Az utóbbi években kisebb-nagyobb szünetekkel ugyan de rendszeressé váltak a kormánytól független hírportálokat érő hekkertámadások, amelyek során túlterheléssel tettek elérhetetlenné oldalakat. Érte ilyen támadás korábban a Telexet, a 444-et, a HVG-t, a Média1-et, a Népszavát is, ráadásul – jelezve, hogy a hekkerek számára lényegében bármi célpont lehet – korábban az ellenzék előválasztási portálját is le tudták bénítani. Bár kisebb-nagyobb szervertámadások már 2020 óta rendszeresek a médiában, idén tavasztól mindez szervezett, kampányszerű formát öltött. Április közepétől kezdve több hullámban érte a médiumokat a túlterheléses attak, végül a júniusi támadási hullámmal együtt összesen mintegy negyven, javarészt kormánykritikus, ellenzéki, önkormányzati portál lehetetlenült el egy időre. Az ügyben több feljelentést is tettek.
Mindezek miatt megkerestük a rendőrséget, s többek között azt kérdeztük, vezetett-e bármilyen eredményre a tavaszi esetek vizsgálata, ám több hét után sem kaptunk választ. Mivel a támadások akár nemzetbiztonsági kockázatot is jelenthetnek, megkerestük a Nemzetbiztonsági Szakszolgálat (NSZ) alá tartozó Kibervédelmi Intézetet is (NKI). Válaszukból azonban az derült ki, hogy álláspontjuk szerint nekik nincs dolguk a sajtóportálokat támadó hekkerekkel. Mint írták, az NKI „nyomozati jogkörrel nem rendelkezik”, tevékenységük pedig „elsősorban az állami szervek, valamint a kritikus infrastruktúra védelmére korlátozódik.” (Itt érdemes megemlíteni, hogy a jelek szerint ez utóbbi feladatukat sem látják el túl jól: a Telex csütörtökön írt arról, hogy egy hét alatt két állami oldalt is feltörtek hekkerek, az Energiaügyi Minisztérium és az Igazságügyi Minisztérium alá tartozó adatbázisokhoz fértek hozzá.)
Szalay Dániel, a Média1 főszerkesztője így elevenítette fel a tavaszi hekkeroffenzívát: – A támadások több hullámban érkeztek hozzánk idén áprilistól kezdve, de ezek eleinte még csak kisebb, legfeljebb pár perces kieséseket okoztak, nem voltak annyira aggasztóak. Azután nyár elejére, június tájékán durvultak be jobban a támadók. A legsúlyosabb helyzet július első heteiben alakult ki, amikor előfordult, hogy hosszú időn át nem tudtunk rendesen frissíteni sem, a szolgáltatónk pedig arra kért bennünket, menekítsük ki adatainkat a szerverről, mert le fogják azt kapcsolni, miután kezd eldugulni az egész hálózatuk.
A tavaszi támadáshullám jellegzetessége volt azt is, hogy a korábbiaktól eltérően ezúttal nem egy-egy szolgáltató teljes hálózatát „kapcsolták ki”, hanem a kipécézett médiumokra céloztak, sőt még üzeneteket is küldtek a médiumoknak.
– A támadások túlnyomó részében a Hano nevet találtuk meg az úgynevezett szerverlogokban – mondta Szalay Dániel. – Hano többször üzent is, dicsekedett, hogy milyen más bűncselekményekre készül vagy kiket támadott már meg. Például megüzente, hogy az ellenzéki előválasztás rendszerét is blokkolta 2021-ben, idén a BKK hírszolgáltatását állította le, s előre jelezte a Budapest Pride vagy a HVG elleni támadást.
Szalay Dániel szerint nem kétséges, hogy a netes bűnöző kimondottan politikai indíttatásból tette, amit tett: „Nálunk mindig pont akkor indultak a támadások, amikor az Orbán-kormány szempontjából kritikus tartalmat publikáltunk. Például pár perccel azután érkeztek a támadások, hogy élesítettük a Rákay Philip gazdagodásáról szóló cikket, vagy azt, amiben arról írtunk, hogy nem engedtek be újságírókat a kormányinfóra.”
A Hano „művésznév” a hacker tevékenységére is utal: korábban így nevezték azt a betegséget, amelynek során ödémák jönnek létre, amelyek gyors beavatkozás híján túlterhelik az áldozat vérkeringését, elzárhatják a beteg légútjait. Voltaképpen hasonló módon üzemelnek a túlterheléses támadók is: eldugítják, blokkolják az áldozat szerverét.
Szakmai forrásaink szerint egy egyszeri túlterheléses támadás nem is túl költséges, néhány száz euróért „megrendelhető” egy ilyen akció. Jellemző, hogy 2018-ban a horvát rendőrségnek sikerült lekapcsolni az egyik legnagyobb ilyen oldalt, a webstresser.org-ot, ahol a felhasználók 15 euróért, azaz kevesebb mint 6 ezer forintért indíthattak ilyen támadást tetszőleges honlap ellen. Mint később kiderült, a mintegy 4 millió támadásért felelős webstersser.org mögött egy 19 éves horvát fiatalember állt.
Más a helyzet a hazai sajtót támadó „Hano”-val, aki vagy akik tisztában vannak a hazai médiaviszonyokkal és ismétlődően komoly erőforrásokat tudtak mozgósítani a támadásaikhoz. Egy ilyen, sok tárhelyet megcélzó akcióhoz már komoly „előzetes terepszemlére” illetve infrastruktúrára lehet szükség. Például Hano és tettestársai vietnámi, mexikói, kínai, orosz, amerikai, iráni, német, afganisztáni és sok más országbeli IP címek mögé bújtak el, amelyeket folyamatosan váltogattak. Az ügyben – ahogy korábban lapunk – úgy a Média1 is feljelentést tett, ám mint Szalay mondta, nem bíznak a hatóságok igyekezetében. „A jelek alapján a támadót egy kormányközeli bűnözői csoportnak tartjuk. Érthető okokból bizalmatlanok vagyunk azokkal a hatóságokkal szemben, amelyek egy olyan kormány ellenőrzése alá tartoznak, amely újságírókra, médiatulajdonosokra küldte rá a Pegasus kémszoftvert.”
Zombigépek bevetése
A szakzsargonban DDoS-nek nevezett – Distributed Denial of Service, azaz elosztott szolgáltatásmegtagadásos – "művelet" során a hekker előbb megfertőz egy sor, tőle független számítógépet. Hamis IP címekről küld csaliüzeneteket, amelyekre a mit sem sejtő felhasználó rákattint, majd az üzenet csatolmányából egy kémprogram települ a gépére, amivel a hekker a tulajdonos tudtán kívül kommunikálhat a célpont szerverével. Amikor már elegendő ilyen megfertőzött „zombi” gépe van a hekkernek, akkor indítja a támadást: utasítására a sok száz vagy sok ezer gép egyszerre kéréssel kezdi ostromolni az adott honlapot. A hirtelen megugró adatforgalom nyomán pedig lelassul, vagy összeomlik a hírportál szervere. A hekker szinte megfoghatatlan: a portálokat ostromló gépek sem köthetők az elkövetőhöz és az óriás adatforgalmat generáló számítógépeket is hamis, feltört IP címekről fertőzték meg.
