhívással kezdődött. Az omaha-i FBI kirendeltség kiber-bűnesetekkel foglalkozó részlegénél egy pénzügyi cég éber alkalmazottja jelentkezett azzal, hogy a kihelyezett it-biztonsági képzésen tanultakhoz hasonló, gyanús jeleket észlelt. A bejelentést Justin Kolenbrander beosztott ügynök vette fel és továbbította főnökének, Weysan Dun-nak.
A szemtanú szerint különböző bankoknál összesen legalább négy tucat gyanús tranzakcióra került sor, ezért Dun elrendelte a nyomozást. Kolenbrander és segítője, James Craig ügynök néhány hét után rájött, hogy rendkívül kiterjedt üggyel állnak szemben – a Zeus alapú e-banki trójai kóddal dolgozó hackerek több tucat, amerikai viszonylatban kis-közepes vállalkozásnak számító céget, illetve non-profit szervezetet károsítottak meg, egyenként is jelentős összegekkel.
A célpontok kiválasztása profikra vallott, mivel a „Top 500” nagyvállalat és az állami szervek erős kiber-védelemmel, nagyobb könyvelő-apparátussal rendelkeznek – ezért az észrevétlen feltörésük, kifosztásuk túl kemény dió lenne. A kisebb vállalkozások vagy például az iowa-i Des Moines város katolikus püspöksége azonban nem mind ellenőrzik naponta a főkönyvet és az online pénzügyi manipuláció egy ideig észrevétlen maradhat (az atyákat így 600 ezer dollárral rövidítették meg a neten).
Emberükre akadtak a hackerek
A „Trident Breach” támadás-sorozatban a profit-érdekelt bűnözők az úgynevezett célzott adathalászat (spear-phishing) módszerét alkalmazták. Az elérhető információk alapján igyekeztek kiismerni a célpont működését, szervezeti felépítését és gazdasági kapcsolatait. A kiválasztott pénzügyes alkalmazottnak egy megfelelő témájú, például Federal Deposit biztosításról vagy adóhivatali elmaradásról értesítő e-mailt küldtek – mellékletként értékesnek tűnő, de veszélyes tartalommal.
Amikor a dolgozó megnyitotta a webes hivatkozást vagy a levélhez csatolt fájlt, támadókóddal fertőzte meg számítógépét. Ez nem jelentett nagy kockázatot a hackerek számára, mert a legtöbb célszemély bejelentés nélkül hagyta és gyorsan elfelejtette a furcsa esetet – olyan balek is akadt köztük, aki háromszor próbálkozott az adóbefizetési elmaradásról szóló IRS figyelmeztetés webes linkjének megnyitásával, egy másik helyen pedig sorban négy alkalmazott próbálta megnyitotni a fertőzött PDF dokumentumot…
A gyanútlan dolgozók gépére ezután rövid időn belül a Zeus nevű hírhedt trójai kártevő egyik változata települt fel. Ez a neten már 2007. év óta aktív ártó kód lehetővé teszi, hogy a hacker a felhasználók minden számítógépes tevékenységét, beírt jelszavát távolról megfigyelhesse – sőt akár online meg is személyesíthesse az áldozatot, amikor a nevét felhasználva jogosulatlanul tranzakciókat kezdeményez az elektronikus banki rendszerekben.
Az átutalások többnyire erre a célra Amerikában megnyitott, személyes megtakarítási típusú számlákra történtek és a pénzmozgásokat az alkalmazottak bér-kifizetésének álcázták – de a püspökség kifosztása során például a pedofil molesztálások áldozatainak kártérítése volt a fedőtörténet. A módszer olyan jól működött, hogy sok sértett csak a bankjától vagy az FBI-tól érkezett figyelmeztető telefonhívások után vette észre, hogy ismeretlen hackerek akár 30-100 ezer dollárral is megrövidítették a céges kasszát.
A zsákmányt a főkolomposok, a csalás-sorozat értelmi szerzői nem vehették át rögtön, egyrészt a lebukás veszélye miatt – másrészt mert ők maguk, mint később kiderült, Ukrajnában tanyáztak. Segítőik, a pénzespostás „öszvérek” olyan, többnyire illegálisan az USA-ban tartózkodó kelet-európai diákok voltak, akik tíz százalék körüli részesedés fejében a bankban felvették, majd brit és ukrán címekre továbbították a lopott összegeket.
A gyakran Western Union kioszkokban végzett pénz-táviratozás a személyes jelenlét miatt kockázatos művelet és a nemzetközi kiber-bűnözés gyenge pontja: a mohó ifjúság néha önmagát leplezi le, amikor az illegális részesedésből vett kocsival, vagy akár kötegnyi százdollárossal fotózva pózol a Facebook-on. Mivel az FBI jól ismeri a pénz szerepét a bűnözésben, ezen a nyomon dolgoztak, de a főkolomposok kilétét viszonylag sokáig nem tudták kideríteni.
