Magyarország támadás alatt? Mit takar a honvédség elleni kibertámadás, és mekkora károkat okozhat? Erről kérdeztük az ügyet kirobbantó Frész Ferenc kibervédelmi szakembert, aki korábban a Nemzeti Biztonsági Felügyelet kibervédelmi központjának vezetője volt (2015-ig).
Futótűzként járta körbe az országot a hír, hogy feltörték a hadsereg rendszerét, a hackerek már a Honvédelmi Minisztériumot zsarolják és érzékeny adatokat is nyilvánosságra hoztak. Az ügyet Frész Ferenc hozta nyilvánosságra a Facebook oldalán, és őt kérdeztük az esetleges eszkaláció mértékéről, hogy ki hibázhatott és ez az ügy mekkora veszélyt jelent hazánk számára.
Forbes.hu: A Honvédelmi Minisztérium elismerte, hogy feltörték a rendszerüket, de mégis mi történt pontosan? Mondhatjuk, hogy Magyarországot támadás érte?
Frész Ferenc, kibervédelmi szakértő: Azt semmiképpen nem állítanám, hogy Magyarországot megtámadták. Arról sincs szó, hogy a hadsereg teljes rendszerét elfoglalták volna, hiszen jelen tudásunk szerint „csak” egy alszervezet, a Védelmi Beszerzési Ügynökség esett el. Ami egyébként fontos szereplőnek számít a belügyben, hiszen a tevékenysége kiterjed a rendvédelmi szervekre épp úgy, mint például a katasztrófavédelemre.
Mi volt a bűnőzök célja?
Jelen esetben egy ismert nemzetközi hackercsoport, az INC Ransomware jutott be az ügynökség rendszerébe, átvette felette az irányítást, lemásolta és titkosított az adatokat, azaz egy úgynevezett zsarolóvírust telepített. Ennek következtében az eredeti felhasználók nem férnek hozzá az állományokhoz. A probléma megszüntetéséért cserébe a hackerek pénzt követelnek, tehát szó szerint zsarolják az áldozatot.
A jelek szerint erre a Magyar Honvédség nem volt nyitott, és amiatt életbe lépett a második fázis. Azaz a támadók elkezdtek nyilvánosságra hozni néhány dokumentumot, illetve egészen pontosan az ezekről készített képernyőfotókat, hogy így fokozzák a nyomást. Illetve bizonyítsák azt, hogy valóban ők állnak az akció mögött, és ennél fogva az ő kezükben van a megoldás kulcsa.
Mekkora a baj? Kényes adatok kerültek nyilvánosságra?
A baj elég nagy, hiszen joggal feltételezhetjük, hogy az ügynökség teljes rendszere korrumpálódott, és különösen bizalmas információkhoz, személyi adatokhoz, dokumentumok is hozzáfértek a bűnözők. Közülük néhány kevéssé izgalmas dokumentumot hoztak nyilvánosságra, például a ruhabeszerzésekkel kapcsolatban.
Itt nem is az a gond, hogy mi került a nagyközönség elé, hanem hogy egyáltalán kikerült oda bármi.
Honnan tudjuk, hogy ezek hiteles adatok?
Ezt száz százalékosan nem tudjuk. De a netre feltett képernyőfotó alapján azt kell mondjam, hogy ezek teljesen hitelesnek tűnnek.
Az eset októberben történt, a magyar hatóságoknak mikor szembesülhettek azzal, hogy betörtek a rendszerükbe?
Egy ideje már biztosan tudtak róla a honvédségnél néhányan, hiszen azzal, hogy az INC Ransomware feltöltötte a képernyőfotókat
gyakorlatilag bizonyítást nyert, hogy a zsarolás már megtörtént, csak nem talált kedvező visszhangra.
Arra viszont látok esélyt, hogy ezt az ügyet el akarták titkolni házon belül, és emiatt egyes kormánytisztviselők csak a mai nap folyamán értesültek arról, hogy a Magyar Honvédséget sikeres kibertámadás érte. De, hogy pontosan ki, mikor és milyen információkkal rendelkezett azt nem tudhatják külső szereplők.
