Az elmúlt napokban legalább tíz magyarországi közéleti személy, túlmyomórészt újságíró kapott jelzést a Gmailtől arról, hogy feltételezhetően államilag támogatott hackertámadással próbálják megszerezni a jelszavakat. Ezért a Média.hu portál munkatársai a Google Magyarországhoz fordultak azzal a kérdésükkel, hogy mennyire kell ezt komolyan venni, és hogy mi alapján gondolják, hogy kormányzati háttere van a támadásoknak.
A magyar független média elsőként Bodoky Tamás, az Átlátszó.hu oknyomozó portál főszerkesztőjének és Lőke András, a legkiválóbb oknyomozó újságíróknak járó Transparency-Soma díjakat odaítélő zsűri elnökének az esetéről számolt be, akik a Google-tól az elsők között kapott értesítést arról, hogy feltehetőleg kormányzatilag támogatott hackertámadás célpontjává váltak.
Azóta viszont további személyekről is kiderült, hogy a Gmailbe történő belépésük után figyelmeztetést kaptak arról, hogy illetéktelen, hogy feltehetőleg állami hátterű hackerek próbálják a jelszavukat megszerezni.
Ilyen jelzések főleg újságíróktól érkeztek, akik között van egy magyarországi vezető hírportál közismert és kiemelt munkatársa is, aki azt kérte, hogy személyazonossága és munkahelye maradjon titokban, mivel nem szeretné, ha informátorait megrémisztené a legújabb megfigyelési ügy híre, és esetleg nem mernék segíteni őt adatokkal, információkkal. Az újságíró egyébként számos alkalommal foglalkozik az Orbán-kormány visszaélésgyanús ügyleteivel, de nem tudni, van-e ehhez köze a támadási kísérletnek.
Rajta kívül egy ma már külföldön élő, egykoron az Orbán-kormányt támogató, mostanra azonban a pártból kiábrándult, és a pártot számos internetes fórumon, Facebook-csoportban bíráló civil is jelezte, hogy kapott figyelmeztetést a Google-től az ellene irányuló állítólagos kormányzati hátterű támadási kíséretről. Azt esetében sem tudhatjuk, hogy van-e ebbéli aktív, a Fidesz bíráló tevékenységéhez köze a számára eljuttatott figyelmeztető üzenetnek.
Seres László, a Neokohn egykori főszerkesztője az előző hír megosztásakor jelezte nyilvános bejegyzésben, hogy ő is kapott figyelmeztetést. Ő egyébként nem is angol, hanem magyar nyelven.
Bodoky Tamás ismerősi körében is legalább négyen jelezték, hogy találkoztak a piros figyelmeztető ablakkal. Ebből is látszik, hogy sokakat érintő jelenségről van szó.
A Google sajtóirodája közleményben reagált a Média.hu megkeresésére, amiben a következőket írja: „Tegnap átlagon felüli mennyiségű, állam által támogatott biztonsági figyelmeztetést küldött ki a veszélyelemző csoport. Ezek a figyelmeztetések először is azt jelzik, hogy a felhasználó célpont volt, nem azt, hogy a fiókját feltörték. Amennyiben figyelmeztetést küldünk, akkor nagyon nagy az esélye, hogy blokkoltuk a tevékenységet. A megnövekedett számok ebben a hónapban egy kis számú, széles körben célzott tevékenységekből származnak, amelyeket blokkoltak. A figyelmeztetés arra hívja fel a felhasználó figyelmét, hogy potenciális célpontja egy következő támadásnak, így itt az ideje, hogy biztonsági intézkedéseket tegyen.” Ezenkívül a Google egy angol nyelvű útmutatót is elküldött a hírportálnak arról, hogy mit is jelentenek ezek a figyelmeztetések. Az útmutató ezen a címen érhető el és Ebben olyan általános jótanácsok szerepelnek, hogy aki ilyen üzenetet kapott, álljon át kétfaktoros azonosításra, jelentkezzen be a Google speciális védelmi programjába (Advanced Protection Program)
Nem árt tehát a fokozott körültekintés azok részéről, akik találkoztak a kormányzati hátterű hackertámadásra figyelmeztető üzenettel.
