titkosszolgálat;Nyikolaj Mladenov;domain;Orosz titkosszolgálatok;szájbertámadás;

2017-04-19 20:50:00

Orosz szájbertámadás magyar szállal

Különösebben se a hazai domain-bejegyző cégeket, se a kémelhárító-nyomozó szerveket nem hozta lázba, hogy 2014-ben vélhetőleg orosz titkosszolgálatok egy magyar webcímről is adatkicsaló támadást indítottak a honvédelmi tárca ellen. Az oldal akkori tulajdonosaként egy olyan bolgár névre bukkantunk, amely más, orosz titkosszolgálati szájbertámadásokkal foglalkozó kutatásokban is feltűnt.

A bolgár Nyikoláj Mladenov neve alatt jegyezték 2014-ben azt a qov.hu domaint, amelyről szakértők szerint ugyanazon évben orosz titkosszolgálatok adathalász-támadást indítottak a Honvédelmi Minisztérium (HM) ellen – tudta meg lapunk több független forrásból. Annak ellenére, hogy a domainbejegyzés során kötelező valós adatokat megadni – az illető ismereteink szerint ezt aláírásával igazolta -, a bejegyzés eleve gyanús. És nem azért, mert eme név alatt csak egy volt bolgár külügyminiszter ismert. Hanem mert a címként megadott bolgár Sevlievo városában nincs „Boulevard de Sebastopol”, csak történetesen Párizsban: a cím ott egy lakóház. A megadott telefonszám egy másik bolgár körzetben csöngene ki – ha létezne, de a foglalt-jelzés alapján valószínűleg ez is kamu.

Az ál-Mladenov 2016 áprilisában felmondta előfizetését. Szakértők – például az internetes biztonsággal foglalkozó, amerikai Trend Micro – már 2014 októberében nyilvánosságra hozták a vélt orosz titkosszolgálati támadás részleteit, amit nemrég a 444.hu elevenített fel. Eszerint az általuk nem közölt bejegyző a magyar domain megvásárlását követően "alatta" létrehozta a mail.hm.qov.hu címet, és ezen - az amúgy ma is - a mail.hm.gov.hu oldalról elérhető minisztériumi levelezőrendszer belépőjére megtévesztésig hasonló oldalt hozott létre. Ezek után népszerű honvédelmi témájú weboldalak elérhetőségét teljes mértékben leutánzó címeket is bejegyeztek az Egyesült Államokban, amelyeket pedig linkként elküldték a HM-dolgozók e-mailjeire. A kamucímre kattintva aztán részint megnyílt a valódi weblap, másrészt a háttérben felpattant az ál mail-belépőoldal. Kedvenc honvédelmi honlapja hosszas vizsgálgatása után a tárca dolgozója hihette azt, hogy levelezőrendszere időközben automatikusan megszüntette hozzáférését, így vissza kell lépnie. Az így újra betáplált név és jelszó viszont már az adathalászok hálójában kötött ki.

Mossák kezeiket

A domainek bejegyzése és nyilvántartása Magyarországon a Internetszolgáltatók Tanácsánál (ISZT) összpontosul, ami – a nemzetközi példákhoz hasonlóan - önszabályozó: törvények csak érintőlegesen foglalkoznak e rendszerrel. A webcímek konkrét bejegyeztetését erre feljogosított, az ISZT-vel együttműködő szakcégek végzik. Első körben az ő dolguk lenne a megadott elérhetőségek valódiságának ellenőrzése, de az esetlegesen felmerülő felelősség alól könnyen kibújhatnak. A látszólagos formai megfelelés és az adatok valódiságára vonatkozó aláírás, illetve a két tanú számukra elegendő. Az ISZT is „ránéz”, de alapvetően szintén nem a személyes adatok helytállóságát vizsgálják. Inkább azt ellenőrzik, hogy a bejegyezni kívánt betűsor nem áll-e védelem alatt, nem irányulhat-e lejáratásra, megtévesztésre vagy épp nem trágár-e. Korábban Magyarországon a bejegyzéshez szükséges volt a személyi igazolvány másolata is. A bejegyezni kívánt domaineket egy rövid ideig közszemlére teszik, illetve – a nemzetközi szokás szerint – a jelenlegi használó magáról megadott adatai nyilvánosak. A tulajdonosi adatokról szóló archívum viszont már zárt. (Néhány amerikai cég pénzért kiad általa korábban eltárolt regisztrációs adatokat.) Az ISZT-től – hivatkozva arra, hogy a magyar nemzetbiztonságot alapvetően fenyegető gyanú kapcsán kutakodunk - kértük a qov.hu korábbi tulajdonosainak adatait. Ám ezt megtagadták: válaszuk szerint erre csak hatósági megkeresésre hajlandóak. (Ettől függetlenül nem okozott különösebb nehézségeket az adat többszörösen megerősített beszerzése.)