Ön honnan szerzett tudomást az esetről?
Kiberbiztonsági cégünk folyamatosan figyeli a netet, és gyűjti a potenciális fenyegetéssel kapcsolatos információkat. Ennek részeként monitorozzuk például az ismert hacker csoportokhoz köthető oldalakat, felületeket. Ekkor fedeztük fel, hogy az INC kitette a már említett képernyőfotókat, és ebből arra következtettünk, hogy októberben kompromittálódott a Védelmi Beszerzési Ügynökség.
Miért nem fizettek?
Az egyik legfontosabb szabály, hogy a zsarolóknak nem szabad fizetni. Nem csak azért, mert ezzel a bűnözőket bátorítaná valaki, hanem mert az esetek nagyon kis hányadában, 10-15 százalékán kapja vissza tényleg a kívánt adatokat az áldozat.
Általában az első zsarolást később újabbak és újabbak követik, és ennek a folyamatnak sosem lesz vége.
Ahhoz hasonlítanám az ilyen eseteket, mintha valakinek ellopnák a kocsiját, és helyén otthagynának egy fotót a járműről. Majd megígérnék a tulajdonosnak, hogy ha fizet, akkor visszakapja a járművet. Amikor pedig az kifizeti a kért összeget, akkor visszaküldenek neki két kereket.
Az ügynökség minden bizonnyal rendelkezett megfelelő mentéssel, így az nem érintette, hogy az adatokat a munkatársak nem érték el, hiszen azok amúgy is meg voltak nekik más forrásból. Tehát csak visszaállították a korábbi állapotot, és nem foglalkoztak a zsarolással.
Minden jel arra utal, hogy a botrány kipattanása után sem történt kifizetés, hiszen folyamatosan újabb és újabb információk látnak napvilágot. Ettől függetlenül azért fizethettek volna, hogy legalább ne legyen ekkora botrány, de úgy látszik, hogy ezt az 5 millió dollárt soknak értékelték, ami egyébként magyar viszonylatban soknak is számít. A kormányinfón elhangzottak értelmében a honvédség vezetése és a kormány jelenleg is vizsgálja az ügyet, és hogy milyen potenciális veszélyeket rejthet további adatok nyilvánosságra kerülésre.
A forrásaim szerint lehetett volna tenni az ügy ellen, azaz nem volt megfelelő a védekezés, ki a hibás ezért?
Az ilyen hackercsoportok meglévő sérülékenységeket használnak ki, és ezekről a sérülékenységekről az ügynökség kibervédelemért felelős szerveinek is tudniuk kellett volna. Ha pedig ezt tudják, akkor gondoskodniuk kellett volna a sikeres támadás elkerülhetőségéről. Az, hogy ez nem történt meg, az meglehetősen sokatmondó.
Normális esetben ezt a támadást meg lehetett volna előzni. Azonban Magyarországon az állami hivatalok kibervédelme erre jelenleg nem képes.
Ha jól értem, akkor az ön szavai szerint ma a magyar állami hivatalok kibervédelmi rendszere nem képes ellátni a feladatát?
Így van.
Az ellopott adatokat ilyenkor rivális országok titkosszolgálatai megszerezhetik?
A hackerek által publikusan elérhető adatokat természetesen már meg is szerezték. A többi adatot még nem szerezhették meg, hiszen erről minden bizonnyal jelenleg is tárgyalások folynak a hackerek és a magyar kormány képviselői között.
Amennyiben ezek nem vezetnek eredményre, a kiberbűnözők publikálják, azaz letölthetővé teszik a megszerzett anyagokat. Hogy erre mikor kerülhet sor, azt most még nem lehet tudni, nyilván ez attól is függ, hogy mennyire mutatkoznak rugalmasnak a felek.
Külföldi országokat érinthet hátrányosan egy ilyen támadás? A NATO-n belül lehet feszültség forrása?
Egyelőre nem tudjuk még, hogy hova futhat ki ez az ügy, és konkrétan milyen adatokhoz jutottak hozzá a bűnözők. Úgyhogy ezzel kapcsolatban nem mondanék még semmit.