Egy magyar szerver miatt jöttek rá az IT biztonsági kutatók, hogy az orosz Fancy Bear hekkercsapat áll az amerikai szövetségi intézményeket érő támadássorozat mögött.
Még a múlt héten az amerikai kiberbiztonsági ügynökség (CISA) egy figyelmeztetést tett közzé, mely a részletek nélkül azt jelezte, hogy hackerek bejutottak egy amerikai szövetségi ügynökségbe. Hogy pontosan a támadás mikor történt, és milyen módszereket használtak, azt nem írták le, csupán azt jelezték, hogy a támadók egy új kártevőt használtak és hogy adatokat loptak el.
Összerakták a puzzle-t
A Dragos biztonsági cég elemzője, Joe Slowik azonban összerakta a puzzle-t és egy korábbi támadás részleteivel összevetve az adatokat, arra a következtetésre jutott, hogy a támadás mögött a Fancy Bear vagy APT28-as nevű, orosz gyökerű hekkercsapat állhat. A csoport az orosz állami hatóságoknak dolgozik, és állítólag ők szervezték a 2016-os amerikai elnöki választásokat érő támadásokat is, ahogy idén is próbálkoztak ezzel.
A közös szálat egy magyar szerver jelentette, melyet az őszi támadásban és egy korábbi, nyári, az oroszoknak tulajdonított támadásban egyaránt használtak. A másik támadásban, júliusban az FBI küldött egy figyelmeztetést az érintetteknek: akkor széles körben amerikai hálózatokat támadtak, többek között kormányzati szervezeteket, oktatási intézményeket, és úgy tűnik, energia szektorban tevékenykedő vállalatokat is.
A figyelmeztetésben felsorolták azokat a szervereket is, melyeket a támadáshoz használtak, közöttük volt egy magyar kiszolgáló is. Az FBI figyelmeztetése esetében legalább egy támadás, melyet erről a magyar szerverről indítottak, sikeres volt.
Webhoszting céghez tartozik
A domaintools.com adatai szerint a szóban forgó IP cím (91.219.236.166) a webhosztinggal foglalkozó ServerAstra Kft. egy ügyfeléhez tartozhat. A 2006-ban alapított cégtől bárki bérelhet IP címet is, a 2018-as évet 17 millió forintos árbevétellel zárták az Opten adatbázisa szerint.
De nemcsak a magyar szál árulta el a támadás mögött lévő szervezetet: az amerikai energia hivatal tavaly adott ki egy közleményt arra vonatkozóan, hogy a APT28 amerikai kormányzati szervezetek hálózatát próbálgatta egy lett szerverről. Ez a lett szerver s felbukkant a CISA figyelmeztetésében is.
A kiemelt kép forrása: panumas nikhomkhai fotója a Pexels oldaláról