A qov.hu-t szakértőnk a megtévesztés szempontjából határesetnek nevezte. Hisz nem kizárt, hogy egy szervezetnek pont ez a rövidítése, avagy valakinek épp ez a három betű fontos valami okból. Első látásra egyik megkérdezettnek se ugrott be, hogy a magyar kormányzati szerverek gov.hu végződésére megtévesztésig hasonlító qov.hu alkalmas a magyar állam elleni internetes támadásra. Ez azért probléma, mert a biztonsági szakértők nem csak nálunk, hanem például Szaúd-Arábiában vagy Afganisztánban is találkoztak hasonló módszerrel. Vagyis ez egy bevett szájbertámadási mód a helyi kormányok ellen.

Minden út Moszkvába vezet

Az általunk megismert 2014-2016-os tulajdonosi lapon bejegyzést végző cégként az Euromarknet Kft. szerepel. Megkeresésünkre Petényi Márk ügyvezető titoktartási kötelezettségére hivatkozva csak részleges tájékoztatást adott, de több általános információval is segített. Azt elismerte, hogy korábban náluk regisztrálták a címet. Ugyanakkor – tette hozzá – semminemű további technikai kiszolgálást nem nyújtottak hozzá. Az adatlap „technikai személyként” feltünteti a francia Netim Sarl nevű céget is. Petényi Márk szerint ez valóban a viszonteladójuk. Partnerük ügyfeleivel nem állnak közvetlen kapcsolatban. De saját ügyfeleikkel se találkoznak feltétlenül fizikailag, hisz a megrendelések interneten érkeznek. A .hu domainek esetén annak igénylője felel a cím használatáért és az adatok helyességéért, de az ISZT munkatársának jóváhagyása szükséges minden .hu-domain sikeres bejegyzéséhez – tette hozzá. Cégüknél többször járt már a domainek kapcsán a rendőrség vagy az adóhatóság, de nemzetbiztonságot érintő vizsgálatról „nincs tudomása” - zárta nyilatkozatát.

Más szakértők szerint a Netim is hasonló cipőben járhatott: valaki online megrendelte a szolgáltatást egy formailag megfelelő nyomtatvánnyal, amit aztán továbbított az Euromarknetnek. Kétségtelen: a Google a „.hu domain registration” keresőkifejezésre a tizedik helyen a Netimet ajánlja. A két tanú szintén egyértelmű kamu: az egyik vezetékneve "Sanchez", címe viszont magyar. Meglehet tehát, valaki csak a gyanút kívánja bolgárokra és franciákra terelni. A francia kapcsolat kérdéseinkre lapzártánkig nem válaszolt.

Mindazonáltal egy informatikai szakértőnk az ügy érdemi ismerete nélkül, a domain hátterében lévő kódokat átfésülve szintén arra jutott: a qov.hu „mögötti” szervert, vagyis ahonnan a kamu email-belépő is letöltődött, egy angol menüvel nem rendelkező, ukrán-orosz nyelvű, ingyenes szolgáltató, a Freehost üzemeltette. Ezen jóval bonyolultabb lett volna más anyanyelvűeknek eljárni, mint ukránoknak vagy oroszoknak.

Azt, hogy a támadás mögött az orosz titkosszolgálatok állhatnak, továbbra is a nemzetközi biztonsági intézetek kutatásai erősítik. Ezek számos más példa alapos vizsgálatával jutottak eme végkövetkeztetésre. Az általuk közölt adatok azonban több más kapcsolódási pontot is mutatnak ügyünkhöz. Az ál-Mladenov ugyanis cseppet se ismeretlen az orosz titkosszolgálati támadásokat taglaló tanulmányokban. Olyan megtévesztő honlapok „fémjelzik munkásságát”, mint a boogle.us vagy standartnevvs.com. Eme írásokban email-cím is található hozzá, amin megkerestük, de választ nem kaptunk. Ugyanitt feltűnik egy, szintén magyar vonatkozású, megtévesztő cím, a qov.hu.com is. Ennek bejegyzéséhez az amerikai hu.com domaint kell lefoglalni. Az, hogy ezt ott engedélyezték, szintén határeset. A „hu” ugyanis megegyezik a magyar címvégződéssel, így legalábbis alkalmas az egyszeri internetező megtévesztésére. Az ennek kapcsán említett [email protected] – amely mögött egy másik, orosz titkosszolgálati támadásokkal foglalkozó tanulmány szerint egy bizonyos Nyikoláj Dmitrov állhat – szintén elküldtük kérdéseinket, ám az elmúlt hetekben innen se kaptunk választ. (Igaz, azóta megszaporodtak kéretlen reklámleveleink.)