Egyetlen napért dolgoztak hónapokon át
A szövetségiek a digitális vonal megerősítéséhez bevonták Gary Warner professzort, az Alabama-Birmingham Egyetem kiber-nyomszakértői intézetének igazgatóját is. Hosszabb ideig tartó megfigyelés után, az ő segítségével sikerült egy adott ukrán hacker-csoporthoz kötni az összességében több ezer pénzügyi incidenst eredményező Zeus-járványt – amelynek megfékezésén 2010. őszére már száznál is több ügynök dolgozott az akció központjában, az omaha-i három emeletes FBI-irodaházban.
Szeptember végén néhányan közülük Angliába, Hollandiába és Ukrajnába utaztak, hogy összekötőként szolgáljanak a helyi hatóságok által végrehajtott letartóztatások során, amelyeknek a tettesek elmenekülését kizárva összehangoltan, egyetlen nap alatt kellett megtörténniük. Az akció sikerrel járt, összesen 64 gyanúsítottat – Amerikában több tucat, Angliában 13, Ukrajnában pedig 5 személyt – vettek őrizetbe. Az utóbbiak a főkolomposok voltak, akiket a milícia, a rohamrendőrség kommandósai gyűjtöttek be.
Az újságíró értesülései szerint az ukrán hacker-keresztapákat sajnos rövid idő után kiengedték az előzetes letartóztatásból és jelenleg is szabadlábon vannak – ezt a hírt az FBI a még folyamatban lévő nyomozás érdekeire hivatkozva nem kívánta kommentálni. A szövetségi ügynököknek, úgy tűnik, az eddigi legnagyobb „giró-csalás” ellenes művelet során be kellett érniük a kishalak, 27 amerikai pénzespostás és a bűnszervezet néhány középszintű brit részvevőjének elítéltetésével.
Kiberbűnözéstől az e-terrorizmusig
A képet tovább árnyalja, hogy a szövetségiek mindig legalább 200-300 hasonló ügy nyomozásán dolgoznak – vagyis az online bűnözés elképesztő, sőt az FBI-ügynökök szerint már rémisztő méreteket öltött. Ők ugyanis a kritikus infrastruktúra miatt is aggódnak és az NSA lehallgató szervezet igazgatójához hasonlóan úgy látják, hogy kínai és orosz (volt szovjet) kiber-tevékenység évente ezermilliárd dollárnyi értéktől szabadítja meg Amerikát készpénz, szellemi tőke és titkos információk ellopása formájában.
Igaz ugyan, hogy a kiber-hadviselésben eddig elsősorban az USA és Izrael jeleskedik – az amerikai hatóságok azonban tisztában vannak azzal, hogy hazájuk rendkívül sebezhető lenne egy, a közszolgáltatásokat vagy a pénzgazdaságot érő online csapással szemben. Dun ügynök ezért már a net szétdarabolását javasolja, úgy, hogy a banki és állami hálózatok zárt „lakóparkként” elkülönüljenek a nyilvános, szabad felhasználástól.
Mindez nem valósulhat meg rövidtávon, ezért az FBI a tanulásnak is komoly szerepet szán – de nem csak a hagyományos oktatás formájában. Mivel a kiber-bűnözők jelenleg jóval a védelem előtt járnak és az e-támadások egyre inkább kihasználják az emberi tényezőt, Weysan Dun szerint érdekeltté kell tenni a pénzügyeseket az online biztonsági ismeretek megszerzésében: akik nem szerepel jól a vizsgán, nem kapna prémiumot.
Repül a vészmadár
Krebs, az újságíró szinte prófétai hévvel hirdeti saját, hasonló nézeteit. Mivel sokat utazik, a repülőgépen gyakran kerül kis- és közép-vállalati képviselők mellé, akiket megpróbál felvilágosítani a pénzügyi kiberbiztonság alapelveiről – beleértve ebbe a Windows rendszer e-bankolásból történő kizárását, illetve a felhasználói oktatás szükségességét. Néha nagy cégek vezetőivel is találkozik és számukra a rendszeres informatikai audit, a „fehér-kalapos” hackerek által végzett hálózati behatolási felmérés fontosságát hangsúlyozza.
Véleménye szerint azok, akik ezeket az intézkedéseket nem tudják kigazdálkodni, csak személyes fiókból e-bankoljanak – mert azokra Amerikában erősebb fogyasztó-védelmi szabályok vonatkoznak, mint a céges számlákra. Egyesek szerint azonban Krebs mondanivalója annyira ijesztő, hogy kényszerű hallgatósága talán soha többé nem próbál meg távolról banki ügyeket intézni… ami a jelenlegi netes viszonyokat tekintve talán nem is olyan nagy baj – írja a virushiradó.hu.