Nem először

2020.10.17. 15:00

Magyar szerver buktatta le az orosz hackercsapatot

Egy magyar szerver miatt jöttek rá az IT biztonsági kutatók, hogy az orosz Fancy Bear hekkercsapat áll az amerikai szövetségi intézményeket érő támadássorozat mögött.

Forrás: Shutterstock

Fotó: Preechar Bowonkitwanchai

Nemrég az amerikai kiberbiztonsági ügynökség (CISA) figyelmeztetést tett közzé, mely részletek nélkül azt jelezte, hogy hackerek bejutottak egy amerikai szövetségi ügynökségbe. Hogy pontosan mikor történt a támadás, és milyen módszereket használtak, azt nem írták le, csupán jelezték, hogy a támadók új kártevőt használtak és adatokat loptak el – írja az ArsTechnika nyomán a G Data.

Összerakták a puzzle-t

A Dragos biztonsági cég elemzője, Joe Slowik azonban összerakta a puzzle-t és egy korábbi támadás részleteivel összevetve az adatokat, arra a következtetésre jutott, hogy a támadás mögött a Fancy Bear vagy APT28-as nevű, orosz gyökerű hekkercsapat állhat. Feltevések szerint a csoport az orosz állami hatóságoknak dolgozik, és

állítólag ők szervezték a 2016-os amerikai elnöki választásokat érő támadásokat is, ahogy idén is próbálkoztak ezzel.

A közös szálat egy magyar szerver jelentette, melyet az őszi támadásban és egy korábbi, nyári, az oroszoknak tulajdonított támadásban egyaránt használtak. A másik támadásban, júliusban az FBI figyelmeztetést küldött az érintetteknek: akkor széles körben amerikai hálózatokat támadtak, többek között kormányzati szervezeteket, oktatási intézményeket, és úgy tűnik, energia szektorban tevékenykedő vállalatokat is.

A figyelmeztetésben felsorolták azokat a szervereket, melyeket a támadáshoz használtak, közöttük volt egy magyar kiszolgáló is. Az FBI figyelmeztetése esetében

legalább egy támadás, melyet erről a magyar szerverről indítottak, sikeres volt.

Webhoszting céghez tartozik

A domaintools.com adatai szerint a szóban forgó IP cím (91.219.236.166) a webhosztinggal foglalkozó ServerAstra Kft. egy ügyfeléhez tartozhat. A 2006-ban alapított cégtől bárki bérelhet IP címet is, a 2018-as évet 17 millió forintos árbevétellel zárták az Opten adatbázisa szerint.

Nem csak a magyar szál árulta el a támadás mögött lévő szervezetet: az amerikai energia hivatal tavaly adott ki egy közleményt arra vonatkozóan, hogy a APT28 amerikai kormányzati szervezetek hálózatát próbálgatta egy lett szerverről. Ez a lett szerver felbukkant a CISA figyelmeztetésében is.

Hírlevél feliratkozás
Ne maradjon le a szoljon.hu legfontosabb híreiről! Adja meg a nevét és az e-mail-címét, és mi naponta elküldjük Önnek a legfontosabb híreinket!