Így működik az FBI kibervédelmi akciócsoportja, a CAT

2024. július 26.

FBI - Cyber Action Team (CAT)

A kibertámadások és behatolások kivizsgálásában vezető szövetségi ügynökségként az FBI létrehozott egy speciális csoportot – a Cyber Action Team-et (CAT).

A rosszindulatú kibertevékenység világszerte veszélyezteti a közbiztonságot, valamint a nemzeti és gazdasági biztonságot. A bűnözők olyan szervezeteket vesznek célba, mint az iskolák, kórházak, áram- és közműszolgáltatók, valamint más, a közösségeket kiszolgáló kritikus infrastruktúrával rendelkező szervezetek.

A kibertámadások és behatolások kivizsgálásában vezető szövetségi ügynökségként az FBI létrehozta a CAT-ot, amelyet órákon belül képes a világban bárhol bevetni, hogy reagáljon az e kritikus szolgáltatások elleni nagyobb kiberfenyegetésekre és támadásokra. A 65 tagból álló CAT egy olyan gyorsreagálású nyomozócsoport, amely az FBI területi irodáinak és központjainak különleges ügynökeiből, informatikusaiból, hírszerzési elemzőiből és informatikai szakembereiből áll.

„A helyszínen segítünk a megtámadottaknak, amelyek között lehetnek nemzeti kormányzati szervezetek, magánvállalatok, vagy akár külföldi partnerhálózatok is, amelyeket az ellenség veszélyeztetett” — mondta Scott Ledford, a CAT és a Advanced Digital Forensics Team (ADF) vezetője. „A mi feladatunk az, hogy segítsünk a nyomozás lefolytatásában – digitális bizonyítékokat gyűjtünk, és rosszindulatú szoftvereket keresünk, azonosítunk és visszafejtünk. Segítünk az áldozatnak abban is, hogy megértse, mikor és hogyan kerültek veszélybe, feltárjuk a behatolás minden aspektusát, azzal a végső céllal, hogy azonosítsuk a felelősöket.”

2016-ban írták alá a 41. számú elnöki irányelvet

A CAT-ot 2005-ben hozták létre az FBI területi irodáiban a számítógépes behatolásokkal kapcsolatos nyomozások számának és összetettségének növekedésére válaszul. Abban az időben nem minden területi iroda rendelkezett a kifinomult számítógépes behatolások megfelelő kivizsgálásához és kivizsgálásához szükséges kiberszakértelemmel rendelkező személyzettel.

„Nem mindig volt átfedés aközött, hogy milyen nyomozásokért volt felelős az FBI, és milyen típusú bűncselekmények történtek” – magyarázta Ledford. „A kiberbűnözés abban az időben egyre nagyobb fenyegetést jelentett, ezért szükségessé vált, hogy egyes területi irodák megkerestek minket, és egyre gyakrabban kérdeztek, hogy ismerünk-e olyan kiberszakértőt, aki tudna segíteni nekünk egy nyomozásban?”

Ahogy a csapat formalizálta folyamatait és bővült, 2016-ban aláírták a 41. számú, „Az Egyesült Államok kiberincidensek koordinálása” című elnöki irányelvet, amely meghatározza a szövetségi kormányzatnak a kormányzati vagy magánszektorbeli szervezeteket érintő kiberincidensekre adott válaszának elveit. Az FBI-t nevezték ki a kiberfenyegetésekre való reagálási tevékenységek vezető szövetségi ügynökségévé.

Scott Ledford, az FBI CAT és ADF csoportok vezetőjeFejlett digitális törvényszéki szakértői csoport

Az ADF csapat egy speciális, rosszindulatú szoftverek visszafejtésével foglalkozó mérnökökből és behatoláselemzőkből álló csapat a CAT-nál. Az ADF-csapat akkor nyújt segítséget a helyszíni irodáknak, ha a nyomozás során szükséges rosszindulatú szoftverek vagy behatolások elemzése meghaladja a helyszíni iroda meglévő képességeit. „Amikor a CAT a helyszínen települ, nem akarjuk túlterhelni az áldozatokat az FBI munkatársaival” — mondta Ledford. „De a nyomozás során sokkal több ember vesz részt a válaszadásban, mint a helyszínen lévő embereink. ADF-csapatunk gyakran távolról, valós időben dolgozik az ügyön. Valós időben látják az általunk gyűjtött adatokat.” Az ADF-csapat a folyamatban lévő ügyek adatainak elemzésében is segítséget nyújt. Bár ezek a helyzetek nem mindig járnak együtt a CAT bevetésével, a helyszíni irodák és mások is támaszkodnak az ADF-csapat szakértelmére az adatok alapos elemzésében vagy a rosszindulatú szoftverek eltávolításában, hogy segítsenek a helyszíni irodának megérteni, miből állnak az adatok, mit jelentenek, és hogyan tudják azokat potenciálisan nyomozati nyomravezetővé alakítani.

„Nyomozati szempontból az FBI egyedülálló. Mi vagyunk azon kevés ügynökségek egyike az amerikai kormányzatban, amely egyszerre rendelkezik bűnüldözési és kémelhárítási hatáskörrel” — mondta Ledford. „És ezek a hatáskörök, valamint az amerikai nép belénk vetett bizalma segít bennünket abban, hogy a nemzetbiztonsági és bűnügyi nyomozói készségek, szakértelem és erőforrások egyedülálló keverékét nyújtsuk a vegyes válaszlépések végrehajtásához és a nyomozás elősegítéséhez, függetlenül attól, hogy az a tengerentúlra vagy az Egyesült Államokban egy tárgyalóterembe vezet-e minket.””

