Gulyás: Senki se fogadjon nagy összegben arra, hogy a Pénzügyminisztérium fennmarad
november 14., 10:06
Titkos anyagokat lophattak el a Védelmi Beszerzési Ügynökségtől
Minden jel arra utal, hogy ismeretlen támadók az Inc. Ransomware nevű zsarolóvírus segítségével ellopták a Védelmi Beszerzési Ügynökség Zrt. (VBÜ) anyagait a cég fájlszerveréről, majd titkosították magát a szervert, és ötmillió dollárt követelnek azért, hogy a dokumentumokat visszaadják. Bizonyítandó, hogy az anyag náluk van, 46 képernyőfotót tettek közzé. Ha nem kapják meg a pénzt, publikálják a többit is. Nemzetbiztonsági szempontból extra érzékeny anyagokról van szó, védelmi beszerzésekről, belső levelezésekről, a magyar haderő valós képességeiről.
A támadást egy negyedik vagy ötödik generációs zsarolóvírus okozhatta. Ez leegyszerűsítve úgy működik, hogy a hálózat sérülékenységét kihasználva az áldozat (jelen esetben a Védelmi Beszerzési Ügynökség) fájlszerverébe betörnek, letöltik az fájlokat, majd az egészet titkosítják, kizárva onnan az áldozatukat. Ő többé nem fér hozzá a dokumentumokhoz, hiszen a kulcs a támadóknál van. A kiberbiztonsági fenyegetésekkel foglalkozó szakemberek határon innen és túl november 6-án már tudhatták, hogy megtámadták a VBÜ-t, az első, teaserszerű képernyőképeket a konkrét bizonyítékokról pedig november 8-án tették közzé, elvileg „motivációként”, hogy fizessen az állami cég. Ezek egyben bizonyítékul is szolgálnak arra, hogy valóban a támadóknál van a fájlszerver tartalma, amiről azt állítják, hogy ellopták.
🚨 INC Ransom Ransomware Alert 🚨
— FalconFeeds.io (@FalconFeedsio) November 8, 2024
Defense Procurement Agency Private Limited Liability Company (VBÜ Zrt.) 🇭🇺
VBÜ Zrt., a defense procurement agency based in Budapest, Hungary, has fallen victim to INC RANSOM ransomware. The group claims to have access to the organization's… pic.twitter.com/CEcv69hQdi
A támadásra Frész Ferenc kiberbiztonsági szakértő is felhívta a figyelmet közösségimédia-oldalán.A mostani támadás a gyakorlatban azt jelentheti, hogy a Védelmi Beszerzési Ügynökség dolgozói november eleje óta semmilyen anyagukhoz nem férnek hozzá, hacsak a fájlszerverről nem volt biztonsági mentésük. Ez, ismerve, hogy mivel foglalkozik a VBÜ, komoly nemzetbiztonsági kockázatot jelent. Mindezzel együtt az a kisebb probléma, hogy a VBÜ munkatársai nem férnek hozzá a dokumentumokhoz, amelyek tartalmazzák Magyarország összes védelmi, nemzetbiztonsági beszerzésének részletét az elmúlt öt évből. A nagyobb az, ha egy hekkercsoport tényleg hozzáfért, pénzt követel érte, és azzal fenyeget, hogy ha nem fizetnek, nyilvánosságra is hoz mindent.
Nem egy sokadrangú gittegylet
A támadás súlyosságának érzékeltetésére fontos tisztázni, mi az a Védelmi Beszerzési Ügynökség Zrt. Nem egy sokadrangú kormányzati gittegyletről van szó, a szervezet a kiemelt honvédelmi beszerzéseket kezeli. A 2019 decemberében felállított, száz százalékban állami tulajdonú VBÜ célja, hogy „átláthatóbbá tegye a kormány által irányított állami szervezetek védelmi és biztonsági beszerzéseit”. Kizárólagos hatáskörébe tartozik a honvédelmi, rendvédelmi, bűnüldözési, bűnmegelőzési, büntetőeljárási, büntetés-végrehajtási, nemzetbiztonsági, határőrizeti és határforgalmi, katasztrófavédelmi, adóhatósági és vámhatósági, őrzési, védelmi, illetve önvédelmi célú haditechnikai eszközök, valamint szolgáltatások beszerzése.
