A magyar kiberbiztonság egyik legkínosabb incidenséről egy ideig hivatalosan azt sem lehetett tudni, hogy valóban megtörtént-e. Ennek oka pedig az, hogy maga az érintett hivatalosan nem erősítette meg ennek a tényét. Igaz, nem is cáfolta – mutatott rá egy részletes elemzésben Frész Ferenc és Béres Katalin.
Valóban volt incidens
Azóta persze kiderült, valóban volt incidens, de hogy milyen mélységű volt az információszivárgás, és pontosan mekkora lehet az érintettségi kör, arról a szakértők is becsléseket adhatnak.
Volt incidens, ezt most már biztosan tudni lehet, mivel a Szalay-Bobrovniczky Kristóf honvédelmi miniszter december elején felmentette a VBÜ Zrt. vezérigazgatóját. Pachner Róbert a VBÜ operatív vezetése mellett az informatikai biztonságért is felelt. Szintén december elején a VBÜ elleni támadás részleteit, az ügy teljes hivatalos anyagát 29 évre titkosította a kormány.
De mi történhetett a VBÜ-nél?
A VBÜ biztosítja a Magyar Honvédség, valamint Magyarország védelmi tevékenységében részt vevő egyéb intézmények beszerzési és logisztikai támogatását. Ide tartozik – egyebek mellett – a honvédségi fegyverzet és technológia fejlesztése is.
Az Inc Ransom csoport áldozatait listázó honlapon 2024. november 6-án bukkant fel először VBÜ Zrt. domainje, ezzel – leegyszerűsítve – a magyar védelmi ügynökség felkerült a zsarolható felek listájára. Ez a weboldal – bár néhány a nyilvános interneten is elérhető kivezetéssel is rendelkezik -, csak a Tor-hálózathoz tartozó onion szolgáltatásokon keresztül érhető el.
Az Inc Ransom csoport először közzétett néhány képernyőfotót, amellyel bizonyította, hogy valóban rendelkezik az ellopott dokumentumokkal. A képernyőfotók azt is bizonyították, hogy a lopott állományok nem nyilvános rendszerekből származnak.
Miután a ransomware csoportok jellemzően csak hetekkel az aktív támadás után osztják meg áldozataik nevét, ha azzal nem sikerült megegyezniük, a magyar kiberbiztonsági szakértők úgy vélik, hogy az incidensre valamikor 2024 októberében kerülhetett sor.
Az események ezt követő láncolata is meglehetősen furcsa. A “szégyenfalon” közzétett VBÜ-s dokumentumok ugyanis jó egy hét elteltével lekerültek a ransomware-csoport oldaláról, majd később újra megjelentek ott.
Ez azt feltételezi, hogy az első zsarolási kísérlet nem járt sikerrel, ezért az Inc Ransom árverésre bocsátotta a megszerzett állományokat. Sajtóinformációk szerint a licit egymillió dollárról indult.
Nem lehet tudni, hogy az illegálisan megszerzett dokumentumoknak végül lett-e vevője, és ha igen, kicsoda. Ahogy korábban már azt sem lehetett biztosan tudni, hogy történt-e zsarolókísérlet az állam irányába, ahogy azt sem, hogy fizettek-e hekkereknek.
Az érintett adatok köréről sem lehet pontosat tudni, de az valószínűsíthető, hogy érzékeny, valamint minősített adatokat is megszereztek a hekkerek. A dokumentumok komplexitása miatt azon a rendkívül speciális piacon, amit a védelmi ágazat is képvisel, a teljes ellátási lánc számára jelent ez az incidens kockázatot – derült ki Frész Ferenc egy decemberi eleji nyilatkozatából.
Ki lehetett a zsaroló?
Mint arra a CyberThreat.Report elemzésében rámutat, az Inc Ransom csoport eddig 183 áldozatát nevezte meg publikusan. Ennél azonban jóval többen lehetnek a valóságban az áldozatok, mert azok, akikkel sikerült megegyezniük (értsd: fizettek a zsarolás hatására), azok neve nem kerül ki a szégyenfalra. A 183 áldozat között 129 amerikai cég volt, tizenöt az Egyesült Királyságból, kilenc pedig Kanadából. Magyarországról mindeddig egyetlen áldozat szerepel ezen a listán.
Az ügy körüli furcsaságokra ha magyarázatot ugyan nem is ad, de azokat némileg érthetővé teszi, hogy az Inc Ransomnak mindeddig nem volt ismert áldozata a védelmi ágazatból. Áldozataik többsége az egészségügyben, a közszférában, az oktatásban, az építőiparban, a technológiai szektorban, valamint az üzleti szolgáltatás piacán volt érdekelt.
A CyberThreat.Report korábbi tájékoztatása szerint az Inc Ransom csoport tevékenysége pusztán pénzügyi alapokon nyugszik. Arra nem volt semmilyen ismert bizonyíték, hogy bármely ország vagy állami szereplő támogatását élvezné.
A szakértői elemzés még arra is kitért a csoporttal kapcsolatban, hogy jelentős technikai átfedéseket mutat egy nála egy évvel később, 2024 júliusában megjelent Lynx ransomware nevű csoporttal. A kódbeli hasonlóságok (48 százalékos általános, és 70,8 százalékos funkcionális kódegyezés) mellett, a módszerek is ugyanazt a mintázatot követte, amelyet az Inc Ransom is alkalmazott.
Ez szakértők szerint arra utalhat, hogy az Inc Ransom csoport fejlesztői kapcsolatban állhatnak más bűnszervezetekkel.
Általános kiberiztonsági jó gyakorlatok
A megelőzéshez:
- Rendszerfrissítések: rendszeres patch management, különösen az ismert sebezhetőségek esetén.
- Kiberbiztonsági oktatás: munkavállalók folyamatos képzése adathalászat és egyéb támadások azonosítására.
- Hálózatvédelem: többlépcsős hitelesítés (MFA), tűzfalak és behatolásérzékelő rendszerek (IDS).
Válaszlépések áldozatoknak:
- Kapcsolatfelvétel szakértőkkel: azonnal értesíteni a belső IT-t és/vagy külső kiberbiztonsági céget.
- Rendszerek izolálása: fertőzött rendszerek leválasztása a hálózatról.
- Visszaállítás: adatok helyreállítása offline biztonsági mentésekből.
- Jogérvényesítés: értesíteni a helyi hatóságokat és adatvédelmi hivatalokat.
(Kép: Dall-e)