Mikor kiderült, hogy Donald Trump választási kampányának adatait feltörte egy iráni zsoldban álló hackercsoport, még azon gondolkodtam: mit szeretnek az irániak Bidenen és/vagy Kamala Harrison? Aztán kiderült, hogy az ő kampányadataikat is feltörték, ráadásul ugyanaz a csapat. A kialakult helyzetet a WIRED magazin járta körül.
Amikor Donald Trump elnökválasztási kampánystábja a múlt héten nyilvánosan bejelentette, hogy iráni hackerek sikeresen megtámadták a tevékenységüket, a hír kezdetben azt látszott jelezni, hogy a közel-keleti ország arra a jelöltre összpontosít, akiről úgy látja, hogy a leghűvösebb megközelítést alkalmazza a rezsimjével szemben. Azóta azonban egyértelműbbé vált, hogy Irán a demokratákat is célkeresztben tartotta kiberműveleteivel. Most a Google kiberbiztonsági elemzői megerősítették, hogy a két kampányt nem egyszerűen Irán, hanem az iráni Forradalmi Gárda szolgálatában álló hackerek ugyanazon csoportja vette célba.
A Google fenyegetéselemző csoportja szerdán új jelentést tett közzé az APT42-ről, egy olyan csoportról, amely szerintük agresszívan próbálta kompromittálni mind a demokrata, mind a republikánus elnökválasztási kampányt, valamint izraeli katonai, kormányzati és diplomáciai szervezeteket. Májusban és júniusban az APT42, amely feltehetően az iráni Forradalmi Gárda (IRGC) szolgálatában áll, mintegy tucatnyi, mind Trumppal, mind Joe Bidennel kapcsolatban álló személyt vett célba, köztük jelenlegi és volt kormányzati tisztviselőket és a két politikai kampányhoz kapcsolódó személyeket. Az APT42 a Google szerint továbbra is egyaránt célba veszi a republikánus és demokrata kampány tisztviselőit.
„A fenyegetéseket tekintve úgy tűnik, mindkét oldalra lecsapnak” – mondja John Hultquist, aki a Google tulajdonában lévő Mandiant kiberbiztonsági cég fenyegetéselemző csoportjával szorosan együttműködő fenyegetéselemző csoport vezetője. Hultquist megjegyzi, hogy az egyenlő esélyű kiberkémkedés nem meglepő, tekintve, hogy az APT42 a 2020-as Biden- és Trump-kampányt is célba vette. Szerinte az APT42 célzott támadásai nem feltétlenül arról szólnak, hogy egyetlen jelöltet preferálnak, sokkal inkább arról, hogy mindkét jelölt, Trump és a mostani alelnök Kamala Harris is óriási jelentőséggel bír az iráni kormány számára. „Mindkét jelölt azért érdekli őket, mert ők azok a személyek, akik az amerikai politika jövőjét kijelölik a Közel-Keleten” – mondja Hultquist.
Úgy tűnik azonban, hogy az egyik kampány érzékeny fájljait nem csak sikeresen feltörték az iráni hackerek, hanem ki is szivárogtatták a sajtónak, ami nyilvánvalóan megismétli a 2016-os orosz hacker- és kiszivárogtatási műveletet, amely Hillary Clinton kampányát vette célba. A Politico, a The Washington Post és a The New York Times mind azt állította, hogy olyan dokumentumokat ajánlottak fel nekik, amelyeket állítólag a Trump-kampányból loptak el, egyes esetekben egy „Robert” néven ismert forrás útján.
Hogy ezeket a fájlokat valóban az APT42 kompromittálta-e, azt egyelőre nem erősítették meg. A Microsoft a múlt héten megjegyezte, hogy az APT42, amelyet Mint Sandstormnak nevez, júniusban egy „magas rangú tisztviselőt támadott meg egy elnökválasztási kampányban”, kihasználva egy másik „korábbi vezető tanácsadó” feltört e-mail fiókját. A Google új jelentésében úgy fogalmaz, hogy az APT42 „sikeresen szerzett hozzáférést egy magas rangú politikai tanácsadó személyes Gmail-fiókjához”.
Bár egyik vállalat sem erősítette meg, hogy melyik személyt vagy mely személyeket hackelte meg sikeresen az iráni csoport, Roger Stone, Trump tanácsadója elárulta, hogy őt a Microsoft, majd az FBI értesítette arról, hogy mind a Microsoft-, mind a Gmail-fiókját feltörték a hackerek.
