Bár korábban is voltak időnként átfedések az állami finanszírozású, politikai indíttatású APT támadói csoportok ténykedései, és a profitorientált ransomware bandák akciói között, mára ez sok esetben valamiféle rendszeres konstruktív együttműködéssé vált.
Volt idő, amikor a kiberbűnözés és az államhoz kötött fenyegetési tevékenység közötti határ még meglehetősen könnyen felismerhető és viszonylag éles volt. A bűnözőket szinte kizárólag a haszonszerzési szándék hajtotta, míg a kormányzati szereplők főként kiberkémkedési kampányokat hajtottak végre, valamint alkalmanként pusztító támadásokat is, hogy előmozdítsák munkaadóik geopolitikai céljait.
Ilyen volt például a hírhedt Stuxnet, amikor 2010-ben az USA és Izrael közösen igyekezett elpusztítani a Busheri atomerőműben a Siemens centrifugákat egy célzott vírus segítségével, hogy Irán atomfegyverfejlesztési tevékenységét megakadályozzák.
Később egyre gyakoribbá vált a politikai célzatú, ellenzéki vagy más csoportok elleni célzott kémkedés, gondoljunk csak a számtalan ilyen kártevőre, mint amilyen a Flame, Duqu, Gauss, Careto, Turla vagy a Regin is voltak.
De említhetjük a Potao incidenst is, ahol egy oroszországi, a Truecrypt fájl- és lemeztitkosító szoftver nevével visszaélő weboldal olyan trójait terjesztett, amellyel ukrán tisztviselők és újságírók után is kémkedtek.
Az államok közti szabotázsakciók is megsokasodtak, például orosz bűnözői csoportok számos támadást intéztek ukrajnai és lengyelországi logisztikai vállalatok ellen, áramszüneteket tudtak előidézni számítógépes a BlackEnergy és a KillDisk kártevők segítségével, illetve megjelentek a speciális adattörlő, azaz wiper programok, amelyek pusztán rombolási céllal, például ukrán erőművek, állami tulajdonú szolgáltató cégek ellen kerültek bevetésre.
A Hermetic Wiper például képes volt letörölni a megfertőzött rendszer minden adatát, a célba vett hálózat számítógépeinek teljes tartalmát, mert valódi célja nem az adatlopás volt, hanem a szabotázsakció révén leállítani a működő infrastruktúrákat.
Vagyis a jelenség nem teljesen új, és azóta a kiberhadviselés egyre többször kiegészítő része lett a fegyveres konfliktusoknak. Ám úgy tűnik, mára elmosódtak ezek a korábbi klasszikus elválasztó határvonalak a kibertérben, ami nekünk, a védekezésben érintettek számára mindenképpen rossz hír. Közismert, hogy Észak-Korea szisztematikusan állami hackerek akcióiból származó bevételekből finanszírozza atomprogramját. Szakértők úgy saccolják, hogy 2017 és 2023 között körülbelül 3 milliárd dollár illegális haszonra tettek szert ilyen illegális tevékenységekből.
De emellett Iránban, Kínában és Oroszországban is erőssé vált az állam és a kiberbűnözők közti összefonódás. A kormányzati ügynökségek sokszor egyenesen kiszervezik a támadásokat a pénzre utazó hazafias bandáknak, akik a doxing, vagyis a titkosítás mellett adatlopással is kombinált zsarolóvírus támadásaikkal hasznos szereplőkként vannak foglalkoztatva a rendszerben.
A kibertérben akciózó bűnbandák működését számos országban nem csak megtűrik, hanem egyenesen bátorítják, sőt a támadni kívánt cél intézmények kiválasztásában gyakran közösen egyeztetnek, az ellopott adatokkal kapcsolatban is összedolgoznak.
A Microsoft a Storm-2049 (UAC-0184 és Aqua Blizzard) csoportok esetében konkrétan tudott bizonyítani ilyen kapcsolatot, de mi is írtunk tavaly decemberben arról, hogy a brit kórházak elleni szisztematikus oroszországi ransomware támadások is szemlátomást az Ukrajna védekezését támogató országok elleni büntető szabotázsakcióknak tűnnek.
De sok hasonló példát láthatunk, az iráni Pioneer Kitten (más néven Fox Kitten, UNC757 és Parisite) állami APT csoport, amelynek tevékenységere az FBI figyelt fel, szintén közvetlenül együttműködik ransomware alvállalkozói csoportokkal a váltságdíj bizonyos százalékáért cserében, ahogyan az orosz ALPHV (más néven BlackCat) is aktívan részt vesz célzott, nyugati országok elleni zsarolóvírus műveletekben.
A doxing támadások pedig elképesztő károkat okoznak világszerte, ez a forma az összes adatszivárgási esetek 60%-át tette ki a tavalyi esztendőben.
