Egy magyar szerver miatt jöttek rá az IT biztonsági kutatók, hogy az orosz Fancy Bear hekkercsapat áll az amerikai szövetségi intézményeket érő támadássorozat mögött. (A nyitó kép forrása: panumas nikhomkhai/Pexels.)
Még a múlt héten az amerikai kiberbiztonsági ügynökség (CISA) figyelmeztetést tett közzé: részletek nélkül azt jelezte, hogy hekkerek bejutottak egy amerikai szövetségi ügynökségbe. Azt nem írták le, hogy pontosan mikor történt a támadás és milyen módszereket használtak, csupán azt jelezték, hogy a támadók egy új kártevőt használtak és hogy adatokat loptak el.
A Dragos biztonsági cég elemzője, Joe Slowik azonban összerakta a puzzle-t és egy régebbi támadás részleteivel összevetve az adatokat, arra a következtetésre jutott, hogy a támadás mögött a Fancy Bear vagy az APT28 nevű, orosz gyökerű hekkercsapat állhat. A csoport az orosz állami hatóságoknak dolgozik, és állítólag ők szervezték a 2016-i amerikai elnökválasztásokat ért támadásokat is, miként az idén is próbálkoztak ezzel.
A közös az ügyben egy magyar szerver, melyet az őszi támadásban és az oroszoknak tulajdonított, idei, nyári támadásban egyaránt használtak.A másik támadásban, júliusban az FBI figyelmeztetést küldött az érintetteknek: akkor széles körben amerikai hálózatokat támadtak, a többi között kormányzati szervezeteket, oktatási intézményeket, és úgy tűnik föl, hogy az energiaszektorban tevékenykedő vállalatokat is.
A figyelmeztetésben felsorolták azokat a szervereket is, melyeket a támadáshoz használtak, közöttük volt egy magyar kiszolgáló is. Az FBI szerint legalább egy támadás erről a magyar szerverről indult, és sikeres volt.
A domaintools.com adatai szerint a szóban forgó IP cím (91.219.236.166) a webhosztinggal foglalkozó ServerAstra Kft. egyik ügyfeléhez tartozhat. A 2006-ban alapított cégtől bárki bérelhet IP-címet is, a 2018. évet – az Opten adatbázisa szerint – 17 millió forintos árbevétellel zárta a ServerAstra Kft.
Nemcsak a magyar szál árulta el a támadás mögött lévő szervezetet: az amerikai energiahivatal tavaly közleményt adott ki arra vonatkozóan, hogy a APT28 amerikai kormányzati szervezetek hálózatát „kóstolgatta” egy lett szerverről. Ez a lett szerver felbukkant a CISA figyelmeztetésében is.