A Google azt állítja, hogy „számos” folyamatban lévő kísérletet blokkolt, amelyek mindkét kampányban részt vevő illetékesek fiókjaiba való bejelentkezésre irányultak, figyelmeztetéseket küldött az érintett személyeknek, és együttműködött a betörési kísérleteket vizsgáló bűnüldöző szervekkel. Az FBI júniusban indított vizsgálatot az adathalász-támadások ügyében – írja a Washington Post.
A Manddiant szerint az APT42 régóta nagyon aktív – vagy talán a legaktívabb – iráni hackercsoport. A csoport azonban a múltban „főként a kémtevékenységre kocentrált” – jegyzi meg Hultquist. Rámutat azonban, hogy az IRGC egésze a múltban az áldozatok hálózataihoz való hozzáférését arra használta fel, hogy messze túlmutva a kémkedésen, adatromboló, zavaró kibertámadásokat indított, vagy úgynevezett „befolyásolási műveletek” keretében hackelt és szivárogtatott ki e-maileket, ahogyan az a Trump-kampány esetében is előfordulhatott. „Ez arra figyelmeztet, hogy a kémkedés céljából megszerzett hozzáférést más célokra is fel lehet használni” – mondja Hultquist.
A Google jelentésében ismerteti az APT42 tipikus adathalász műveleteit, amelyek az áldozatoknak egy hamis Google Meet oldalra való irányításától kezdve, amely megpróbálja rávenni őket a felhasználónév és jelszó megadására, egészen addig terjednek, hogy egy üzenetküldő platformon, például a Telegramon, a WhatsAppon vagy a Signalon folytatott beszélgetésbe csalogatják őket, ahol a hackerek ezután egy adathalász eszközkészletet küldenek az áldozatnak, amelyet arra terveztek, hogy megszerezzék vele a hitelesítő adatokat, valamint a kétfaktoros hitelesítési kódokat vagy a fiók-helyreállítási kódokat. A Google szerint az elnökválasztási kampányt célzó támadásokon túl az APT42 izraeli szervezeteket is aktívan célba vett olyan adathalász weboldalakkal, amelyek izraeli és Izraelhez kapcsolódó csoportoknak adják ki magukat, mint például a Washingtoni Közel-Keleti Politikai Intézet, a Brookings Institution, a Zsidó Ügynökség és a Project Aladdin.
Hultquist szerint az APT42 kétpárti politikai célpontjai – és homályos kapcsolata a hack-and-leak kampányokkal – emlékeztetőül szolgálhatnak arra, hogy az amerikai választások politikai befolyásolására irányuló hackertámadások hogyan terjedtek el Oroszország 2016-os hírhedt befolyásolási művelete óta, amelynek hatásai még mindig nem bontakoztak ki teljesen. „Ez már nem csak egy orosz probléma. Ez ennél szélesebb körű” – mondja Hultquist. „Több csapat van játékban. És mindannyiukat szemmel kell tartanunk.”
Irán céljai érthetetlenek. Az még logikus lenne, ha valamiért vagy az egyik, vagy a másik elnökjelöltet támadnák, illetve támadnák az ellenfelét. Erre sem volna különösebb oka Khameneinek, ugyanis kerüljön bár akárki a Fehér Házba, Washington és Teherán viszonya egyhamar nem lesz könnyed és baráti: ahhoz újra életbe kéne léptetni az atomalkut, amit az ajatollahok nagyon nem szeretnének, sőt, még be is kéne tartani a benne foglaltakat, amire végképp nem hajlandóak. Viszont Irán most mindkét jelöltet sakkban akarja tartani, támadni akarja és ez teljesen logikátlan – más jelölteket most már nem fognak állítani, idő sincs rá, a törvény sem engedi, talán arra számítanak, hogy ha mindkét jelöltet alaposan besározzák (Trumpot nem lesz nehéz, sáros az így is, Kamala Harris már keményebb dió), akkor úgy dönt az amerikai nép, hogy ne legyen egyáltalán elnök?
Vagy mit akarnak elérni? Nem látok bele Khamenei koronaturbános fejébe, de azt hiszem, ez nem is baj, mert még belebolondulnék abba, ami az ő koponyájában fortyog. Ezt a titkosszolgálati műveletet egyrészt elcseszték, hiszen kiderült, de ez még a kisebbik baj. A nagyobbik az, hogy eredetileg sem volt se célja, se értelme. Így nem volt nagy művészet sem megbuknia a vállalkozásnak, sem leleplezni azt.
Bár, abban az Iránban, ami kőolaj- és földgáztenger tetején kuporog és sínylődik, mert nem képes kiaknázni a nyersanyagkincseit, sok minden elképzelhető. Legalább annyi minden, mint amennyi elképzelhetetlen. Nem tudunk mi az ajatollahok fejével gondolkodni.
Szele Tamás