Mint tudjuk, az orosz kiberbűnözők szinte érinthetetlenek. Az országban működő hackerek évek óta pusztító zsarolóvírus-támadásokat indítanak kórházak, kritikus infrastruktúrák és vállalkozások ellen, milliárdos veszteségeket okozva. A nyugati bűnüldöző szervek számára azonban elérhetetlenek, és az orosz hatóságok is nagyrészt figyelmen kívül hagyják őket (hiszen az engedélyükkel dolgoznak). Ha a rendőrség mégis lekapcsolja a bűnözők szervereit és weboldalait, azok gyakran heteken belül újra visszatérnek a hackerekkel együtt.
Most a nyugati nyomozók egy új dimenzióval egészítik ki a bűnüldözés eszköztárát: a kiberbűnözők elméjével szórakoznak. Egyszerűbben fogalmazva: trollkodnak a hackerekkel. Erről írt a WIRED magazin.
A rendőri művelet, amelyről szó lesz, a LockBit zsarolócsoportot leplezte le, és a mögöttük álló „LockBitSupp” agytröszt leleplezésével kecsegtetett, mert azt állította, hogy „együttműködtek” a bűnüldöző szervekkel. Az orosz állampolgárságú Dmitrij Jurjevics Horosevet májusban vádolták meg a LockBit működtetésével, miután a lefoglalt LockBit weboldalon egy több napig járó visszaszámláló órát tettek közzé, és merész grafikákkal őt nevezték meg a csoport szervezőjeként.
„A LockBit büszke volt a márkájára, brandjére és az anonimitására, ezeket a dolgokat mindennél többre értékelte” – mondta Paul Foster, az NCA fenyegetés-vezetési igazgatója. „A mi műveletünk szétzúzta ezt az anonimitást, és teljesen aláásta a márkát, elriasztva a kiberbűnözőket – tehát az ügyfeleiket – a szolgáltatásaik igénybevételétől.” Az NCA azt mondja, hogy alaposan megfontolta a műveletet, de végül a LockBit oldalának újjáépítésére tett erőfeszítések miatt a csoportot széles körben kigúnyolták az interneten, és a márka „mérgezővé” vált a vele dolgozó kiberbűnözők számára.
„Felismertük, hogy egy technikai zavar önmagában nem feltétlenül fogja elpusztítani a LockBitet, ezért a nemzetközi partnereinkkel közösen végrehajtott további beszivárgásunk és ellenőrzésünk, valamint a letartóztatások és szankciók mellett a trollkodás fokozta a LockBitre gyakorolt hatásunkat, és megteremtette a platformot a jövőbeni, további bűnüldözési akciókhoz” – mondja Foster.
Amikor a LockBit-tagok bejelentkeztek a csoport adminisztrációs rendszereibe, egy személyre szabott üzenetet kaptak, amelyben közölték, hogy a hatóságok összegyűjtötték felhasználónevüket, kriptopénz-tárcájuk adatait, belső és áldozatokkal folytatott csevegéseiket, valamint IP-címüket. Amint azt az Analyst1 kiberbiztonsági cég kutatói megjegyezték, ez a „pszichológiai taktika” két területet célzott meg: „a márka hírnevét és a szereplők közötti interperszonális kapcsolatokat”.
Az ilyen törekvések túlmutatnak a LockBit visszavételén. Áprilisban a londoni Metropolitan Police megzavarta a LabHost szolgáltatást, amely lehetővé tette a csalók számára, hogy adathalász weboldalakat hozzanak létre, hogy rávegyék az embereket e-mail címeik és jelszavaik átadására. A rendőrség mintegy 800 bűnöző LabHost-felhasználónak küldött személyre szabott videoüzeneteket, amelyekben részletesen ismertette „az összes adatot, amellyel rendelkezünk önről”. Azokat az országokat, ahol az áldozatokat célba vették, valamint az általuk használt IP-címeket is megadták. „Minden egyes alkalommal figyeltük Önt, amikor meglátogatott minket” – hangzik el a videóban.
„Ezek az üzenetek nem csak a bűnözői ökoszisztéma meglévő résztvevőinek szólnak” – mondja a Secureworks Smith. „Ezek az üzenetek azoknak szólnak, akik talán éppen most döntenek úgy, hogy gazemberek lesznek.” A burjánzó kiberbűnözés ökoszisztémáján belül nem sok bizalom uralkodik a tolvajok között, akik dollármilliókat képesek kicsalni egymásból, de a megosztottság megerősítése és fokozása megnehezítheti a hatékony bűnözői vállalkozások megszervezését.
Nehéz megérteni, hogy a pszichológiai műveleteknek mekkora hatása van, de a kutatók szerint a bűnözők mindig figyelnek. Az NCA szerint a LockBit 194 társult tagja közül mindössze 69 tért vissza a platformra a februári rendőri intézkedés óta. A hackerek olvassák a híreket és a kiberbiztonsági tanulmányokat, és orosz nyelvű kiberbűnözési fórumokon vitatják meg azokat – mondják a kutatók. Az XSS fórumon létezik például egy „Szaftos letartóztatások” nevű témacsoport, amely 2017 óta több mint 1000 hozzászólást tartalmaz – mondja Victoria Kivilevich, a kiberbűnözői undergroundot figyelő KELA biztonsági cég fenyegetéskutatási igazgatója.
