Nemrég rendkívül ellentmondásos feltételezéseket hozott nyilvánosságra a Reuters hírügynökség az utóbbi évek egyetlen igazán széleskörűen elterjedt számítógépes féreg-járványa kapcsán. Egy volt amerikai hírszerző és különleges műveleti tiszt ugyanis azt állítja, hogy a most három éves Conficker kártevőt nem haszonleső kiberbűnözők, hanem titkosszolgálatok készítették. A Downadup, avagy Kido néven is ismert fertőzésről a kutatók úgy tartják, hogy egy webbanki támadásokkal foglalkozó, de eddig nem azonosított kelet-európai, talán ukrán székhelyű online maffia műve lehet. John Bumgarner, a US Cyber Consequences Unit nevű non-profit szervezet elnöke most kétségbe vonja ezt közkeletű vélekedést, bár állítása szerint neki is hónapokba tellett, hogy rájöjjön, a világszerte 9-11 millió gépet sújtó nagy járvány valójában csak álca volt.
Az amerikai IT-biztonsági szakma egyes képviselői szerint Bumgarnert érdemes komolyan venni. Tom Kellermann, az AirPatrol cég műszaki igazgatója, az Obama-kormány e-biztonsági tanácsadója azt mondja, a volt ügynök kifejezetten intelligens ember - aki korábban kiváló elemzést készített az oroszok 2008-ban Grúzia ellen folytatott kiber-háborújáról.Közvetett bizonyítékok alapján nyomozott
Bumgarner közel egy évig a Conficker-ügy felderítésén dolgozott és eközben, saját állítása szerint, több száz kártevőminta visszafejtését végezte el. A kutatás megkezdéséhez néhány gyanús körülmény és egyezés adott számára indíttatást: a Conficker az iráni ipart sújtó Stuxnet-hez hasonlóan szokatlanul fejlett, kifinomult és a támadáshoz ugyanazt a biztonsági rést használta fel - ráadásul a féreg fertőzési statisztikái Iránban jóval súlyosabbak voltak, mint az USA-ban vagy máshol.
Ehhez képest feltűnő, hogy a Confickert a gazdái végül nem vetették be, amit a víruskutatók többsége a kártevő félé irányuló jelentős média-érdeklődéssel indokolt: a feltételezett profit-érdekelt bűnöző hackerek a lebukás túlzott kockázata miatt nem merték vállalni az állandó megfigyelés alatt álló féreg tevékeny botnetként történő aktivizálását, és inkább veszni hagyták a befektetést.
Milliókat veszélyeztettek a támadók?
Bumgarner szerint a Conficker valójában feleslegessé vált, miután a tömeges fertőzések keltette médiazaj álcája alatt sikerült vele bejuttatni a Stuxnet hadiféreg első változatait az iráni hálózatokba. A kutató úgy véli, hogy a perzsa atomprogram elleni amerikai-izraeli kibertámadás - amelynek forrásáról ő maga a téma érzékenysége miatt nem kívánt nyilatkozni - jóval korábban kezdődött, mint azt korábban sejtették.
Az akár már 2004. év közepe óta tervezett akcióban az első tevékeny lépés a csak nemrég felfedezett Duqu (avagy Stars) adattolvaj program legkorábbi változatának 2007-ben történt bevetése lehetett. A nyugati titkosszolgálatok ennek segítségével állapították meg, hogy lehetséges informatikai úton bejutni az iráni atomipari létesítményekbe.
A volt ügynök szerint a Conficker első, 2008 novemberében kibocsátott változata egy nem célzottan terjesztett "hazatelefonáló" kliens volt, amelynek a fontos iráni létesítményekbe eljutó példányait a féreg gazdái digitális üzenettel megjelölték, célpont-azonosítás céljából. A világon máshol található rengeteg fertőzött gépet pedig sorsára hagyták. Ez kockázatos lépés volt, mert bár az aktivizálatlan féreg nem tett kárt a rendszerben, a más kiberbűnözők általi "gépeltérítés" veszélye mindig fennáll egy elhanyagolt fertőzés esetén.
Bumgarner megfigyelései alapján a Conficker kártevők második, 2009 márciusában kibocsátott hulláma már a megjelölt gépeket célozta és azokra töltötte le a Stuxnet féreg kódját. Április 1-én, amely világszerte a bolondok napja, Iránban azonban ekkor ünnepelték az Iszlám Köztársaságot kikiáltó népszavazás 30. évfordulóját (a Conficker kód futtatható fordításában ráadásul két másik, Ahmadinejad iráni elnök közszerepléseivel kapcsolatos időbélyegző is megtalálható).
