Magyar szerver árulta el az orosz hacker csapatot

Egy magyar szerver miatt jöttek rá az IT biztonsági kutatók, hogy az orosz Fancy Bear hekkercsapat áll az amerikai szövetségi intézményeket érő támadássorozat mögött.

Még a múlt héten az amerikai kiberbiztonsági ügynökség (CISA) egy figyelmeztetést tett közzé, mely a részletek nélkül azt jelezte, hogy hackerek bejutottak egy amerikai szövetségi ügynökségbe. Hogy pontosan a támadás mikor történt, és milyen módszereket használtak, azt nem írták le, csupán azt jelezték, hogy a támadók egy új kártevőt használtak és hogy adatokat loptak el.

Összerakták a puzzle-t

A Dragos biztonsági cég elemzője, Joe Slowik azonban összerakta a puzzle-t és egy korábbi támadás részleteivel összevetve az adatokat, arra a következtetésre jutott, hogy a támadás mögött a Fancy Bear vagy APT28-as nevű, orosz gyökerű hekkercsapat állhat. A csoport az orosz állami hatóságoknak dolgozik, és állítólag ők szervezték a 2016-os amerikai elnöki választásokat érő támadásokat is, ahogy idén is próbálkoztak ezzel.

A közös szálat egy magyar szerver jelentette, melyet az őszi támadásban és egy korábbi, nyári, az oroszoknak tulajdonított támadásban egyaránt használtak. A másik támadásban, júliusban az FBI küldött egy figyelmeztetést az érintetteknek: akkor széles körben amerikai hálózatokat támadtak, többek között kormányzati szervezeteket, oktatási intézményeket, és úgy tűnik, energia szektorban tevékenykedő vállalatokat is. 

A figyelmeztetésben felsorolták azokat a szervereket is, melyeket a támadáshoz használtak, közöttük volt egy magyar kiszolgáló is. Az FBI figyelmeztetése esetében legalább egy támadás, melyet erről a magyar szerverről indítottak, sikeres volt.

Webhoszting céghez tartozik

A domaintools.com adatai szerint a szóban forgó IP cím (91.219.236.166) a webhosztinggal foglalkozó ServerAstra Kft. egy ügyfeléhez tartozhat. A 2006-ban alapított cégtől bárki bérelhet IP címet is, a 2018-as évet 17 millió forintos árbevétellel zárták az Opten adatbázisa szerint.

De nemcsak a magyar szál árulta el a támadás mögött lévő szervezetet: az amerikai energia hivatal tavaly adott ki egy közleményt arra vonatkozóan, hogy a APT28 amerikai kormányzati szervezetek hálózatát próbálgatta egy lett szerverről. Ez a lett szerver s felbukkant a CISA figyelmeztetésében is.

A cikk forrása: ArsTechnica

A kiemelt kép forrása: panumas nikhomkhai fotója a Pexels oldaláról

Vélemény, hozzászólás?

Az email címet nem tesszük közzé. A kötelező mezőket * karakterrel jelöltük