Kivilevich szerint az XSS-felhasználók körében megoszlottak a vélemények a LockBit letartóztatásáról. Azt mondja, hogy az egyik februári bejegyzésben egy kiberbűnöző megkérdőjelezte, hogy miért nem nevezték meg a csoport vezetőjét, és miért nem szankcionálták akkoriban. „Ha ennyi információval rendelkeznek, legalább valamit tudniuk kell róla” – áll a lefordított bejegyzésben. „Vagy talán nekik dolgozik”. Egy másik felszólította a többieket, hogy ne készítsenek mémeket vagy ne viccelődjenek a helyzettel kapcsolatban. „Értsétek meg, hogy egy ponton ez titeket is érinthet” – írta.
Kivilevich rámutat más esetekre, amikor a fórumokon a kiberbűnözők kiábrándultak vagy elégedetlenek lettek a bűnüldözés miatt, amely egyes tagokat célkeresztbe vett. Amikor 2023 februárjában a Conti és a Trickbot zsarolóprogram-csoportok tagjait szankcionálták, a LockBitSupp megkérdezte, hogy hol vannak a szankciók a Trickbot vezetője, „Stern” és a másik magasan jegyzett szereplő, „Baddie” esetében. Mivel a Conti és a Trickbot további 11 tagját szankcionálták 2023 szeptemberében, napokkal azután, hogy a WIRED megnevezte az egyik tagot, egy kiberbűnöző panaszkodott, hogy a szankcionáltak közül néhányan „soha nem voltak valódi szakértők”. Úgy folytatta, hogy „az igazságtalanság érzése” tölti el: „Mi értelme volt olyan menedzsereket felvenni, akik nem sokat számítottak az üzletben?”
Andréanne Bergeron, a GoSecure biztonsági cég kutatási igazgatója, aki a bűnözői magatartásra és a rendőri beavatkozásra szakosodott, azt mondja, két eredménye lehet annak, hogy egyes bűnözőket megneveznek, másokat pedig nem. Azok, akiket megneveznek, „igazságtalannak érezhetik, hogy megbüntetik őket, míg mások szabadon távozhatnak”, és ennek következtében együttműködhetnek vagy együttműködhetnek a bűnüldöző szervekkel.
Bergeron szerint a rosszindulatú hackerek gyakran „elismerésre vágynak” tetteikért. „Amikor a kollégáik kapják az összes „elismerést”, még ha ez szankciókat is jelent, ezek a meg nem nevezett személyek kénytelenek lehetnek felfedni magukat, hogy elismerést szerezzenek” – mondja Bergeron. „Ez az elismerés utáni vágy arra késztetheti őket, hogy kockázatos magatartást tanúsítsanak, és az érvényesítésre való törekvésük során potenciálisan kitegyék magukat a hatóságoknak.”
Van az úgy, hogy Bástya elvtársat már meg sem akarják ölni, és ezért megsértődik.
Míg a bűnüldöző szervek a hagyományosabb technikai letiltások és szankciók mellett alkalmazhatnak néhány pszichológiai taktikát is, tudományos kutatások vizsgálják azt is, hogy a kiberpszichológia milyen módon tudja megzavarni a bűnöző hackereket.
Az amerikai hírszerző közösség kutatási ügynöksége, a Intelligence Advanced Research Projects Activity (Iarpa) egy olyan projektbe kezdett, amelynek célja új kiberbiztonsági védelmi eszközök létrehozása a támadók emberi gyengeségeinek kihasználása révén.
A pszichológia felhasználható a kibertámadók viselkedésének „megértésére, előrejelzésére és befolyásolására” – mondta Kimberly Ferguson-Walter, a projektet vezető Iarpa programvezetője. A kutatás, amely még korai stádiumban van, olyan eszközöket és módszereket kíván létrehozni, amelyek a kiberbűnözők emberi gyengeségeit a bevált pszichológiai elvek alapján használják ki. Ha például egy támadóval el lehet hitetni, hogy biztonságban érezheti magát, amikor veszélyeztet egy rendszert, akkor kockázatosabb magatartást tanúsíthat, és felfedheti magát.
„Ha valakit el tudsz riasztani attól, hogy megtámadja a hálózatodat, az a lehető legjobb” – mondja Ferguson-Walter. „Szerintem minél jobban félnek vagy minél bizonytalanabbak a védelem működésével kapcsolatban, annál jobbak az esélyeink erre.”
Oszd meg és uralkodj? Végül is – miért ne? Akinek már volt dolga zsarolóvírus-támadással, az egy pillanatig sem fogja sajnálni ezeket a brigantikat. Féljenek csak, a rendőrségtől is, egymástól is. Majd, ha még az áldozataiktól is félni fognak, az lesz az igazi.
Szele Tamás