A CAT ügyeinek nagy része általában abból áll, hogy az FBI azonosít egy olyan szervezetet, amelynél a behatolás olyan összetett vagy nagyszabású, hogy a helyi területi iroda további segítséget kér. Egyszer például a CAT egy olyan egészségügyi vállalatot vizsgált, amelyet egy külön behatolásvizsgálat során veszélyeztetettként azonosítottak. A CAT válasza segített azonosítani a hálózatukban lévő számos veszélyeztetett rendszert és fiókot. A vállalatnál a CAT megszüntette a fenyegetést – és megakadályozta, hogy a kihasználják a rosszfiúk a hálózatuk gyengeségeit. A CAT  a Külügyminisztériumtól, a Nemzetbiztonsági Tanácstól és a Fehér Háztól is kap felkéréseket, hogy segítsen más országoknak, ha kibertámadás éri azokat.

„Lehet, hogy egy olyan országról van szó, amely nem rendelkezik olyan erőforrásokkal vagy szakértelemmel, mint az Egyesült Államok kormánya, és ezért segítséget kérnek” — mondta Ledford. „Segítséget kérhet egy NATO– vagy nem NATO-szövetséges ország is: Nagy pofont kaptunk, és nincs megfelelő személyzetünk, erőforrásunk, szakértelmünk, hogy reagáljunk erre a helyzetre. Tudnának segíteni nekünk ebben?”

Egy másik esetben a CAT a tengerentúlra települt, hogy incidensreagálási támogatást nyújtson egy NATO-szövetségesnek, amely egy pusztító kibertámadás célpontja volt. A CAT reagált, és az amerikai partnerekkel együttműködve meghatározta a kezdeti behatolás módját, azonosította az érintett hálózatokat, összegyűjtötte és elemezte a digitális bizonyítékokat, és végül egy külföldi kormánynak tulajdonította a behatolást. A NATO-szövetséges megszakította a diplomáciai kapcsolatokat a külföldi kormánnyal, bezárta a külföldi kormány országon belüli nagykövetségét, és kiutasította őket az országból.„Van néhány tehetséges emberünk, akik minden egyes nap keményen dolgoznak… Megtiszteltetés velük dolgozni” – mondta Ledford.

Kulcsfontosságú taktika: erős kommunikációs készségek

A kiváló technikai készségek mellett a CAT-tagokat az erős kommunikációs készségek szempontjából is szigorúan ellenőrzik. Ledford elmondta, hogy a CAT jelentkezők kiválasztási folyamatának része egy többnapos élő technikai gyakorlat, amelyet a CAT tervez és hajt végre. „Hálózati környezetet tervezünk. Utánozhatunk egy iparágat, például egy áramszolgáltatót. Aztán kompromittáljuk ezt a környezetet, és megtöltjük tárgyakkal, digitális bizonyítékokkal és rosszindulatú szoftverekkel. Ezután megbízzuk a jelentkezőket, hogy vizsgálják ki ezt a kiberincidenst, és mutassák be eredményeiket. Az ötnapos teszt végén a pályázók bemutatják eredményeiket, és megállapítjuk, hogy ki rendelkezik a technikai képességekkel és szakértelemmel ahhoz, hogy megtalálja a bűncselekményre utaló digitális bizonyítékokat, amelyek a rájuk zúdított adathalmazban rejtőznek. Ha a pályázó átmegy a kiválasztási folyamat ezen szakaszán, akkor meghívjuk őt egy panelbemutatóra. A CAT tagjai az áldozatok szerepét játsszák: a saját erőforrás-csapataikat, például egy vállalat vezérigazgatóját, egy amerikai ügyvédet, egy harmadik fél jogtanácsosát vagy egy informatikai vezetőt.

Lényegében a kibernetikai behatolás elbeszélését adják át nekünk. Elmondja nekünk a történetet arról, hogy mi történt.Míg a panel néhány kérdése nagyon technikai jellegű lesz, addig néhány egyszerűbb kérdés — a pályázónak el kell tudnia magyarázni például egy vezérigazgatónak, aki esetleg nem rendelkezik technikai szakértelemmel, hogy mi volt a probléma, és hogyan lehet azt orvosolni. Azt vizsgáljuk, hogy a pályázó képes-e valami rendkívül bonyolult technikai problémát úgy elmagyarázni, hogy azt a teremben mindenki megértse. Az interperszonális képességeket is keressük. Például egy vállalat vezérigazgatója a kibertámadás pillanatában a vállalat létezésének egyik legstresszesebb időszakát éli át — olyan adatok szivároghatnak ki, amelyek meghatározhatják a vállalat jövőjét, vagy azt, hogy képes-e szolgáltatásokat nyújtani az ügyfeleinek. Kommunikációs készségekre van szükséged ahhoz, hogy egy nehéz időszakban kapcsolatba lépj velük, és elnyerd a bizalmat.

Kapcsolódó történetek

Stargate EAE, Trump

Arab AI kampusz: biztonsági aggályok késleltetik az üzletet

2025. június 9.
Észak-Korea - 404

Észak-Koreát nagy internetkimaradás sújtotta

2025. június 8.
Kigyulladt a szegedi kukásautó

Telefon akkuk gyújthattak fel egy kukásautót

2025. június 8.
Microsoft Office licenc kulcs

Feketén árulta a Windows és Office kulcsokat – lebukott

2025. június 7.
Paprika Csapat

Hackertámadás érte az érettségi rendszer adatbázisát

2025. június 7.
forint

Megtörtént rémtörténetek

2025. június 6.

Vélemény, hozzászólás?

Az e-mail címet nem tesszük közzé. A kötelező mezőket * karakterrel jelöltük