Ha nincs bizonyíték, nincs nyomozás

Felmerül a kérdés, hogy a magyar bűnüldöző szervek vagy akár a kémelhárítás foglalkozott-e a támadással, annak felderítésével, elhárításával, a feltárt biztonsági rések betömködésével. Az ügyben a „sok bába” esetével kerültünk szembe, hisz – lévén éppenséggel a Honvédelmi Minisztériumot érte támadás – a katonai elhárítás is érintett lehet. Így kérdéseinket elküldtük a Katonai Nemzetbiztonsági Szolgálatnak, a polgári kémelhárítással foglalkozó Alkotmányvédelmi Hivatalnak, a polgári hírszerzést végző Információs Hivatalnak, a polgári titkosszolgálatokat felügyelő Miniszterelnökségnek, a rendőrségnek és az ügyészségnek is. Az Országos Rendőr-főkapitányságról azt a gyors választ kaptuk, hogy ők nem nyomoztak ez ügyben. Bagoly Bettina, a Fővárosi Főügyészség sajtószóvivője tájékoztatása szerint egy magánszemély az „egyik online hírportálon 2017. március 16-án megjelent cikkre hivatkozással” feljelentést tett náluk információs rendszer vagy adat megsértése bűntettének alapos gyanúja miatt. (Ez nyilvánvalóan a 444.hu vonatkozó anyaga.) Az illetékes IX. kerületi ügyészség viszont kevesellte a cikk megállapításait. Hivatkozásuk szerint még maga az írás szerzője is úgy fogalmazott, nem tudja, a cselekmény ténylegesen megtörtént-e. Ezt viszont „konkrét tényekkel alátámasztott adatok hiányában” pusztán egy újságírói vélemény, ami szemükben nem alkalmas bűncselekmény gyanújának megállapítására. Így nem rendelhettek el nyomozást, a feljelentést elutasították. (Vagyis ha a biztonsági cégek szakemberei vagy a média a szükséges erőforrások és nyomozati jogkör híján nem tálalnak fel konkrét bizonyítékokat egy titkosszolgálati eseménysorról – ellenben számos ráutaló jelre felhívják a figyelmet -, akkor az ügyészég nem mozdul.)

A hazai titkosszolgálati szervek megkeresésünkre nem reagáltak. Az érintetteket körbekérdezve az volt a határozott benyomásunk, hogy sem 2014-ben, se azóta nem történt érdemi kutatás az ügyben. Legalábbis minden megkérdezett őszintén csodálkozott. Az egyik olyan szereplő, akit érintett volna egy vizsgálat, úgy fogalmazott: „ha megtörtént volna is, azt mondanám, nem, de amúgy tényleg nem”. Igaz, egy másik szakértő szerint valamennyi internetszolgáltató biztosít olyan „zárt szobát”, ahová csak a hazai hatóságoknak van bejárásuk. Elméletileg ezen keresztül is vizsgálódhattak.

Értelemszerűen megkerestük a honvédelmi tárcát is azzal, hogy valóban megtörtént-e a támadás, és ha igen, az milyen károkat okozott, milyen nyomozás indult, mire jutottak és miként intézkedtek a biztonsági rések megszüntetéséről – a látszat szerint sehogy -, ám onnan se érkezett válasz.

Az orosz titkosszolgálat amúgy is igen aktív: nemrég szintén a 444.hu fedezte fel, hogy a "nemzeti konzultáció" internetes oldaláról a Kreml-közeli, Yandex nevű tech-cégnek továbbítják a kitöltők mailcímét. A hazai hatóságok érdemben erre se reagáltak.

Most is foglalt
A qov.hu jelenlegi tulajdonosa a győri Ponácz Zoltán. Ő valós adatokat adott meg magáról, így könnyedén elértük. Ám – mondván, ehhez és a hasonló ügyekhez semmit köze - a hivatalos válaszadást elhárította. Az oldalon különösebb tartalom nem fedezhető fel. Vizsgálódásunk kezdetén egy hasonló rövidítésű külföldi szervezetre utaló néhány sort láttunk. Nemrég pedig egy Edgar Allen Poe idézet került fel. Ismereteink szerint Ponácz Zoltán informatikai szakember, néhány más weblapot is jegyez, de megtévesztési szándékra ezek se utalnak. A bejegyzést végző DotRoll Kft. a regisztráció során nem vizsgálta, hogy a qov.hu betűsor alkalmas lehet az internetezők megtévesztésére – szögezte le lapunknak Komáromi Zsolt ügyvezető. Ezért ugyanis a domain igénylője felel – szögezte le. Egyszersmind nem tapasztalták, hogy az oldalon ilyen tevékenység zajlana. Arról, hogy bárki nyomozott-e náluk, nem adtak tájékoztatást. Több forrásunk szerint nemrég hackertámadás is érhette az oldalt. Ennek kapcsán a szervert üzemeltető Hostitet kérdeztük, de nem kaptunk választ. Mások szerint azonban az ilyen támadások mindennaposak, azok nem feltétlenül utalnak titkosszolgálati akciókra. A hu.com név jelenleg is foglalt: azt a tényleges használó elrejtését végző legnagyobb cég, a Godaddy jegyzi.