Orosz hackerek gyakorlatozhattak nálunk

Ugyanaz az orosz titkosszolgálati hátterű hackercsapat törhette fel Emmanuel Macron pártjának elektronikus levelezését, amely 2014-ben megkísérelte "lehalászni" a magyar Honvédelmi Minisztérium (HM) email-jelszavait is - derül ki az adatokból.

A szociálliberális, uniópárti Macron mozgalma, az En Marche! (Előre!) közölte: péntek este „jelentős és összehangolt számítógépes támadás" révén több gigabájtnyi belső levelet, képet és más belső dokumentumot tettek elérhetővé a magukat „Emleaksnek" nevező hackerek a Pastebin nevű portálon. (A háttérhatalmi összeesküvés bizonyítékait Szent Grálként kutató oroszpárti jobbosoknak valószínűleg csalódniuk kellett, hisz az anyagból mindeddig nem jelentek meg különösebben szaftos részletek. Mindazonáltal az En Marche! előre levédte magát, mondván, a levelekbe idegen bejegyzések is keveredtek, így azok hiteltelenek.) A Trend Micro nevű biztonsági cég szerint a támadást a Power Storm nevű, Oroszországhoz köthető kémcsoport hajtotta végre. A New York Times ennek kapcsán arra emlékeztet, hogy ugyanez a csapat törhette fel az amerikai elnökválasztás előtt a Demokrata Párt levelezését is.

A Trend Micro legfrissebb elemzése mindemellett a Power Storm (más néven Fancy Bear, APT28, Sofacy vagy Strontium) "áldásos" tevékenységei közé sorolja a magyar honvédelmi tárca ellen elkövetett 2014-es támadást is. A hazai eset azért kitüntetett, mert ez az orosz kormányhackerek szinte legelső észlelt kísérlete. Mondhatni rajtunk gyakorlatoztak (pedig akkor Orbán már megkötötte a hűségeskünek ható atomerőmű-megállapodást Putyinnal). Lapunk korábbi kutatásai szerint először a bolgár-francia lakcímű Nyikoláj Mladenov egy francia domaincégen keresztül távbejegyzéssel levédette a qov.hu nevű magyar címet. Majd létrehozta a HM nyilvános, mail.hm.gov.hu alatti levelezés-belépőjére kísértetiesen hasonlító mail.hm.qov.hu-t. Ezután HM-es dolgozók népszerű haditechnikai oldalakra mutató trükkös linkeket kaptak. Ezekre kattintva a háttérben felpattant a qov.hu végű ál-levelezőoldal. Egy óvatlan „belépés" után a név és a jelszó máris Moszkvába került. Az álnevet a Trend Micro még ugyanazon évben összefüggésbe hozta az orosz hackermozgalmakkal, a „qov-trükköt" azóta több más kormány ellen bevetették és "Mladenov" tavalyig utalta a qov.hu előfizetési díját is - tehát könnyen lenyomozhatták volna -, kutatásaink szerint az illetékes magyar szervek a fülük botját se mozdították az orosz kémgyanú kapcsán. Az ügyészség egy, a 444.hu ez év márciusi tudósítására hivatkozó feljelentést azzal utasított el, hogy a cikk bizonyítékok helyett csak véleményt közölt.

A franciák elleni támadást részletező motherboard.vice.com a nálunk kikísérletezett módszerre megtévesztésig hasonlító eljárásról számol be: egy bizonyos Johny Pinch négy, az En Marche! mail-belépőjére emlékeztető weboldalt jegyezett be. A botrány kitörése óta ezeket lekapcsolták, de az újabb álnév felkerült a gyaníthatóan Putyinék által „harcba küldött" online bűnözők tevékenységét követő listákra.

Mivel a módszer – amolyan orosz-módra – egyszerű, de működik, hasonló támadásokkal bizonyára a jövőben is számolhatunk.