Az orosz hírszerzők már a spájzban…vagyis a számítógépeden, okosmobilodon vannak
Azóta a Google kiderítette, hogy hogy az elmúlt napokban az APT28 vagy Fancy Bear nevű, az orosz titkosszolgálatokhoz kötődő hackercsoport indított masszív globális kampányt több ezer ember, köztük újságírók és civil aktivisták fiókjának feltörésére írja az Átlátszó.hu
Az FBI körözési posztere a Demokrata Párt szervereit ért hackertámadást elkövető GRU-tisztekről
(forrás: Wikimedia Commons)
A csütörtök este megjelent információk alapján valószínű, hogy a jelszólopó támadás nem hazai, hanem külföldi, konkrétan orosz szerverekről indult. Shane Huntley, a Google kiberbiztonsági csapata, a Threat Analysis Group (TAG) vezetője a Twitteren azt írta, hogy magyar idő szerint szerdán-csütörtökön szokatlanul nagy mennyiségű hackertámadást érzékeltek, és mintegy 14 ezer felhasználót figyelmeztettek világszerte.
Huntley kiemelte, hogy a figyelmeztetések behatolási kísérletre utaltak és nagy eséllyel blokkolták a támadásokat. A blokkolt, malware-rel vagy megtévesztő linkkel küldött e-mailek ez alapján automatikusan eltűnnek, és nem nyithatók meg a célpontok fiókjaiból.
Egy későbbi, a Google szóvivője által kiküldött közlemény pedig már Huntley-t idézve gyanúsítottat is megnevezett, eszerint a figyelmeztetések egy közelmúltbeli adathalász kampányhoz kapcsolódnak, amely során „nagyszámú Gmail-felhasználót célzott meg” az APT28, egy orosz kormányzati hátterű hackercsoport, amelynek tagjai az úgynevezett phishing (szigonyozás) nevű módszert használták, ez általában megtévesztő e-mailek kiküldését jelenti, amelyek – megnyitásuk esetén – hozzáférést engednek a hackerek számára a megcélzott fiókhoz. Az ilyen támadások könnyebben detektálhatók és kivédhetők, mint például a Pegasus és hasonló kémszoftverek – utóbbiak ugyanis az alkalmazások biztonsági résein „szivárognak” be úgy, hogy annak látható jele sincs (például egy üzenetet sem kell megnyitni hozzá), és láthatatlanul kémkednek az áldozat után.
Ennek ellenére a szigonyozós technikával a Google által most is említett APT28 (akik többek között Fancy Bear, Tsar Team és STRONTIUM néven is ismertek) több nagyszabású behatolást képes volt végrehajtani. A csoport 2014-ben vált ismertté, ekkor Oroszországban és a szomszédos államokban, valamint az Egyesült Államban vettek célba olyan újságírókat, akik a Kreml számára kellemetlen cikkeket írtak.
A következő években volt rá példa, hogy az Iszlám Állam nevében írtak terrorfenyegetéseket illegálisan megszerzett címlistákra, több nyugati céget, médiavállalatot malware-ekkel támadtak, de a legsikeresebb akcióikat 2016-ban, a hagyományos phishing-módszerrel valósították meg. Ekkor a hackerek bejutottak az amerikai Demokrata Párt levelezőszervereibe, és több tízezer e-mailt kiszivárogtattak. A párt által felkért „digitális helyszínelő” csoport, a Crowdstrike vizsgálata alapján két, egymástól látszólag független orosz hackercsoport is dolgozott a szerverek feltörésén, ezek egyike volt a Fancy Bear/APT28.
Később ugyanezt a csoportot fedezték fel a 2017-es németországi és franciaországi választási kampány során elkövetett hackertámadások során (utóbbi során csak a szélsőjobboldali Marine Le Pen pártját hagyták békén, míg Emmanuel Macron 20 ezer e-mailjét kiszivárogtatták), valamint a Nemzetközi Olimpiai Bizottság e-mailjeinek kiszivárogtatása miatt – utóbbi a hackerek szerint válaszcsapás volt doppingolással gyanúsított orosz atléták kizárására.
A 2016-os elnökválasztásba történt orosz beavatkozást vizsgáló Mueller-bizottság szerint a hackercsoport valójában az orosz katonai hírszerzés, a GRU két egységének tagjaiból áll, munkájukat a szolgálat parancsnoksága felügyeli. A jelentés alapján 2018-ban az FBI körözést adott ki a GRU 12 tisztje ellen, akiket az APT28-támadások elkövetőiként azonosítanak.
APT28 mostani kampánya kifejezetten újságírókat, civil szervezetek és agytrösztök tagjait vette célba. Az akció globális volt, a Google közlése szerint ebben a hónapban a biztonsági figyelmeztetések 86 százalékát emiatt küldték ki. A vállalat arra hívja fel a felhasználók figyelmét, hogy fokozzák a fiókjaik biztonságát, használjanak például többfaktoros azonosítást például SMS-megerősítéssel, vagy iratkozzanak be a vállalat Advanced Protection Programjába, amely megerősített védelmet kínál.