A Stuxnet kézbesítésével a Conficker féregre bízott küldetés befejeződött, és elkezdődött a hetekig, talán hónapokig tartó várakozás időszaka. Ekkor a katonai hackerek abban reménykedtek, hogy egy iráni professzor vagy mérnök a gépe fertőzöttségéről mit sem tudva, előbb-utóbb USB-kulcsra másolt adatokat visz magával a titkos, elszigetelt Natanz létesítménybe, és ott a rejtőzködő, szabotázs végrehajtására felkészített Stuxnet féreggel együtt betölti azokat.
Bumgarner tanulmánya tehát annyiban is eltér a korábbi feltevésektől, hogy a Stuxnet féreg tényleges bejuttatása az iráni urándúsító vezérlésébe szerinte nem egy áruló vagy kém szándékos tevékenységének, hanem egyszerűen az irániak elővigyázatlanságának köszönhető. Mindazonáltal a kutató arra is rámutat, hogy a másik fél, a támadók sem mentesek az emberi gyengeségektől - sőt, precízen kidolgozott terveik ellenére részben ennek köszönhették a lebukásukat.
A világ legnagyobb kiber-hadserege
A Stuxnet első generációja, bár sikeresen rejtőzködött, nem okozott elég gyorsan elég jelentős kárt az iráni urán-centrifugákban, ezért a türelmetlen nyugati hackerek "felturbózták" a 2010 januárjában bevetett újabb változatot, majd két hónap múlva egy még erősebb terjedési és szabotázs-képességekkel felruházott verziót is útjára indítottak. Ezek a kódok a kiszivárgott hírek szerint már hozták az elvárt rongáló hatást, az 1100 centrifuga tönkretételének azonban komoly ára volt.
A túl nagyra nőtt és túl agresszíven futó, újabb generációs Stuxnet kód néha mellékhatásokat, például gépindításkori lefagyást (BSOD) produkált a kereskedelmi embargó alatt álló Iránban még mindig jelentős számban üzemelő régebbi, lassú PC-ken. Ezek a rejtélyes géphibák az üzemi balesetekkel együtt felkeltették az irániak gyanúját, akik a kevéssé ismert belorusz VirusBlokAda céget bízták meg a felderítéssel, ők pedig megtalálták a rejtőzködő Stuxnet kódot, és ezzel beírták magukat a vírus-történelem könyveibe.
Bumgarner szerint azonban az iráni mérkőzés még nincs lejátszva, és perzsa állam ellenségei a Duqu trójain kívül más vasat is tartanak a tűzben. Az eddig nem aktivált Conficker féreg alvó állapotában még ma is jelen van mintegy 3,2 millió számítógépen - olyan, a közép-keleti helyzetre befolyással rendelkező államokban, mint India, Kína, Oroszország vagy Pakisztán. A volt ügynök szerint ez a botnet a világ legnagyobb kiber-hadseregét képviseli, és csak arra vár, hogy erejéhez méltó feladatot kapjon.
Akik másképpen gondolják...
Az U.S. Cyber Consequences Unit elnökének radikális következtetéseit nem mindenki fogadja el, sőt, néhány kutató máris hevesen cáfolja. Jeffrey Carr kiber-biztonsági szakíró például ragaszkodik a Stuxnet féreg fura kínai eredet-elméletéhez. A Trend Micro antivírus cég közölte, hogy a Conficker nem tekinthető teljesen inaktívnak, mivel hamis biztonsági szoftvereket is terjesztett, továbbá funkcionális kapcsolatban áll az ismert kiberbűnözési célú Waledac botnettel, ami valószínűtlenné teszi, hogy a Conficker állami forrásból származna.
Paul Ferguson, a Trend Labs rangidős kutatója - aki részt vett a Conficker-t megállító iparági akciócsoport (CWG) munkájában - kijelentette, hogy alaptalanok Bumgarner feltevései a féreg Stuxnet-tel való kapcsolatról, mivel a konspiráció-elméletet semmilyen tapasztalati bizonyíték sem támasztja alá. A Conficker készítőit szerinte sem sikerült azonosítani, de az eredeti feltevéseknek megfelelően minden bizonnyal közönséges kelet-európai kiberbűnözők állnak az utóbbi évek legelterjedtebb féregjárványa mögött.