A széles tevékenységi körből és a munkavállalói létszámból (97 fő) kiindulva egyértelmű, hogy a már közzétett dokumentumok csak az elenyésző töredékét teszik ki annak, ami a zsarolók birtokába került, de már ezek között is van több olyan, ami katonai és nemzetbiztonsági szempontból érzékeny. Az iratok között vannak olyan nem nyilvános anyagok, amik beszerzett honvédségi eszközök, felszerelések árát, mennyiségét tartalmazzák, és olyanok is, amik védelmiképesség-fejlesztési terveket tartalmaznak több évre előre.
Nem nyilvános döntés-előkészítő és költségvetésű tárgyú anyagok, belső levelezések, a munkatársak adatainak nyilvánosságra kerülése is jelentős biztonsági kockázatot jelentene.
Kik támadnak?
A támadás mögött álló Inc. Ransomware kiberbűnözői csoport jellemzően 2-3 hetet vár, mielőtt jelentkezik, ebből kiindulva október második felében kezdődhetett a történet. A VBÜ a honlapján egyébként október 18–22. közötti üzemzavarról írt:
„Ezúton tájékoztatjuk Önöket, hogy 2024. október 18. 07:00 óra és 2024. október 22. 14:00 óra közötti időtartamban a VBÜ Portál működése informatikai üzemzavar miatt szünetelt, a VBÜ Portál szolgáltatásai ezen időtartamban nem voltak elérhetők. Az üzemzavar a mai napon (2024. október 22-én) teljes körűen elhárításra került, a VBÜ Portál rendszer ismételten használható.”
Kiberbiztonsági szakértők szerint a csoport általában EU- és NATO-tagállamok kormányzati és kritikusinfrastruktúra-rendszerei ellen indít támadást, ám azt nem lehet egyértelműen megállapítani, hogy kik állhatnak mögötte.
Az ügy kapcsán kérdéseket küldtünk a Honvédelmi Minisztériumnak, melyekre még nem kaptunk választ, de a minisztérium a hvg.hu kérdésére megerősítette a támadás tényét, és közölték, hogy a támadásban érintett szervezet nem kezel katonai struktúrára vonatkozó adatokat, azt viszont nem árultak el, hogy milyen információk kerülhettek ki. Mint írták:
A Védelmi Beszerzési Ügynökség (VBÜ) informatikai rendszereit nemzetközi hackercsoport támadta meg. A kérdéses ügyben az incidenst követően feljelentést tett a VBÜ, a nyomozás jelenleg folyamatban van, ezért több információt nem áll módunkban adni.
Frissítés: a kormányinfón is téma volt a hekkertámadás, Gulyás Gergely kérdésre válaszolva elmondta, hogy a megszerzett adatok között vannak titkosított adatok, beszerzési adatok, de olyan, ami igazán érzékeny a honvédelemben, katonai struktúrát érintő adat, nem kerülhetett ki. Ezután Vitályos Eszter felolvasta a HM erről szóló közleményét.
Kérdésünkre, hogy mit tudnak tenni, hogy ne kerüljenek ki a hekkertámadással megszerzett anyagok, a miniszter elmondta, hogy jelenleg egy vizsgálat és egy nyomozás is folyik, ha lesz eredménye, akkor lehet ezt megválaszolni. Arra a kérdésre, hogy személyi következménye lesz-e annak, hogy ilyen adatok kikerültek, azt mondta, ez is a vizsgálat eredményétől függ.
A támadás körülményeire vonatkozó kérdésünkre azt mondták, hogy a HM-et kell kérdezni, "ha tudnak és szeretnének, akkor biztos a rendelkezésükre fognak állni".